McAfee Data Loss Prevention Endpoint 9.3.0 Guía del …³n de un servidor Seclore y sincronización de directivas.....140 Control del contenido de carácter confidencial con reglas

Guía del productoRevisión A

McAfee Data Loss Prevention Endpoint9.3.0

COPYRIGHTCopyright © 2013 McAfee, Inc. Queda prohibida la copia sin autorización previa.

ATRIBUCIONES DE MARCAS COMERCIALESMcAfee, el logotipo de McAfee, McAfee Active Protection, McAfee CleanBoot, McAfee DeepSAFE, ePolicy Orchestrator, McAfee ePO, McAfee EMM,Foundscore, Foundstone, Policy Lab, McAfee QuickClean, Safe Eyes, McAfee SECURE, SecureOS, McAfee Shredder, SiteAdvisor, McAfee Stinger, McAfeeTotal Protection, TrustedSource, VirusScan y WaveSecure son marcas comerciales o marcas comerciales registradas de McAfee, Inc. o de sus empresasfiliales en EE. UU. y otros países. Los demás nombres y marcas pueden ser reclamados como propiedad de otros.

Los nombres y las descripciones del producto y las funciones están sujetos a cambios sin previo aviso. Visite mcafee.com para obtener informaciónsobre los productos y las funciones más recientes.

INFORMACIÓN DE LICENCIA

Acuerdo de licenciaAVISO A TODOS LOS USUARIOS: LEA DETENIDAMENTE EL ACUERDO LEGAL CORRESPONDIENTE A LA LICENCIA QUE HA ADQUIRIDO, QUE ESTIPULALOS TÉRMINOS Y CONDICIONES GENERALES PARA EL USO DEL SOFTWARE CON LICENCIA. SI NO SABE QUÉ TIPO DE LICENCIA HA ADQUIRIDO,CONSULTE LOS DOCUMENTOS DE VENTA Y OTROS DOCUMENTOS RELACIONADOS CON LA CONCESIÓN DE LA LICENCIA O CON LA ORDEN DE COMPRAQUE ACOMPAÑAN AL PAQUETE DE SOFTWARE, O QUE HAYA RECIBIDO POR SEPARADO COMO PARTE DE LA COMPRA (POR EJEMPLO, UN MANUAL, UNARCHIVO DEL CD DEL PRODUCTO O UN ARCHIVO DISPONIBLE EN EL SITIO WEB DESDE EL QUE DESCARGÓ EL PAQUETE DE SOFTWARE). SI NOACEPTA TODOS LOS TÉRMINOS DESCRITOS EN EL ACUERDO, NO INSTALE EL SOFTWARE. SI PROCEDE, PUEDE DEVOLVER EL PRODUCTO A MCAFEE OAL LUGAR DONDE LO ADQUIRIÓ CON EL FIN DE OBTENER SU REEMBOLSO ÍNTEGRO.

2 McAfee Data Loss Prevention Endpoint 9.3.0 Guía del producto

http://mcafee.com

Contenido

Prefacio 7Acerca de esta guía . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7

Destinatarios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7Convenciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7

Búsqueda de documentación de productos . . . . . . . . . . . . . . . . . . . . . . . . 8

1 Introducción 9Cómo funciona McAfee DLP Endpoint . . . . . . . . . . . . . . . . . . . . . . . . . . 10

Clasificar . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10Seguimiento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11Proteger . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12Supervisar . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

Componentes del producto y su interacción . . . . . . . . . . . . . . . . . . . . . . . 14Acerca del software cliente de McAfee Data Loss Prevention Endpoint . . . . . . . . . . 15

Despliegue2 Escenarios y opciones de despliegue 19

Selección de una opción de producto de endpoint . . . . . . . . . . . . . . . . . . . . . 19Explicación de la compatibilidad con versiones anteriores . . . . . . . . . . . . . . . . . . 20Instalación recomendada . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21

3 Planificación del despliegue 23Verificación de requisitos del sistema . . . . . . . . . . . . . . . . . . . . . . . . . . 24Configuración del servidor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26Trabajo en un entorno de clúster . . . . . . . . . . . . . . . . . . . . . . . . . . . 27

Preparación del clúster . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27Prueba del clúster . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28

Creación y configuración de carpetas de repositorio . . . . . . . . . . . . . . . . . . . . 28Configuración de carpetas en Windows Server 2008 . . . . . . . . . . . . . . . . . 29Configuración de carpetas en Windows Server 2003 . . . . . . . . . . . . . . . . . 30

Lista de comprobación para la instalación . . . . . . . . . . . . . . . . . . . . . . . . 31

Instalación4 Instalación del software McAfee DLP Endpoint 35

Instalación de la extensión de McAfee Data Loss Prevention Endpoint . . . . . . . . . . . . . 35Inicialización de la consola de directivas de McAfee DLP Endpoint . . . . . . . . . . . 36Ampliación de la licencia . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38

Incorporación del paquete McAfee DLP Endpoint en ePolicy Orchestrator . . . . . . . . . . . 39

5 Instalación de una ampliación de versión 41Ampliación del software McAfee DLP Endpoint . . . . . . . . . . . . . . . . . . . . . . 43Ampliación por fases . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44

McAfee Data Loss Prevention Endpoint 9.3.0 Guía del producto 3

Restauración de la directiva después de la ampliación . . . . . . . . . . . . . . . . . . . 45

6 Despliegue de McAfee DLP Endpoint 47Despliegue del software cliente . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47

Definición de una regla predeterminada . . . . . . . . . . . . . . . . . . . . . . 47Despliegue del cliente de McAfee DLP Endpoint con ePolicy Orchestrator . . . . . . . . 48Verificación de la instalación . . . . . . . . . . . . . . . . . . . . . . . . . . 50

Despliegue de directivas con ePolicy Orchestrator . . . . . . . . . . . . . . . . . . . . . 50Aplicación de la directiva del sistema . . . . . . . . . . . . . . . . . . . . . . . 51Asignación de una directiva o de la configuración de los agentes . . . . . . . . . . . . 52Importación de directivas y edición de descripciones de directivas . . . . . . . . . . . 52Actualización de la directiva . . . . . . . . . . . . . . . . . . . . . . . . . . 53

Configuración y uso7 Configuración de los componentes del sistema 57

Configuración de los agentes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57Aplicación de la configuración global de los agentes . . . . . . . . . . . . . . . . . 58Importación de la configuración global de los agentes . . . . . . . . . . . . . . . . 58Restablecimiento de los valores de configuración de los agentes . . . . . . . . . . . . 58

Configuración de operación en modo seguro . . . . . . . . . . . . . . . . . . . . . . . 58

8 Clasificación del contenido confidencial 61Clasificación por contenido . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61

Utilización de diccionarios para clasificar el contenido . . . . . . . . . . . . . . . . 61Clasificación del contenido con propiedades de documentos o extensiones de archivos . . . 63Definiciones de patrones de texto . . . . . . . . . . . . . . . . . . . . . . . . 63Lista blanca . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69

Clasificación por ubicación de archivo . . . . . . . . . . . . . . . . . . . . . . . . . 70Modo de funcionamiento del análisis de descubrimiento . . . . . . . . . . . . . . . 71Definición de recursos compartidos de archivos de red . . . . . . . . . . . . . . . . 79Definición de parámetros de red . . . . . . . . . . . . . . . . . . . . . . . . . 80Definición de repositorios de documentos registrados . . . . . . . . . . . . . . . . 82

Clasificación por destino de archivo . . . . . . . . . . . . . . . . . . . . . . . . . . 84Cómo se controla el contenido de carácter confidencial en el correo electrónico . . . . . . 85Definición de impresoras de red y locales . . . . . . . . . . . . . . . . . . . . . 87Control de la información cargada en sitios web . . . . . . . . . . . . . . . . . . 90

Clasificación en uso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91Cómo categoriza las aplicaciones McAfee DLP Endpoint . . . . . . . . . . . . . . . 92Aplicaciones y modo de uso . . . . . . . . . . . . . . . . . . . . . . . . . . 93Adición y eliminación de aplicaciones . . . . . . . . . . . . . . . . . . . . . . . 98Definición de tipos de archivos . . . . . . . . . . . . . . . . . . . . . . . . . 99

Reglas de clasificación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101Vinculación de categorías a contenido mediante reglas de clasificación . . . . . . . . . 101Creación y definición de reglas de clasificación . . . . . . . . . . . . . . . . . . 102

9 Seguimiento de contenido con marcas y clasificaciones 107Utilización de marcas y categorías de contenido para clasificar contenido . . . . . . . . . . . 107

Creación de marcas, categorías de contenido, catálogos y grupos . . . . . . . . . . . 108Vinculación de marcas al contenido mediante reglas de marcado . . . . . . . . . . . . . . 110

Creación y definición de reglas de marcado . . . . . . . . . . . . . . . . . . . . 111Marcas manuales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113

Aplicación manual de marcas a los archivos . . . . . . . . . . . . . . . . . . . 114Eliminación de marcas manuales del contenido . . . . . . . . . . . . . . . . . . 114

10 Aplicación de la protección de McAfee DLP 115

Contenido


Protección de medios extraíbles . . . . . . . . . . . . . . . . . . . . . . . . . . . 115Categorización de dispositivos con clases de dispositivos . . . . . . . . . . . . . . 116Control de dispositivos con definiciones de dispositivos . . . . . . . . . . . . . . . 119Reglas de dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124Parámetros de dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . 134

Protección de archivos mediante la gestión de derechos . . . . . . . . . . . . . . . . . . 135Funcionamiento de Data Loss Prevention con gestión de derechos . . . . . . . . . . 137Usuarios de Adobe Rights Management . . . . . . . . . . . . . . . . . . . . . 138Definición del servidor de Adobe RM y sincronización de directivas . . . . . . . . . . 139Definición de un servidor de Microsoft Rights Management Service y sincronización de plantillas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139Definición de un servidor Seclore y sincronización de directivas . . . . . . . . . . . . 140

Control del contenido de carácter confidencial con reglas de protección . . . . . . . . . . . 141Reglas de protección del Portapapeles mejoradas . . . . . . . . . . . . . . . . . 142Funcionamiento de las reglas de protección . . . . . . . . . . . . . . . . . . . . 142Definiciones y cómo definen las reglas . . . . . . . . . . . . . . . . . . . . . . 146Eliminación de reglas, definiciones, clases de dispositivos o grupos de usuarios . . . . . 164Utilización de definiciones predefinidas . . . . . . . . . . . . . . . . . . . . . 164

Limitación de reglas con grupos de asignación . . . . . . . . . . . . . . . . . . . . . 165Asignación de usuarios . . . . . . . . . . . . . . . . . . . . . . . . . . . . 166Grupos de asignación de equipos . . . . . . . . . . . . . . . . . . . . . . . . 168

Supervisión y generación de informes11 Supervisión y generación de informes 171

Recopilación y administración de datos . . . . . . . . . . . . . . . . . . . . . . . . 171Administrador de incidentes de DLP/Eventos operativos de DLP . . . . . . . . . . . 172Tareas de incidentes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 176Edición del ejecutor de tareas . . . . . . . . . . . . . . . . . . . . . . . . . 177Creación de informes . . . . . . . . . . . . . . . . . . . . . . . . . . . . 178Funcionamiento con la base de datos . . . . . . . . . . . . . . . . . . . . . . 182Documentación de eventos mediante pruebas . . . . . . . . . . . . . . . . . . . 182

Redacción y control de acceso según funciones . . . . . . . . . . . . . . . . . . . . . 185Protección de la confidencialidad con la redacción . . . . . . . . . . . . . . . . . 185Control de acceso según funciones . . . . . . . . . . . . . . . . . . . . . . . 188

12 Conjuntos de permisos y usuarios 189Conjuntos de permisos sobre DLP . . . . . . . . . . . . . . . . . . . . . . . . . . 189Creación y definición de administradores de McAfee DLP . . . . . . . . . . . . . . . . . 190Creación y definición de conjuntos de permisos . . . . . . . . . . . . . . . . . . . . . 191

Solución de problemas13 Solución de problemas y operaciones no estándar 195

Herramientas del sistema . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 195Omisión de agente y funciones relacionadas . . . . . . . . . . . . . . . . . . . . . . 196

Solicitud de una clave de omisión . . . . . . . . . . . . . . . . . . . . . . . . 197Despliegue manual de los productos de software del endpoint de McAfee . . . . . . . . . . 198

Creación de un paquete de instalación . . . . . . . . . . . . . . . . . . . . . . 199Creación de un anuncio . . . . . . . . . . . . . . . . . . . . . . . . . . . . 200Creación del paquete de desinstalación de SMS . . . . . . . . . . . . . . . . . . 200Creación de un paquete de desinstalación de SMS para su ejecución desde una línea decomando . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 201

Temas avanzados: Ejecución del robot de rastreo (crawler) de PST desde la línea de comandos . 202

Contenido


Índice 203

Contenido


Prefacio

Contenido Acerca de esta guía Búsqueda de documentación de productos

Acerca de esta guíaEsta información incluye los destinatarios de la guía, las convenciones tipográficas y los iconosutilizados, además de cómo está organizada.

DestinatariosLa documentación de McAfee se investiga y escribe cuidadosamente para sus destinatarios.

La información de esta guía va dirigida principalmente a:

• Administradores: personas que implementan y aplican el programa de seguridad de la empresa.

• Responsables de seguridad: personas encargadas de determinar qué información es confidencialy definir la directiva corporativa que protege la propiedad intelectual de la empresa.

ConvencionesEn esta guía se utilizan los siguientes iconos y convenciones tipográficas.

Título de libro, término oénfasis

Título de un libro, capítulo o tema; introducción de un nuevo término;énfasis.

Negrita Texto que se enfatiza particularmente.

Datos introducidos porel usuario, código,mensajes

Comandos u otro texto que escribe el usuario; un ejemplo de código;un mensaje que aparece en pantalla.

Texto de la interfaz Palabras de la interfaz del producto, como los nombres de opciones,menús, botones y cuadros de diálogo.

Azul hipertexto Un vínculo a un tema o a un sitio web externo.

Nota: Información adicional, como un método alternativo de acceso auna opción.

Sugerencia: Sugerencias y recomendaciones.

Importante/atención: Consejo importante para proteger el sistema,la instalación del software, la red, la empresa o los datos.

Advertencia: Consejo especialmente importante para prevenir dañosfísicos cuando se usa un producto de hardware.


Búsqueda de documentación de productosMcAfee le proporciona la información que necesita en cada fase del proceso de implementación delproducto, desde la instalación al uso diario y a la solución de problemas. Tras el lanzamiento de unproducto, su información se introduce en la base de datos online KnowledgeBase de McAfee.

Procedimiento1 Vaya a McAfee Technical Support ServicePortal en http://mysupport.mcafee.com.

2 En Self Service (Autoservicio), acceda al tipo de información que necesite:

Para acceder a... Haga lo siguiente...

Documentación deusuario

1 Haga clic en Product Documentation (Documentación del producto).

2 Seleccione un producto, después seleccione una versión.

3 Seleccione un documento del producto.

KnowledgeBase • Haga clic en Search the KnowledgeBase (Buscar en KnowledgeBase) paraencontrar respuestas a sus preguntas sobre el producto.

• Haga clic en Browse the KnowledgeBase (Examinar KnowledgeBase) para verlos artículos clasificados por producto y versión.

PrefacioBúsqueda de documentación de productos


http://mysupport.mcafee.com

1 Introducción

McAfee® Data Loss Prevention (McAfee DLP) protege a las empresas frente a los riesgos asociados conla transferencia de datos sin autorización desde dentro o fuera de la organización.

McAfee Data Loss Prevention Endpoint (El software McAfee DLP Endpoint) es una solución de agentebasada en contenido que supervisa las acciones de los usuarios de la empresa que afectan alcontenido de carácter confidencial en su propio entorno de trabajo, es decir, sus equipos.

El software McAfee DLP Endpoint utiliza tecnología de descubrimiento avanzada, reconocimiento depatrón de texto y diccionarios predefinidos para la identificación de este contenido de carácterconfidencial e incorpora la administración de dispositivos y el cifrado de capas adicionales de control.Funciona con software de protección de terceros como Adobe LiveCycle Rights Management, MicrosoftRights Management Service, Seclore FileSecure y Titus Message Classification para ampliar laseguridad de sus datos. Las directivas y reglas pueden configurarse de modo que se apliquen tantodentro como fuera de la red de la empresa o en ambos sitios.

Esta guía proporciona toda la información necesaria para instalar, desplegar y usar el software McAfeeDLP Endpoint: configuración de los agentes, creación de las reglas de dispositivos, marcado yprotección del contenido y supervisión de las directivas para evitar la pérdida de datos.

El software McAfee DLP Endpoint versión 9.3 se ejecuta en McAfee® ePolicy Orchestrator® (McAfeeePO™), el administrador de directivas centralizado para sistemas y productos de seguridad. La versión9.3 puede instalarse en ePolicy Orchestrator 4.5, 4.6 o 5.0.

Contenido Cómo funciona McAfee DLP Endpoint Componentes del producto y su interacción

1


Cómo funciona McAfee DLP EndpointMcAfee DLP Endpoint protege la información confidencial de la empresa mediante el despliegue dedirectivas compuestas por reglas de clasificación, reglas de marcado, reglas de protección, reglas dedispositivos y asignaciones de grupos y usuarios.

Las directivas de McAfee DLP Endpoint se supervisan y las acciones definidas mediante contenidoidentificado como confidencial se supervisan o se bloquean, según sea necesario. En ciertos casos, elcontenido de carácter confidencial se cifra antes de permitir la acción. El contenido se almacena comoprueba y se generan informes para facilitar la revisión y el control del proceso.

Figura 1-1 Flujo de trabajo de McAfee DLP Endpoint

ClasificarPara proteger el contenido de carácter confidencial, el McAfee DLP administrador comienza por definiry clasificar lo que debe protegerse. El contenido puede clasificarse por:

Ubicación Las ubicaciones pueden definirse de acuerdo al origen del contenido (por ejemplo,la carpeta Departamento de finanzas) o al destino donde se copia (por ejemplo,una unidad flash no cifrada). Una categoría especial es el Repositorio dedocumentos registrados.

Tipo decontenido

Entre los tipos de contenido se encuentran el contenido cifrado, el contenido conpropiedades de documentos o tipos de archivos específicos, o el contenido conmarcas o categorías de contenido.

Términosespecíficos

Los diccionarios definen listas de palabras sensibles. Por ejemplo, para proteger lainformación médica privada, el diccionario de HIPAA incluye términos médicos quedeben conservar su confidencialidad.

Patrones detexto

Para clasificar información pueden usarse cadenas definidas, como Confidencial dela empresa, o expresiones regulares que pueden usarse para identificar númerosde tarjeta de crédito u otros patrones regulares.

1 IntroducciónCómo funciona McAfee DLP Endpoint


El correo electrónico puede clasificarse con la popular aplicación Titus Message Classification. Lasclasificaciones de Titus se reconocen como patrones de texto que se utilizan para crear reglas deprotección de correo electrónico.

Reglas de clasificación

Las reglas de clasificación aplican categorías de contenido según el análisis del contenido y sucorrespondencia con patrones o palabras clave predefinidos. Existen dos tipos de reglas declasificación:

• Reglas de clasificación del contenido que comparan el contenido con cadenas predefinidas ycon patrones de texto o diccionarios.

• Reglas de clasificación de documentos registrados que clasifican todo el contenidoespecificado en un grupo de carpetas definido.

Véase también Creación de una definición de repositorio de documentos registrados en la página 83

SeguimientoPara realizar un seguimiento del contenido de carácter confidencial, se aplica una marca o unacategoría de contenido al archivo que incluye este tipo de contenido. Las marcas se almacenan en losatributos extendidos (EA) o los flujos alternativos de datos (ADS, Alternate Data Streams) de unarchivo. Al acceder a estos archivos, el software McAfee DLP Endpoint realiza un seguimiento de latransformación de los datos y mantiene la clasificación del contenido de carácter confidencial de formapermanente, con independencia de cómo se utiliza. Si, por ejemplo, un usuario abre un documento deWord marcado, copia unos párrafos del documento en un archivo de texto y adjunta dicho archivo aun mensaje de correo electrónico, el mensaje saliente tendría la misma marca que el documentooriginal.

Compatibilidad con información de marcas persistente

En el caso de sistemas de archivos que no sean compatibles con EA o ADS, el software McAfee DLPEndpoint almacena la información de marcas en el disco en forma de metarchivo. Los metarchivos sealmacenan en una carpeta oculta cuyo nombre es ODB$ y que es creada automáticamente por elsoftware cliente de McAfee DLP Endpoint.

Reglas de marcado

Las reglas de marcado y clasificación, basadas en las necesidades de la empresa, identifican lainformación confidencial y sus orígenes. La información se puede clasificar por:

• Aplicación: las reglas de marcado basadas en la aplicación aplican marcas que, por lo general, sebasan en la aplicación o las aplicaciones que crean un archivo (como se especifica en lasdefiniciones de la aplicación) o en el tipo o la extensión del archivo.

• Ubicación: cuando un proceso local accede o copia un archivo, se aplican reglas de marcadobasadas en la ubicación del archivo de origen. Por ejemplo, cuando se copia un archivo de formalocal desde un recurso compartido de un servidor de red.

Puede agregar patrones de texto y diccionarios a una regla de marcado basada en la ubicación o en laaplicación combinando ambos tipos de reglas.

Además de usar reglas de marcado, pueden aplicarse marcas manualmente o durante el proceso dedescubrimiento

IntroducciónCómo funciona McAfee DLP Endpoint 1


Reglas de descubrimiento

McAfee Data Loss Prevention Discover es un robot de rastreo (crawler) que se ejecuta en equiposgestionados. Las reglas de descubrimiento de almacenamiento de correo electrónico y del sistema dearchivos pueden definir el contenido que se busca, ya sea para supervisarlo, ponerlo en cuarentena omarcarlo, y tanto si se deben almacenar pruebas como si no. Las reglas de descubrimiento del sistemade archivos también pueden utilizarse para cifrar archivos o aplicarles directivas de gestión dederechos. Los ajustes de la configuración global del agente determinan cuándo y dónde se efectúa labúsqueda.

ProtegerLa protección se define con las reglas de dispositivos y de protección que pueden filtrarse por gruposde usuarios (aplicaciones). Las reglas se aplican con directivas. Las excepciones se definen con listasblancas.

Reglas de protección

Las reglas de protección impiden la distribución no autorizada de datos marcados. Cuando un usuariointenta copiar o adjuntar datos marcados, las reglas de protección determinan si estas acciones debenpermitirse, supervisarse o bloquearse. Además de las marcas y categorías de contenido, las reglas deprotección se definen con aplicaciones o grupos de aplicaciones, asignaciones de usuarios ydefiniciones como destinos de correo electrónico, propiedades de documento o patrones de texto.

Reglas de dispositivos

Las reglas de dispositivos supervisan y, en caso necesario, impiden que el sistema cargue dispositivosfísicos como dispositivos de almacenamiento extraíbles, Bluetooth, Wi‑Fi y otros dispositivos Plug andPlay. Las clases y definiciones de dispositivos se utilizan para definir las reglas de dispositivos.

Grupos de asignación

Los grupos de asignación aplican reglas de protección específicas a distintos grupos, usuarios yequipos de la empresa.

Directivas y despliegue de directivas

Una directiva es la combinación de reglas de marcado, reglas de protección, definiciones y grupos deasignación. Las directivas se despliegan mediante el software ePolicy Orchestrator en los equiposgestionados de la empresa (equipos con McAfee Agent instalado).

Listas blancas

Las listas blancas son recopilaciones de elementos que el sistema debe ignorar. McAfee DLP Endpointutiliza cuatro tipos de listas blancas:

• Aplicación: las reglas de dispositivos pueden bloquear aplicaciones ejecutadas desde dispositivosextraíbles. Para permitir las aplicaciones necesarias como el software de cifrado, se pueden creardefiniciones de aplicación en lista blanca para que dichas aplicaciones se excluyan de la regla debloqueo. Las definiciones se aplican sólo a dispositivos de almacenamiento extraíbles.

• Contenido: la carpeta de la lista blanca contiene archivos de texto que definen contenidos(normalmente repetitivos) que no están marcados ni restringidos. Su propósito principal es mejorarla eficiencia del proceso de marcado ignorando el contenido estándar que no necesita protección.

1 IntroducciónCómo funciona McAfee DLP Endpoint


• Dispositivos Plug and Play: algunos dispositivos Plug and Play no llevan a cabo la administraciónde dispositivos de forma óptima. El intento de gestionarlos puede provocar una interrupción en larespuesta del sistema u otros problemas graves. Los dispositivos Plug and Play de la lista blanca seexcluyen automáticamente cuando se aplica una directiva.

• Impresoras: para impedir la impresión de datos confidenciales, McAfee DLP Endpoint sustituye elcontrolador original de la impresora por un controlador proxy que intercepta las operaciones deimpresión y las transfiere al controlador original. En algunos casos, los controladores de impresorano funcionan en esta arquitectura, por lo que la impresora deja de responder. Las impresoras delista blanca están excluidas del proceso de instalación del controlador proxy.

SupervisarCuando la aplicación de una regla bloquea, supervisa o provoca otro tipo de acción, se genera unevento que se envía al Analizador de eventos de ePolicy Orchestrator y se almacena en una base dedatos. El evento puede contener evidencia de la infracción de la regla. Además, los eventos de sistemageneran eventos administrativos como el despliegue de directivas o los análisis de descubrimiento. Lafunción de supervisión de directivas incluye:

• Supervisión de incidentes: la página Administrador de incidentes de DLP en ePolicy Orchestratorpermite a los administradores ver los eventos de los agentes y las pruebas en el momento en elque se reciben.

• Supervisión de eventos administrativos: la página Eventos operativos de DLP en ePolicyOrchestrator permite a los administradores ver los eventos administrativos.

• Recopilación de pruebas: si hay reglas de protección definidas para recopilar pruebas, se guardauna copia de los datos marcados y se vincula al evento específico. Esta información ayuda adeterminar la gravedad o la exposición del evento. La prueba se cifra mediante el algoritmo AESantes de que se guarde.

• Subrayado de coincidencias: se puede guardar la prueba resaltando el texto que ha provocadoel evento. La prueba resaltada se guarda como un archivo HTML cifrado independiente.

Además, pueden aparecer tendencias de eventos en los paneles de ePolicy Orchestrator.

IntroducciónCómo funciona McAfee DLP Endpoint 1


Componentes del producto y su interacciónMcAfee DLP Endpoint consta de varios componentes. Cada uno de ellos desempeña un papel concretoen la defensa de su red frente a la fuga de datos.

Figura 1-2 Software McAfee DLP Endpoint

Consola de directivas

La consola de directivas de McAfee DLP Endpoint es la interfaz en la que el administrador define yaplica la directiva de seguridad de la información de la empresa. Se utiliza para crear la directiva deseguridad de la información, así como para administrar los componentes del software McAfee DLPEndpoint.

A la consola de directivas de McAfee DLP Endpoint se accede desde el ePolicy Orchestrator alseleccionar Menú | Protección de datos | Directiva de DLP.

Supervisión de eventos

La supervisión de DLP ahora es una función nativa del ePolicy Orchestrator. Los eventos generados porlas directivas de DLP ahora se conocen como "incidentes" para diferenciarlos de los eventosadministrativos generados por el ePolicy Orchestrator.

Los incidentes se muestran en la página Administrador de incidentes de DLP | Lista de incidentes. Los eventos deDLP se muestran en la página Eventos operativos de DLP Lista. A estas páginas se accede desde Menú |Protección de datos en ePolicy Orchestrator. Todos los eventos se pueden filtrar y ordenar según criterioscomo reglas de protección, gravedad, fecha, hora, usuario, nombre de equipo o versión de directiva. Eladministrador puede etiquetar los eventos para facilitar su seguimiento.

Al definir conjuntos de permisos de ePolicy Orchestrator, puede configurar permisos para ver la listade eventos o incidentes y así poder asignar revisores a los distintos conjuntos de eventos. Puededisponer de un revisor distinto encargado de revisar la información redactada.

Véase también Creación y definición de conjuntos de permisos en la página 191

1 IntroducciónComponentes del producto y su interacción


Acerca del software cliente de McAfee Data Loss PreventionEndpointEl software cliente de McAfee DLP Endpoint se despliega como un complemento de McAfee® Agent, yaplica las directivas definidas en la directiva de McAfee DLP Endpoint. El software cliente de McAfeeDLP Endpoint audita las actividades de los usuarios para supervisar, controlar e impedir que losusuarios no autorizados copien o transfieran información confidencial. A continuación, genera eventosque se registran mediante el Analizador de eventos de ePolicy Orchestrator.

Funcionamiento con conexión/sin conexión

Las reglas de dispositivos y de protección pueden supervisar o proteger información de carácterconfidencial en un equipo gestionado con conexión, sin conexión o en ambos casos. Se considera queun equipo tiene conexión cuando está conectado al servidor de ePolicy Orchestrator.

Múltiples sesiones de usuarios

El software cliente de McAfee DLP Endpoint es compatible con la función de cambio rápido de usuario(FUS) en Windows Vista, Windows 7, Windows 8, Windows Server 2003, Windows Server 2008 yWindows Server 2012 con múltiples sesiones de usuarios. La compatibilidad con equipos desobremesa virtuales puede dar lugar a múltiples sesiones de usuarios desde un único equipo host.Puede ver las sesiones de usuario en la página de ePolicy Orchestrator Árbol de sistemas | Sesiones deusuarios de DLP.

Analizador de eventos

Los eventos generados por el software cliente de McAfee DLP Endpoint se envían al Analizador deeventos de ePolicy Orchestrator y se registran en tablas dentro de la base de datos de ePolicyOrchestrator. Estos eventos se almacenan en la base de datos para su análisis posterior y se utilizanen otros componentes del sistema.

IntroducciónComponentes del producto y su interacción 1


1 IntroducciónComponentes del producto y su interacción


DespliegueEn este apartado se describen las opciones para planificar el despliegue desoftware McAfee DLP Endpoint.Trata sobre las diferencias entre los productos de McAfee Data LossPrevention, sobre la instalación recomendada y los problemas decompatibilidad con versiones anteriores para aquellos que amplíen a unaversión anterior.

Ya que McAfee DLP Endpoint funciona con McAfee ePolicy Orchestrator, eneste apartado también se tratan los problemas de instalación de McAfee ePOy Microsoft SQL, así como la configuración del servidor para los requisitosespeciales del software McAfee DLP Endpoint.

Una vez haya finalizado este apartado, debería estar listo para instalar laextensión del softwareMcAfee DLP Endpoint en McAfee ePolicy Orchestrator,activar el paquete del agente en el repositorioMcAfee ePO y desplegar elsoftware cliente en sus equipos de endpoint.

Capítulo 2 Escenarios y opciones de despliegueCapítulo 3 Planificación del despliegue


Despliegue


2 Escenarios y opciones de despliegue

La clasificación de la información corporativa en distintas categorías de prevención de fuga de datosresulta fundamental en el despliegue y la administración del software McAfee Data Loss PreventionEndpoint. Aunque existen directrices y recomendaciones, el esquema ideal depende de los objetivos ylas necesidades de la empresa, y es propio de cada instalación. Elegir entre las dos opciones de DLP,McAfee Device Control y la versión completa de McAfee DLP Endpoint, constituye el primer paso a lahora de determinar el modo en que se satisfarán dichas necesidades.

Dada la dificultad de determinar con antelación y exactitud la naturaleza de sus necesidadesexclusivas, recomendamos el despliegue inicial en un grupo de muestra de entre 15 y 20 usuariosdurante un período de prueba de un mes. Durante este período no se clasifican datos, y se crea unadirectiva para supervisar, no bloquear, las transacciones. La supervisión de los datos ayuda a losresponsables de seguridad a tomar las decisiones apropiadas sobre dónde y cómo clasificar los datosempresariales. Las directivas creadas a partir de esta información se deben someter a prueba en ungrupo de prueba de mayor tamaño (o, en el caso de empresas muy grandes, en una serie de gruposcada vez de mayor tamaño) antes de desplegarlas en toda la empresa.

Contenido Selección de una opción de producto de endpoint Explicación de la compatibilidad con versiones anteriores Instalación recomendada

Selección de una opción de producto de endpointMcAfee ofrece dos opciones de prevención de fuga de datos para endpoints: McAfee Device Control yMcAfee DLP Endpoint. Los dos productos utilizan el mismo software instalado y la diferencia seencuentra en sus licencias.

Explicación de las opciones de DLP para endpoints de McAfee

El software McAfee DLP Endpoint está disponible en dos configuraciones: una configuración sólo paracontrol de dispositivos y una configuración completa de McAfee DLP Endpoint. Durante la instalación,se activa la configuración de McAfee Device Control de forma predeterminada. Se puede pasar a laconfiguración con todas las funciones ampliando la clave de licencia en el menú Ayuda.

¿Qué es McAfee Device Control?

El software McAfee Device Control impide el uso no autorizado de dispositivos multimedia extraíbles,que actualmente es la causa de fuga de datos más cara y extendida en muchas empresas. Es laconfiguración predeterminada en el momento de la instalación.

El software McAfee Device Control proporciona:

2


• Persistente protección de datos basada en el contenido para dispositivos que controla losdatos que se pueden copiar a dispositivos extraíbles o, incluso, controla estos dispositivos y losbloquea por completo o hace que sean de solo lectura; bloquea la ejecución de aplicaciones desdeunidades extraíbles.

• Protección para dispositivos portátiles para unidades USB, iPods, dispositivos Bluetooth, CD,DVD y otros medios extraíbles, además de para discos duros que no sean del sistema.

La instalación predeterminada del software McAfee DLP Endpoint incluye una licencia para versión deprueba de 90 días del software McAfee Device Control. Amplíe a la configuración completa del softwareMcAfee DLP Endpoint ampliando la licencia. Las opciones de licencia para cualquiera de las versionesdel software son de 90 días de prueba o por tiempo ilimitado. Al realizar la ampliación no es necesariovolver a instalar el software.

¿Qué es la versión completa de McAfee DLP Endpoint?El software McAfee DLP Endpoint proporciona:

• Protección universal contra la fuga de datos a través del amplísimo espectro de canales en losque puede producirse: dispositivos extraíbles, discos duros que no sean del sistema, correoelectrónico o datos adjuntos de correo electrónico, publicaciones web, portapapeles y capturas depantalla, impresión, sistema de archivos, etc.

• Persistente protección de datos basada en el contenido frente a la fuga de datos conindependencia del formato en que éstos se almacenen o manipulen; aplica la prevención de fugade datos sin perturbar las actividades legítimas que realizan los usuarios.

• Protección para dispositivos portátiles que impide la transmisión de datos confidenciales desdeequipos de sobremesa y desde portátiles, estén o no conectados a la red de la empresa.

¿Qué diferencia hay entre las configuraciones?Las siguientes definiciones están desactivadas (no disponibles) en el software McAfee Device Control:

• Descubrimiento • Impresoras

• Destinos de correo electrónico • Gestión de derechos

• Servidores de archivos • Destinos web

• Red

Las siguientes funciones no están disponibles:

• Reglas de protección (con la excepción de las reglas de almacenamiento extraíble)

• Marcas y reglas de marcado

Explicación de la compatibilidad con versiones anterioresPara permitir una ampliación ordenada en grandes empresas que hayan desplegado versionesanteriores de McAfee DLP Endpoint en su entorno de producción, existe la opción de desplegardirectivas compatibles con versiones anteriores en equipos en los que se sigan ejecutando los agentesanteriores.El Host DLP Agent 9.1 es la versión más reciente admitida por esta función. Las empresas queejecutan versiones anteriores deben ampliar al Host DLP Agent 9.1 o posterior antes de ampliar aMcAfee DLP Endpoint 9.3.

La opción de compatibilidad con versiones anteriores, que permite la comunicación tanto con agentesantiguos como nuevos, tiene tres niveles:

2 Escenarios y opciones de despliegueExplicación de la compatibilidad con versiones anteriores


• Sin compatibilidad (todos los endpoints son de la versión 9.3)

• McAfee DLP Endpoint Agent 9.2 y posteriores

• Agente de McAfee DLP Endpoint 9.1 y posterior

La opción de compatibilidad con agentes se selecciona durante la inicialización de la consola dedirectivas de McAfee DLP Endpoint. Se puede modificar en cualquier momento en Herramientas | Opciones.

Instalación recomendadaLa instalación recomendada para la implementación simple de McAfee Data Loss Prevention Endpointes en un único servidor junto con el software McAfee ePolicy Orchestrator.

Para ver las recomendaciones sobre si utilizar o no un servidor distinto para la base de datos deePolicy Orchestrator consulte la Guía sobre el uso del ancho de banda y tamaño del hardware paraePolicy Orchestrator 4.5 o la Guía sobre el uso del ancho de banda y tamaño del hardware para ePolicyOrchestrator 4.6.

Figura 2-1 Componentes y relaciones de McAfee DLP Endpoint

Escenarios y opciones de despliegueInstalación recomendada 2


https://kb.mcafee.com/corporate/index?page=content&id=PD22426




La arquitectura recomendada incluye:

• Servidor de ePolicy Orchestrator : alberga la interfaz de la consola de directivas de McAfee DLPEndpoint incrustada y se comunica con el software McAfee Agent en los equipos de endpoint.

En la versión 9.3, la interfaz incrustada para McAfee DLP Monitor se ha sustituido por doscomponentes de ePolicy Orchestrator: Administrador de incidentes de DLP y Eventos operativos deDLP. De este modo se optimiza la seguridad ya que se elimina el vínculo de conexión del servicioWCF.

• Informes de McAfee ePO : una lista de eventos de McAfee DLP Endpoint dentro del servicio degeneración de informes de McAfee ePolicy Orchestrator sustituye a los informes de DLP.

• Analizador de eventos de ePolicy Orchestrator : se comunica con McAfee Agent yalmacena información de eventos en una base de datos.

• Analizador de eventos de DLP: recopila eventos de McAfee DLP Endpoint procedentes delAnalizador de eventos de ePolicy Orchestrator y los almacena en tablas de DLP en la base dedatos de SQL.

• Base de datos de ePO: se comunica con el Distribuidor de directivas de ePolicy Orchestratorpara distribuir las directivas, y con el Analizador de eventos de DLP para recopilar eventos ypruebas.

• Estación de trabajo del administrador: accede al ePolicy Orchestrator y a la consola dedirectivas de McAfee DLP Endpoint en un navegador.

• Endpoint gestionado: aplica las directivas de seguridad mediante el software siguiente:

• Cliente de McAfee DLP Endpoint : un complemento de McAfee Agent que proporciona losprocesos y directivas de McAfee DLP.

• McAfee Agent : proporciona el canal de comunicación entre el servidor de ePolicy Orchestratory el software cliente de McAfee DLP Endpoint.

2 Escenarios y opciones de despliegueInstalación recomendada


3 Planificación del despliegue

Prepare su entorno para instalar el software McAfee DLP Endpoint en ePolicy Orchestrator.Antes de instalar el software McAfee DLP Endpoint, configure el servidor de ePolicy Orchestrator y creey configure las carpetas de repositorio.

Cuando instale ePolicy Orchestrator, tenga en cuenta lo siguiente:

• En las opciones de instalación de ePolicy Orchestrator, le recomendamos que seleccione la opciónInstalar el servidor y la consola.

• El software McAfee DLP Endpoint necesita Microsoft SQL Server 2005 o posterior. Al instalar enWindows Server 2003, recomendamos utilizar el instalador de SQL Server 2005 Express incluido enel instalador de McAfee ePO.

Tras verificar que desea instalar el software, la instalación de SQL continúa sin intervención delusuario. Si se le pide instalar SQL Server 2005 Backward Compatibility, debe instalarlo.

La opción recomendada al instalar en Windows Server 2008 consiste en crear una instancia deePolicy Orchestrator en un servidor SQL Server 2005 o 2008 existente y seleccionarla.Recomendamos utilizar una cuenta de SQL Server. Si lo prefiere, también puede utilizar una cuentade NT.

• Durante la instalación, es posible que aparezca un mensaje de advertencia sobre los sitios deconfianza. Anote los nombres de los sitios de confianza que se recomienda agregar a la listacorrespondiente en Internet Explorer antes de hacer clic en Aceptar. Tendrá que agregarlos másadelante.

Algunas secuencias de comandos de instalación requieren que la cuenta SERVICIO DE RED tengapermiso de escritura para la carpeta C:\Windows\Temp. En sistemas seguros, esta carpeta puede estarbloqueada. En ese caso, deben cambiarse temporalmente los permisos para esa carpeta. Si no se hace,la instalación no se realizará correctamente. Recomendamos llevar a cabo todas las instalaciones desoftware antes de restablecer los permisos.

Funciones y permisosPiense en las funciones de administrador que necesita para gestionar el sistema y cree los perfiles deusuario necesarios. Es posible que se necesiten funciones tales como administradores de McAfee DLP,creadores de directivas, visores de monitores, marcadores manuales y otras, dependiendo del tamañodel sistema y de la centralización que desee para el control. El sistema se puede modificar encualquier momento, por lo que la lista no tiene que estar completa.

Consulte el capítulo 12 Conjuntos de permisos y usuarios de esta guía para obtener más información.

Contenido Verificación de requisitos del sistema Configuración del servidor Trabajo en un entorno de clúster Creación y configuración de carpetas de repositorio Lista de comprobación para la instalación

3


Verificación de requisitos del sistemaPara ejecutar el software McAfee DLP Endpoint versión 9,3, se recomienda el siguiente hardware.

Tabla 3-1 Requisitos de hardware

Tipo dehardware

Especificaciones

Servidores • CPU: Intel Pentium IV 2,8 GHz o superior

• RAM• Únicamente 1 GB como mínimo para el software McAfee Device Control (se

recomiendan 2 GB).

• 1 GB como mínimo para el software McAfee DLP Endpoint completo (serecomiendan 2 GB)

• Disco duro: 80 GB como mínimo

Equiposendpoint

• CPU: Pentium III 1 GHz o superior

• RAM• 512 MB como mínimo para el software McAfee Device Control (se recomienda

1 GB)

• 1 GB como mínimo para el software McAfee DLP Endpoint completo (serecomiendan 2 GB)

Cuando se use la función de descubrimiento de McAfee DLP Endpoint,recomendamos 2 GB como mínimo.

• Disco duro: 300 MB como mínimo de espacio libre en disco (se recomienda500 MB)

Red LAN de 100 megabits para todas las estaciones de trabajo y el servidor de McAfeeePO

Se admite el siguiente software de sistema operativo Microsoft.

3 Planificación del despliegueVerificación de requisitos del sistema


Tabla 3-2 Sistemas operativos compatibles

Tipo de equipo Software

Servidores • Windows Server 2003 Standard (SE) SP1 o posterior (32 o 64 bits)

• Windows Server 2003 Enterprise (EE) SP1 o posterior (32 o 64 bits)

• Windows Server 2008 Enterprise SP1 o posterior (32 o 64 bits)

• Windows Server 2012 (Win 8 Server) de 64 bits

Equiposendpoint

• Windows XP Professional SP3 o posteriores de 32 bits

• Microsoft Windows Vista SP1 o posterior (sólo de 32 bits)

• Windows 7 o SP1 32 o 64 bits)

• Windows 8 de 32 o 64 bits

Las reglas de DLP no se admiten en las versiones de estilo Metro de lasaplicaciones como Internet Explorer.

• Windows Server 2003 SP2 (32 o 64 bits)

• Windows Server 2008 SP2 (32 bits)

• Windows Server 2008 R2 (64 bits)

• Windows Server 2012 de 64 bits

El usuario que instale el software McAfee DLP Endpoint en los servidores debe ser miembro del grupode administradores locales.

Los siguientes sistemas operativos virtuales son compatibles.

Tabla 3-3 Sistemas operativos virtuales compatibles

Tipo de sistema Software

Sistemas VDI • Citrix XenDesktop 5.5 y 5.6

• VMware View 4.6 y 5.0

Equipos de sobremesa remotos • Citrix XenApp 6.0 y 6.5

• Microsoft Remote Desktop

Es necesario el siguiente software en el servidor en el que se ejecute la consola de directivas deMcAfee DLP Endpoint.

Tabla 3-4 Requisitos de software del servidor

Software Versión

McAfee ePolicy Orchestrator • 4.5 Parche 3 o posterior

• 4.6 o posterior

• 5.0

McAfee Agent • 4.5 Parche 4 o posterior

• 4.6 Parche 2 o posterior

• 4.8

Sistema de ayuda de McAfeeePO

Descargue la extensión de ayuda de McAfee DLP Endpoint 9.3(help_dlp_930).

Planificación del despliegueVerificación de requisitos del sistema 3


Tabla 3-4 Requisitos de software del servidor (continuación)

Software Versión

Microsoft .NET 3.5 SP1, 4.0 o 4.5

Los administradores de agentes que se encuentren en servidoresremotos ya no requieren .NET Framework.

Microsoft SQL Server • 2005 o 2008, Advanced Express o Enterprise, (32 o 64 bits)

• 2012 Express o Enterprise, 32 o 64 bits

Microsoft SQL ServerManagement Studio

Instale la versión que coincida con la versión de Microsoft SQL Serverque usa.

El paquete de software McAfee DLP Endpoint versión 9.3.0.x incluye lo siguiente:

• Cliente de McAfee Data Loss Prevention Endpoint (complemento de McAfee Agent)

• Extensión de McAfee DLP Endpoint (contiene los componentes instalados a través de ePolicyOrchestrator, incluido McAfee® Help Desk 2.0 )

Configuración del servidorLa configuración básica del servidor de McAfee ePO incluye el establecimiento de la configuración deseguridad y la comprobación de la instalación de .NET.

Antes de empezarCompruebe que el servidor cumple los requisitos mínimos del sistema.

Procedimiento

1 Instale Microsoft Windows Server 2003, Windows Server 2008 o Windows Server 2012.

2 Instale Windows Installer 3.0 (Windows Server 2003) o 4.5 (Windows Server 2008) y reinicie elsistema. Instale los service packs de Microsoft Windows.

3 Ejecute Windows Update e instale todos los parches y actualizaciones.

4 Desactive el componente Configuración de seguridad mejorada de Microsoft Internet Explorer.

• En Windows Server 2003, abra el panel de control de Windows y, a continuación, seleccioneAgregar o quitar componentes de Windows.

• En Windows Server 2008, abra el Administrador del servidor y, seguidamente, seleccioneConfigurar ESC de Internet Explorer en la sección Información de seguridad.

Este producto de Microsoft puede dificultar la correcta instalación de los componentes de McAfeeDLP Endpoint. Desactívelo antes de la instalación y, en caso necesario, vuelva a configurarlo cuandofinalice.

5 Verifique que Microsoft .NET Framework 3.5 SP1, 4.0 o 4.5 esté instalado.

6 Defina el servidor en una dirección IP fija.

Recomendamos que para la prueba inicial se utilice una subred distinta a la red de producción de laempresa. Si va a configurar un entorno de producción, defina la dirección IP fija del servidor dentrode ese intervalo.

3 Planificación del despliegueConfiguración del servidor


Véase también Verificación de requisitos del sistema en la página 24

Trabajo en un entorno de clústerEl software McAfee DLP Endpoint proporciona una alta disponibilidad para entornos que ejecutenePolicy Orchestrator en un clúster.Recomendamos la instalación de clústeres en un servidor Microsoft Windows Server 2008 con funciónde Failover Clustering. No se ha probado, y actualmente no se admite, la instalación en otros sistemasoperativos.

Antes de ejecutar el software McAfee DLP Endpoint en un entorno de clúster, asegúrese de losiguiente:

• Microsoft Failover Clustering está configurado y en ejecución en un clúster de dos o más servidores.

• Hay configuradas dos unidades independientes para la agrupación: una unidad de quórum y unaunidad de datos.

• Existe un servidor de base de datos compatible (SQL Server 2005 o SQL Server 2008) en la red.

• ePolicy Orchestrator está configurado según las directrices de instalación de clústeres de McAfeeePolicy Orchestrator. Puede encontrar las guías en:

• Para ePolicy Orchestrator 4.5: https://kc.mcafee.com/resources/sites/mcafee/content/live/product_documentation/21000/pd21842/en_us/epo_450_cluster_install_guide_en‑us.pdf

• Para ePolicy Orchestrator 4.6: https://kc.mcafee.com/resources/sites/mcafee/content/live/product_documentation/22000/pd22974/en_us/epo_460_install_guide_en‑us.pdf

• Para ePolicy Orchestrator 5.0: la documentación no está disponible en el momento de escribireste documento. Busque en el sitio de Atención al cliente para obtener la guía pertinente.

Procedimientos• Preparación del clúster en la página 27

Antes de ejecutar el software McAfee DLP Endpoint en un entorno de clúster, asegúrese delo siguiente.

• Prueba del clúster en la página 28Conviene probar las instalaciones de clúster antes de su uso.

Preparación del clúster Antes de ejecutar el software McAfee DLP Endpoint en un entorno de clúster, asegúrese de losiguiente.

• Microsoft Failover Clustering está configurado y en ejecución en un clúster de dos o más servidores.

• Hay configuradas dos unidades independientes para la agrupación: una unidad de quórum y unaunidad de datos.

• Existe un servidor de bases de datos compatible (SQL Server 2005 o SQL Server 2008) en la red.

Planificación del despliegueTrabajo en un entorno de clúster 3


https://kc.mcafee.com/resources/sites/mcafee/content/live/product_documentation/21000/pd21842/en_us/epo_450_cluster_install_guide_en-us.pdf


https://kc.mcafee.com/resources/sites/mcafee/content/live/product_documentation/22000/pd22974/en_us/epo_460_install_guide_en-us.pdf


• ePolicy Orchestrator se ha configurado correctamente.

• Para ePolicy Orchestrator 4.5, consulte la Guía de instalación de clúster deMcAfee ePolicyOrchestrator 4.5. Puede encontrar la guía en: https://kc.mcafee.com/resources/sites/mcafee/content/live/product_documentation/21000/pd21842/en_us/epo_450_cluster_install_guide_en‑us.pdf.

• Para ePolicy Orchestrator 4.6, consulte la sección de instalación de clúster de la Guía deinstalación de McAfee ePolicy Orchestrator 4.6. Puede encontrar la guía en: https://kc.mcafee.com/resources/sites/mcafee/content/live/product_documentation/22000/pd22974/en_us/epo_460_install_guide_en‑us.pdf.

Prueba del clústerConviene probar las instalaciones de clúster antes de su uso.

Cuando el clúster de McAfee DLP Endpoint se ha configurado y está online, utilice esta tarea paraasegurarse de que funciona en una situación de conmutación en caso de error.

Procedimiento1 Reinicie el sistema que funcione como nodo activo.

El nodo pasivo se convierte automáticamente en nodo activo.

2 Inicie sesión en McAfee ePolicy Orchestrator, seleccione Protección de datos | Directiva de DLP y haga clicen Aplicar para aplicar la directiva.

Si la pantalla de aplicación de directivas finaliza correctamente, puede concluir que el clúster deMcAfee DLP Endpoint ha seguido en funcionamiento durante la conmutación en caso de error.

Creación y configuración de carpetas de repositorioLas carpetas de repositorio contienen información que el software McAfee DLP Endpoint utiliza para lacreación de directivas y la generación de informes.

Deben crearse dos carpetas y recursos compartidos de la red y establecer sus propiedades y laconfiguración de seguridad correspondiente. No es necesario que las carpetas estén en el mismoequipo que el servidor de bases de datos de McAfee DLP Endpoint, pero suele ser recomendable queasí sea.

Proponemos las siguientes rutas y nombres de carpetas, y los siguientes nombres de recursoscompartidos, pero puede crear otros según las necesidades de su propio entorno.

• c:\dlp_resources\

• c:\dlp_resources\Pruebas

• c:\dlp_resources\Listablanca

• Carpeta Pruebas: determinadas reglas de protección permiten almacenar pruebas, por lo quedebe designar con antelación dónde situarlas. Por ejemplo, cuando se bloquea un mensaje decorreo electrónico, se puede incluir una copia del mensaje en la carpeta Pruebas.

• Carpeta Lista blanca: las huellas digitales de texto que debe omitir el software del endpoint secolocan en una carpeta repositorio de la lista blanca. Un ejemplo sería el texto estandarizado, comolas notas de descargo de responsabilidad o de derechos de autor. El software McAfee DLP Endpointahorra tiempo al omitir estos fragmentos de texto que se sabe que no incluyen contenido decarácter confidencial.

3 Planificación del despliegueCreación y configuración de carpetas de repositorio








Configuración de carpetas en Windows Server 2008La configuración de las carpetas de repositorio en Windows Server 2008 requiere una configuración deseguridad específica.

Antes de empezarCree las carpetas de pruebas y de la lista blanca, como se describe en Antes de instalar laextensión.

Ambas carpetas se configuran del mismo modo. Repita esta tarea para cada carpeta.

Procedimiento1 Haga clic con el botón derecho del ratón en la carpeta de pruebas/lista blanca y seleccione

Propiedades.

2 Haga clic en la ficha Uso compartido y, a continuación, haga clic en Uso compartido avanzado. Seleccione laopción Compartir esta carpeta.

3 Cambie el Nombre del recurso compartido a evidence$ / whitelist$. Haga clic en Aceptar.

El símbolo $ garantiza que el recurso compartido está oculto.

4 Haga clic en la ficha Seguridad y, a continuación, haga clic en Opciones avanzadas.

5 En la ficha Permisos, anule la selección de la opción Incluir permisos heredables del ascendiente del objeto.

En un mensaje de confirmación se explica el efecto que este cambio tendrá en la carpeta.

6 Haga clic en Eliminar.

La ficha Permisos e la ventana Configuración de seguridad avanzada muestra todos los permisos eliminados.

7 Haga clic en Agregar para seleccionar un tipo de objeto.

8 En el campo Escriba el nombre de objeto para seleccionar, escriba Domain Computers y, a continuación,haga clic en Aceptar.

Accederá al cuadro de diálogo Entrada de permiso.

9 En la columna Permitir, seleccione:

• Crear archivos/Escribir datos y Crear carpetas/Anexar datos para la carpeta de pruebas.

• Listar carpeta/Leer datos para la carpeta de la lista blanca.

Compruebe que la opción Aplicar en es Esta carpeta, subcarpetas y archivos y, a continuación, haga clic enAceptar.

La ventana Configuración de seguridad avanzada ahora incluye Equipos del dominio.

10 Vuelva a hacer clic en Agregar para seleccionar un tipo de objeto.

11 En el campo Escriba el nombre de objeto para seleccionar, escriba Administrators y, a continuación, hagaclic en Aceptar para ver el cuadro de diálogo Entrada de permiso. Establezca los permisos necesarios.

Es necesario añadir administradores para la carpeta de la lista blanca. Para la carpeta de pruebas esopcional, pero pueden añadirse como medida de seguridad. También puede añadir permisos tan sólopara los administradores que desplieguen directivas.

12 Haga clic en Aceptar dos veces para cerrar el cuadro de diálogo.

Planificación del despliegueCreación y configuración de carpetas de repositorio 3


Configuración de carpetas en Windows Server 2003La configuración de las carpetas de repositorio en Windows Server 2003 requiere una configuración deseguridad específica.

Antes de empezarCree las carpetas de pruebas y de la lista blanca, como se describe en Antes de instalar laextensión.

Ambas carpetas se configuran del mismo modo. Repita esta tarea para cada carpeta.

Procedimiento1 Haga clic con el botón derecho del ratón en el icono de la carpeta de pruebas/carpeta de la lista

blanca y seleccione Uso compartido y seguridad.

2 En la ventana que aparece, seleccione Compartir esta carpeta. Cambie el Nombre del recurso compartido aevidence$ / whitelist$. Haga clic en Aceptar.

El símbolo $ garantiza que el recurso compartido está oculto.

3 Haga clic en la ficha Seguridad y, a continuación, haga clic en Opciones avanzadas.

4 En la ficha Permisos del cuadro de diálogo Configuración de seguridad avanzada de pruebas, desactive Permitirpermisos heredables.

En un mensaje de confirmación se explica el efecto que este cambio tendrá en la carpeta.

5 Haga clic en Eliminar. La ficha Permisos del cuadro de diálogo Configuración de seguridad avanzadamuestra todos los permisos eliminados excepto los de los administradores.

Es necesario establecer permisos para los administradores de la carpeta de la lista blanca. Para lacarpeta de pruebas es opcional, pero pueden añadirse como medida de seguridad. También puedeañadir permisos tan sólo para los administradores que desplieguen directivas.

6 Haga doble clic en la entrada Administradores para abrir el cuadro de diálogo Entrada de permiso. Cambiela opción Aplicar en a Esta carpeta, subcarpetas y archivos. Haga clic en Aceptar.

7 Haga clic en Agregar para seleccionar un tipo de objeto.

8 En el campo Escriba el nombre de objeto para seleccionar, escriba Domain Computers y, a continuación,haga clic en Aceptar para ver el cuadro de diálogo Entrada de permiso.

9 En la columna Permitir, seleccione:

• Crear archivos/Escribir datos y Crear carpetas/Anexar datos para la carpeta de pruebas.

• Listar carpeta/Leer datos para la carpeta de la lista blanca.

Compruebe que la opción Aplicar en es Esta carpeta, subcarpetas y archivos y, a continuación, haga clic enAceptar.

El cuadro de diálogo Configuración de seguridad avanzada ahora incluye Equipos del dominio.

10 Haga clic en Aceptar dos veces para cerrar el cuadro de diálogo.

3 Planificación del despliegueCreación y configuración de carpetas de repositorio


Lista de comprobación para la instalaciónRevise la configuración del servidor y la instalación de ePolicy Orchestrator mediante esta lista decomprobación.

Tabla 3-5 Configuración del servidor

Paso de flujo de trabajo Comprobado

Software de sistema operativo Microsoft Server instalado con versión .NET compatiblecon McAfee DLP Endpoint.

Configuración de seguridad mejorada de Microsoft Internet Explorer, si se usa, debeestar desactivada para la instalación de McAfee DLP Endpoint y luego debe deactivarse de nuevo.

Permisos de la cuenta SERVICIO DE RED alterados para la instalación de McAfee DLPEndpoint y luego deben volver a restaurarse.

Carpetas de repositorio creadas y compartidas con los permisos correctos.

Microsoft SQL Server instalado según las recomendaciones.

McAfee ePolicy Orchestrator instalado con las opciones recomendadas.

Planificación del despliegueLista de comprobación para la instalación 3


3 Planificación del despliegueLista de comprobación para la instalación


InstalaciónEn esta sección se describe la instalación de la extensión de McAfee DLPEndpoint en ePolicy Orchestrator y el despliegue del software cliente en losequipos endpoint.

Capítulo 4 Instalación del software McAfee DLP EndpointCapítulo 5 Instalación de una ampliación de versiónCapítulo 6 Despliegue de McAfee DLP Endpoint


Instalación


4 Instalación del software McAfee DLPEndpoint

Contenido Instalación de la extensión de McAfee Data Loss Prevention Endpoint Incorporación del paquete McAfee DLP Endpoint en ePolicy Orchestrator

Instalación de la extensión de McAfee Data Loss PreventionEndpoint

La extensión del software McAfee DLP Endpoint se instala en ePolicy Orchestrator.

Antes de empezarDescargue la extensión de McAfee DLP Endpoint desde el sitio de descargas de McAfeecorrespondiente al software McAfee Data Loss Prevention.

El software McAfee DLP Endpoint actualmente no es compatible con la función deAdministrador de software de McAfee ePolicy Orchestrator 4.6 y 5.0.

Compruebe que el nombre de servidor de ePolicy Orchestrator aparece en la lista de sitiosde confianza en la configuración de seguridad de Internet Explorer.

La instalación predeterminada es una licencia de 90 días para el software McAfee Device Control. Siadquirió una licencia para la versión completa del software McAfee Data Loss Prevention Endpoint,deberá ampliar la licencia tras completar la instalación.

ProcedimientoPara ver las definiciones de las opciones, haga clic en ? en la interfaz.

1 En ePolicy Orchestrator, seleccione Menú | Software | Extensiones y, a continuación, haga clic en Instalarextensión.

2 Haga clic en Examinar y seleccione el archivo .zip de McAfee DLP Endpoint (..\HDLP_Extension_9_3_0_xxx.zip). Haga clic en Abrir y, a continuación, en Aceptar.

El cuadro de diálogo de instalación muestra los parámetros de archivo para verificar que estáinstalando la extensión correcta.

3 Haga clic en Aceptar. Se instala la extensión.

4


Las aplicaciones siguientes se instalan en ePolicy Orchestrator:

• Consola de directivas de McAfee DLP Endpoint (Menú | Protección de datos)

• Administrador de incidentes de DLP y Eventos operativos de DLP (en Menú | Protección de datos)

• Analizador de eventos de DLP

• McAfee® Help Desk

4 Haga clic en Aceptar.

Procedimientos• Inicialización de la consola de directivas de McAfee DLP Endpoint en la página 36

La primera vez que abre la consola de directivas de McAfee Data Loss Prevention Endpoint,se ejecuta un asistente de primera inicialización.

• Ampliación de la licencia en la página 38El software McAfee DLP Endpoint viene en dos versiones, McAfee Device Control y laversión completa de McAfee Data Loss Prevention Endpoint, con dos opciones de licenciapara cada una de ellas: 90 días de prueba y por tiempo ilimitado. La instalaciónpredeterminada es McAfee Device Control con una licencia de prueba de 90 días.

Inicialización de la consola de directivas de McAfee DLPEndpointLa primera vez que abre la consola de directivas de McAfee Data Loss Prevention Endpoint, se ejecutaun asistente de primera inicialización.

El asistente puede ejecutarse en cualquier momento seleccionando Asistente Inicialización en el menúHerramientas de la consola de directivas de McAfee DLP Endpoint.

El instalador de Herramientas de administración de McAfee DLP Endpoint y el asistente de inicializaciónde la consola de directivas de McAfee DLP Endpoint utilizan tecnología ActiveX. Para evitar que elinstalador sea bloqueado, verifique que esté activado lo siguiente en Internet Explorer Herramientas |Opciones de Internet | Seguridad | Nivel personalizado:

• Solicitud automática de los controles de ActiveX

• Descargar los controles firmados para ActiveX

Procedimiento

1 En ePolicy Orchestrator, seleccione Menú | Protección de datos | Directiva de DLP.

Se ejecuta el instalador de las herramientas de administración de McAfee DLP Endpoint y, tras unabreve demora, aparecerá la ventana de Bienvenida del asistente Instalación de Herramientas de administraciónde DLP. Realice los pasos del asistente.

2 Una vez finalizada la instalación de las herramientas de administración de McAfee DLP Endpoint,comienza la carga de la consola de directivas de McAfee DLP Endpoint. Si ya dispone de unadirectiva, se le pedirá que la convierta al nuevo formato. Haga clic en Convertir y vaya al paso 4.

McAfee DLP Endpoint versión 9.3 incorpora varias definiciones de patrones de texto nuevas. Estasdefiniciones no se agregan a la directiva durante la conversión. Para agregar estas definicionesnuevas, utilice el asistente de Sincronización de plantillas.

3 Si no existe ninguna directiva anterior, aparecerá el mensaje La directiva global de DLP no está disponible.Cargando una directiva predeterminada. Haga clic en Aceptar para continuar.

4 Cuando aparezca el mensaje Configuración de agente no disponible. Cargando un agente predeterminado, haga clicen Aceptar.

4 Instalación del software McAfee DLP EndpointInstalación de la extensión de McAfee Data Loss Prevention Endpoint


5 Cuando aparezca el asistente Primera inicialización de la consola de directivas de McAfee DLP Endpoint,realice los siguientes pasos:Opción Descripción

1 de 8 Haga clic en Siguiente.

2 de 8 Normalmente, las reglas de descubrimiento del sistema de archivos le ofrecen la opciónde aplicar una directiva de gestión de derechos, marcar o poner en cuarentena losarchivos confidenciales. A pesar de que no lo recomendamos, puede agregar una opciónEliminar si selecciona la opción Admitir borrado de descubrimientos en sistema de archivos.

Esta opción no estará disponible hasta que actualice su instalación del software McAfeeData Loss Prevention Endpoint a la versión completa.

Para la solución de problemas, cuando sea necesario revisar una versión de fácil lecturade la directiva, seleccione Generar directiva detallada. Para la mayoría de las instalaciones,recomendamos dejar estas casillas de verificación sin seleccionar.

En organizaciones muy grandes en las que el despliegue de McAfee DLP Endpoint 9,3 serealice por fases, las versiones anteriores del complemento deben coexistir. Seleccione elModo de compatibilidad con versiones anteriores apropiado:

• Sin compatibilidad (todos los endpoints son de la versión 9.3)

• McAfee DLP Endpoint Agent 9.2 y posteriores

• Agente de McAfee DLP Endpoint 9.1 y posterior

Seleccione su protocolo de acceso a directorios: Microsoft Active Directory u OpenLDAP.Cuando se usa Microsoft AD en organizaciones muy grandes en las que las ocasiones debúsqueda pueden ser excesivas, seleccione Restringir búsquedas AD al dominio predeterminado.

Cuando haya terminado todos los cambios, haga clic en Siguiente.

3 de 8Este paso no está disponible al instalar McAfee Device Control

Escriba nombres de usuario para la autorización para la aplicación manual de marcas ohaga clic en uno de los botones para buscar nombres de usuario en Active Directory uOpen LDAP (opcional). Haga clic en Siguiente.

Recomendamos crear un grupo basado en funciones, como DLP Manual Tagging Users, yque dicho grupo se utilice al configurar Access Control.

4 de 8 Escriba una contraseña y confírmela (obligatorio). En el software McAfee DLP Endpointse necesitan contraseñas seguras, es decir, con un mínimo de 8 caracteres y al menosuna mayúscula, una minúscula, un dígito y un carácter especial (símbolo). En caso deampliación, esta no se implementará hasta que cambie una contraseña o utilice unadirectiva nueva.Si no desea que se informe a la base de datos de los eventos de generación de clave desistemas endpoint, desactive la casilla de verificación. Si desea utilizar cadenas dedesafío/respuesta cortas (de 8 dígitos en lugar de 16), marque la casilla.

Haga clic en Siguiente.

5 de 8 Desplácese al recurso compartido de almacenamiento de la lista blanca y, a continuación,haga clic en Siguiente. Es necesaria la ruta UNC de la lista blanca para aplicar la directiva aePolicy Orchestrator. Se muestran los límites de tamaño, pero no se pueden cambiar enel asistente de Inicialización.

6 de 8 Modifique las opciones del servicio de ventanas emergentes del agente (opcional). Lasfunciones gestionadas de ventanas emergentes del agente se muestran pero no sepueden modificar en el asistente de Inicialización. Se puede configurar la directiva de

Instalación del software McAfee DLP EndpointInstalación de la extensión de McAfee Data Loss Prevention Endpoint 4


Opción Descripción

cierre manual o automático de las ventanas emergentes y de bloqueo de código deautorización.Modifique los mensajes de notificación predeterminados (opcional). Seleccione los tiposde evento de uno en uno y escriba el mensaje en el campo de texto. Haga clic enSiguiente.

7 de 8 Desplácese al recurso compartido de almacenamiento de pruebas y, a continuación, hagaclic en Siguiente. Es necesaria la ruta de almacenamiento de pruebas para aplicar ladirectiva a ePolicy Orchestrator. Seleccione una cuenta de usuario y una contraseña parala copia de pruebas (opcional). Defina la opción de Replicación de pruebas necesaria. Hagaclic en Siguiente.

8 de 8 Haga clic en Finalizar.

6 Responda al mensaje ¿Aplicar la configuración inicial?.

• Si no ha omitido ninguno de los pasos obligatorios, haga clic en Sí y aplique la directiva inicial.

• Si ha omitido alguno de los pasos obligatorios, haga clic en No para completar la inicialización.

Se necesita una contraseña y el recurso compartido de almacenamiento de pruebas para completarla inicialización. Es necesario llevar a cabo los pasos marcados como obligatorios para completar ladirectiva. Se pueden omitir durante la inicialización y completarlos posteriormente. Si no ha aplicadola directiva, seleccione Archivo | Guardar para guardar la directiva en un archivo.

7 Haga clic en Finalizar.

Ampliación de la licenciaEl software McAfee DLP Endpoint viene en dos versiones, McAfee Device Control y la versión completade McAfee Data Loss Prevention Endpoint, con dos opciones de licencia para cada una de ellas: 90 díasde prueba y por tiempo ilimitado. La instalación predeterminada es McAfee Device Control con unalicencia de prueba de 90 días.

Antes de empezarAntes de comenzar esta tarea, adquiera su licencia de ampliación y consiga una clave deactivación de su representante de ventas de McAfee.

Procedimiento1 En la barra de menús de la consola de directivas de McAfee DLP Endpoint, seleccione Ayuda |

Actualizar licencia.

La ventana Ver y actualizar licencia muestra la clave de activación (predeterminada) actual y la fecha decaducidad.

2 Haga clic en Actualizar.

3 Escriba o pegue la clave de activación en el campo Clave de activación y haga clic en Aplicar.

Aparecerá un mensaje de advertencia indicando que debe iniciar una sesión de nuevo para quesurta efecto el cambio.

4 Haga clic en Aceptar para cerrar el cuadro de mensaje y en Cerrar para cerrar la ventana Ver y actualizarlicencia; a continuación, cierre la sesión en ePolicy Orchestrator.

5 Inicie sesión en ePolicy Orchestrator para completar la ampliación.

4 Instalación del software McAfee DLP EndpointInstalación de la extensión de McAfee Data Loss Prevention Endpoint


6 En el menú Configuración de los agentes, seleccione Editar configuración global de los agentes.

a En la ficha Prueba, configure el Recurso compartido de almacenamiento.

Se necesita un recurso compartido de almacenamiento para la aplicación de la configuración enePolicy Orchestrator.

b En la ficha Seguimiento de archivos, compruebe el Modo de funcionamiento necesario.

Protección de contenido completo y control de dispositivos es la opción predeterminada cuando amplia lalicencia.

c En la ficha Varios, seleccione los módulos que necesite.

No active módulos que no utilice. Aumentan el tamaño del agente de McAfee DLP Endpoint yralentizan el funcionamiento de forma innecesaria.

Puede configurar otras opciones en este momento o aceptar los valores predeterminados ymodificar las opciones más adelante.


8 En la barra de herramientas, haga clic en Aplicar.

Los cambios de directiva se aplican a ePolicy Orchestrator.

9 En ePolicy Orchestrator, realice una llamada de activación para desplegar los cambios de directivaen las estaciones de trabajo.

Incorporación del paquete McAfee DLP Endpoint en ePolicyOrchestrator

Todos los equipos de la empresa con datos protegidos por software de McAfee deben tener instalado elMcAfee Agent, lo que los convierte en equipos gestionados. Para agregar protección frente a fuga dedatos, debe desplegar también el complemento McAfee DLP Endpoint para McAfee Agent. Lainstalación puede realizarse usando la infraestructura de ePolicy Orchestrator.


1 En McAfee ePolicy Orchestrator, seleccione Menú | Software | Repositorio principal.

2 En el repositorio principal, seleccione Acciones | Incorporar paquete.

3 Seleccione el tipo de paquete Producto o actualización (.ZIP), busque ..\HDLP_Agente_9_3_0_xxx.zip yhaga clic en Siguiente. Aparece la página Incorporar paquete.

4 Revise los detalles de la pantalla y haga clic en Guardar.

El paquete se agrega al repositorio principal.

Instalación del software McAfee DLP EndpointIncorporación del paquete McAfee DLP Endpoint en ePolicy Orchestrator 4


4 Instalación del software McAfee DLP EndpointIncorporación del paquete McAfee DLP Endpoint en ePolicy Orchestrator


5 Instalación de una ampliación de versión

La ampliación del software tiene consecuencias sobre la configuración de ePolicy Orchestrator y delsoftware McAfee DLP Endpoint.

Analizador de eventos

Tras ampliar la suite de software McAfee DLP Endpoint en ePolicy Orchestrator, debe reiniciar elanalizador de eventos deePolicy Orchestrator mediante Herramientas administrativas | Servicios.

Figura 5-1 Reinicio del analizador de eventos

Compatibilidad con versiones anteriores

El software McAfee DLP Endpoint versión 9.3 incluye varios cambios que convierten las directivas enincompatibles con versiones anteriores del software cliente de McAfee DLP Endpoint. En empresas degran tamaño, la ampliación de los agentes de McAfee DLP Endpoint en todos los nodos de estacionesde trabajo puede llevar varias semanas o incluso meses.

La inicialización de la consola de directivas de McAfee DLP Endpoint versión 9.3 tiene una opción decompatibilidad con versiones anteriores que, cuando se selecciona, permite la comunicación conclientes anteriores y nuevos. La compatibilidad con versiones anteriores puede establecerse como "sincompatibilidad" (solo McAfee DLP Endpoint 9.3), agente de DLP 9.1 y posterior o agente de DLP 9.2 yposterior.

5


Elementos no admitidos

Si la directiva contiene cualquiera de las opciones siguientes cuando se selecciona el modo decompatibilidad con versiones anteriores, la directiva no se podrá aplicar a ePolicy Orchestrator. Estoselementos no admitidos son acumulativos, es decir, en la sección McAfee Data Loss PreventionEndpoint 9.2 y superior se muestran las funciones de la versión 9.2 no admitidas en la versión 9.1. Enlo que respecta a la compatibilidad con endpoints de la versión 9.1, se aplican las dos secciones.

Tabla 5-1 Elementos no admitidos en el modo de compatibilidad con versiones anteriores

Modo de compatibilidad Elementos no admitidos

Modo de compatibilidadcon versiones anterioresde McAfee Data LossPrevention Endpoint 9,1 ysuperior

• Una regla de protección de acceso a archivos de la aplicación, correoelectrónico, sistema de archivos, almacenamiento extraíble opublicación web contiene una definición de propiedades de documentosque contiene a su vez una propiedad de nombres de archivos.

• Una regla de protección de acceso a archivos de la aplicación contieneuna acción Almacenar pruebas.

• Una regla de descubrimiento o protección contiene una categoría decontenido o un grupo de marcas.

• Una regla de protección de acceso a archivos de la aplicación contieneuna definición del tipo de archivo.

• Una directiva contiene una regla de descubrimiento de almacenamientode correo electrónico.

• Una regla del Portapapeles limita el pegado en todas las aplicaciones.

• Una directiva contiene una regla de dispositivos TrueCrypt.

Modo de compatibilidadcon versiones anterioresde McAfee Data LossPrevention Endpoint 9.2 ysuperior

• Una directiva contiene una definición de servidor o una directiva deSeclore FileSecure, o una regla de protección restringe una regla alcifrado de Seclore.

• Una directiva contiene una regla de disco duro fijo o de dispositivosCitrix.

• Una definición de patrón de texto contiene uno de los validadoresintroducidos en la versión 9.3.

• Una regla de protección del portapapeles contiene una definición deaplicaciones.

• Una regla de acceso de archivos de almacenamiento extraíble contieneuna extensión de archivo.

• Una definición de propiedades de documentos solo contiene unparámetro de tamaño de archivo.

Consultas y asignaciones de equipos

Las consultas y los paneles se guardan al ampliar el software McAfee DLP Endpoint, siempre que sigael procedimiento recomendado. Si elimina la extensión existente de Data Loss Prevention antes deinstalar una nueva, se perderán todas las consultas y paneles.

Para personalizar una consulta de muestra, recomendamos utilizar la opción Duplicar, para cambiar elnombre de la consulta antes de modificarla. Para utilizar las nuevas consultas de muestra de Misconsultas en un panel, utilice la opción Publicar. Si existe una consulta pública con el mismo nombre,elimine o cambie el nombre de la consulta pública en primer lugar.

5 Instalación de una ampliación de versión


ePolicy Orchestrator necesita que todos los nombres de las consultas sean exclusivos. La primera vezque instale el software McAfee DLP Endpoint en ePolicy Orchestrator, se instalarán las consultas demuestra como Consultas públicas. Para verlas, seleccione Informes | Consultas, y desplace hacia abajo lasconsultas que aparecen a la izquierda de la pantalla. Al ampliar McAfee DLP Endpoint, ePolicyOrchestrator detecta que los nombres de las consultas de muestra ya están en uso y, en su lugar,instala las muestras en Mis consultas. No obstante, para utilizar una consulta en un panel, debe tratarsede una consulta pública.

Contenido Ampliación del software McAfee DLP Endpoint Ampliación por fases Restauración de la directiva después de la ampliación

Ampliación del software McAfee DLP EndpointLa ampliación de una versión anterior del software McAfee DLP Endpoint a la versión 9.3 en ePolicyOrchestrator es similar a una instalación limpia.

Antes de empezar• Realice una copia de seguridad de la directiva. En la consola de directivas de McAfee

DLP Endpoint, use el icono Guardar (o Archivo | Guardar) para guardar el archivoGlobalPolicy.opg en el disco.

• Cierre la sesión de ePolicy Orchestrator y cierre la ventana del navegador. Desinstale lasherramientas de administración de McAfee DLP Endpoint desde el Panel de control deWindows.

Si quiere poder ver eventos anteriores en Administrador de incidentes de DLP, no elimine la extensiónde McAfee DLP Endpoint existente en ePolicy Orchestrator. Al quitar la extensión, se quitan todos loseventos de la base de datos de DLP.

Procedimiento1 En ePolicy Orchestrator, seleccione Menú | Software | Extensiones.

2 Haga clic en Instalar extensión y, acto seguido, haga clic en Examinar y seleccione el archivo .zip deladministrador de directivas de McAfee DLP Endpoint (..\HDLP_extension_9_3_0_xxx.zip). Haga clicen Abrir y, a continuación, haga clic dos veces en Aceptar.

Si está realizando la instalación sin eliminar la extensión anterior, aparecerá una advertencia paraindicarle que la nueva extensión sustituirá a la existente. Haga clic en Aceptar.

La extensión queda instalada y aparece en la lista de extensiones.

3 Cierre sesión en ePolicy Orchestrator y, a continuación, vuelva a iniciar sesión.

Si no hace esto, es posible que no funcionen las nuevas funciones no compatibles con la versiónpreviamente instalada.

4 En Herramientas administrativas | Servicios de Windows, compruebe que elMcAfee ePolicy OrchestratorAnalizador de eventos tenga el estado Iniciado.

El Analizador de eventos normalmente se inicia de forma automática (salvo en las ampliaciones),pero no es mala idea comprobarlo.

Instalación de una ampliación de versiónAmpliación del software McAfee DLP Endpoint 5


Ampliación por fasesUna ampliación correcta al software McAfee Data Loss Prevention Endpoint versión 9,3 desde unaversión anterior requiere seguir un procedimiento por fases que tiene en cuenta muchas variables.Implica también el cumplimiento de ciertos requisitos previos.

Antes de comenzar

Antes de comenzar una ampliación, deberá hacer lo siguiente:

• Compruebe que todos los equipos estén listos para la ampliación. Puede comprobar laversión de cliente de los equipos en la red en el panel DLP: Panel Resumen de estado de McAfeeePolicy Orchestrator. Busque en el informe DLP: Versión del agente para asegurarse de que todas lasversiones del producto sean McAfee DLP 9.1 o posterior.

Amplíe todos los clientes de McAfee DLP Endpoint a McAfee Data Loss Prevention 9.1 o posterior. Nose admiten versiones de clientes anteriores.

• Realice una copia de seguridad de la directiva de DLP actual. La grabación de la directiva enun disco permite convertir la directiva en el nuevo formato para reutilizarla. Puede crear una copiade seguridad de la directiva desde la consola de directivas de McAfee DLP Endpoint. La opciónGuardar como del menú Archivo guarda la directiva en el formato .opg.

• Guarde la configuración del agente y los grupos de asignación de equipos. Puede guardarla configuración del agente y los grupos de asignación de equipos desde la página Menú | Directiva |Catálogo de directivas de McAfee ePolicy Orchestrator. Seleccione el producto (Data Loss Prevention x.x.0.0) yla categoría (Grupo de asignación de equipos o Configuración de los agentes) en las listas desplegables y editela selección. En la página Editar, puede seleccionar Guardar en archivo y especificar un destino para elarchivo de la copia de seguridad.

Figura 5-2 Salvaguarda de la configuración de los agentes

5 Instalación de una ampliación de versiónAmpliación por fases


Restauración de la directiva después de la ampliaciónTras ampliar el software McAfee DLP Endpoint, debe restaurar la directiva de DLP, los grupos deasignación de equipos y las configuraciones de agentes de la anterior instalación.

Instale e inicialice la consola de directivas de McAfee DLP Endpoint. Consulte las secciones Ampliacióndel software McAfee Data Loss Prevention Endpoint e Inicialización de la consola de directivas deMcAfee DLP Endpoint de este manual. Una vez finalizada la instalación básica, continúe con esteprocedimiento.

Procedimiento1 Restaure la directiva.

a Inicie la consola de directivas de McAfee DLP Endpoint, seleccione Archivo | Abrir, y localice ellugar donde guardó la copia de seguridad de la directiva de DLP anterior.

b Cuando se le indique, haga clic en Convertir para convertirla.

c Seleccione Herramientas | Opciones y verifique en la sección Modo de compatibilidad con versiones anterioresque la versión necesaria esté seleccionada.

d Haga clic en Aplicar para guardar la directiva en McAfee ePolicy Orchestrator.

2 Restaure los grupos de asignación de equipos.

a En ePolicy Orchestrator, seleccione Directiva | Catálogo de directivas. En la lista desplegable Producto,seleccione las directivas de Data Loss Prevention 9.3.0.0.

b En la lista desplegable Categoría, seleccione Grupo de asignación de equipos.

c Seleccione Acciones | Nueva directiva, escriba el nombre de la directiva y cree una nueva directivade grupo de asignación de equipos.

d Haga clic en Cargar de archivo y vaya al archivo de copia de seguridad del grupo de asignación deequipos.

Figura 5-3 Restauración de la configuración del grupo de asignación de equipos

3 Restaurar la configuración de los agentes

a En ePolicy Orchestrator seleccione Sistema | Catálogo de directivas. En la lista desplegable Producto,seleccione las directivas de Data Loss Prevention 9.3.0.0.

b En la lista desplegable Categoría, seleccione Configuración de los agentes.

Instalación de una ampliación de versiónRestauración de la directiva después de la ampliación 5


c Escriba un nombre y cree una configuración de los agentes.

d Haga clic en Cargar desde un archivo y vaya al archivo de copia de seguridad de la configuración delos agentes.

Véase también Inicialización de la consola de directivas de McAfee DLP Endpoint en la página 36

5 Instalación de una ampliación de versiónRestauración de la directiva después de la ampliación


6 Despliegue de McAfee DLP Endpoint

Las directivas de McAfee DLP Endpoint las implementa el softwareMcAfee Agent en los equipos deendpoint.

El primer paso es el despliegue del software cliente de McAfee DLP Endpoint, un complemento deMcAfee Agent, a los endpoints.

Contenido Despliegue del software cliente Despliegue de directivas con ePolicy Orchestrator

Despliegue del software clienteEl despliegue del software cliente de McAfee DLP Endpoint es el paso final de la instalación delsoftware y el primer paso del despliegue de directivas.

Procedimientos• Definición de una regla predeterminada en la página 47

Para comprobar que el software McAfee DLP Endpoint se haya desplegado correctamente,recomendamos definir una regla predeterminada antes de desplegarlo en los equiposgestionados.

• Despliegue del cliente de McAfee DLP Endpoint con ePolicy Orchestrator en la página 48Antes de poder aplicar directivas, el cliente de McAfee DLP Endpoint debe desplegarse enlos equipos de endpoint mediante ePolicy Orchestrator.

• Verificación de la instalación en la página 50Después de instalar el software McAfee DLP Endpoint, debe verificar la instalación en laconsola de Eventos operativos de DLP.

Definición de una regla predeterminadaPara comprobar que el software McAfee DLP Endpoint se haya desplegado correctamente,recomendamos definir una regla predeterminada antes de desplegarlo en los equipos gestionados.

La regla descrita es un ejemplo de una regla sencilla que se puede utilizar para probar el sistema.

6


ProcedimientoPara ver las definiciones de las opciones, pulse F1.

1 Cree una regla de clasificación:a En el panel de navegación de la consola de directivas de McAfee DLP Endpoint, en Protección de

contenido, seleccione Reglas de clasificación.

b Haga clic con el botón derecho del ratón en la ventana Reglas de clasificación y seleccione Nuevo |Regla de clasificación de contenido. Cambie el nombre de la regla Regla de clasificación de correoelectrónico.

c Haga doble clic en el icono de la regla para modificarla.

d En el paso 1 del asistente para la creación de reglas, seleccione cualquiera de las opciones (ANYo ALL), desplácese por los patrones de texto y seleccione Dirección de correo electrónico. Haga clic enSiguiente tres veces y omita el paso 4.

e En el paso 4 del asistente para la creación de reglas, haga clic en Nuevo para crear una nuevacategoría. Escriba Categoría de correo electrónico como nombre, haga clic en Aceptar paravalidar la categoría nueva; a continuación, haga clic en Finalizar.

f Haga clic con el botón derecho del ratón en el icono de la regla y seleccione Activar.

2 Cree una regla de protección:a En el panel de navegación de la consola de directivas de McAfee DLP Endpoint, en Protección de

contenido, seleccione Reglas de protección.

b Haga clic con el botón derecho del ratón en la ventana Reglas de protección y seleccione Nuevo | Reglade protección de almacenamiento extraíble.

c Haga doble clic en el icono de la regla para modificarla.

d Haga clic en el paso 2 del asistente para la creación de reglas y agregue la Categoría de correoelectrónico creada al crear la regla de clasificación en la columna Incluido.

e Haga clic en el paso 7 del asistente para la creación de reglas. Seleccione Supervisor y haga clicen Finalizar.

f Haga clic con el botón derecho del ratón en el icono de la regla y seleccione Activar.

3 En el menú Herramientas, seleccione Ejecutar Analizador de directivas. Debe recibir advertencias, pero noerrores.

Si recibe errores, probablemente sean debidos a una inicialización incorrecta, por ejemplo a nohaber especificado una carpeta de pruebas o una contraseña de omisión. Puede volver a ejecutar lainicialización desde el menú Herramientas para corregir esto.

4 En la barra de herramientas, haga clic en Aplicar. La directiva se aplica a McAfee ePolicyOrchestrator.

Despliegue del cliente de McAfee DLP Endpoint con ePolicyOrchestratorAntes de poder aplicar directivas, el cliente de McAfee DLP Endpoint debe desplegarse en los equiposde endpoint mediante ePolicy Orchestrator.

Antes de empezarDebe instalarse una versión actual de McAfee Agent enePolicy Orchestrator y desplegarseen los equipos de destino antes de desplegarMcAfee DLP Endpoint.

6 Despliegue de McAfee DLP EndpointDespliegue del software cliente


• Para ePolicy Orchestrator 4.5, instale McAfee Agent 4.5 Parche 4 o posterior.

• Para ePolicy Orchestrator 4.6, instale McAfee Agent 4.6 Parche 2 o posterior.

• Para ePolicy Orchestrator 5.0, instale McAfee Agent 4.8 o posterior.

Consulte la documentación de McAfee ePolicy Orchestrator para obtener información acercade cómo comprobarlo e instalarlo en caso necesario.


1 En ePolicy Orchestrator, seleccione Menú | Árbol de sistemas.

2 En el Árbol de sistemas, seleccione el nivel en el que desea desplegar McAfee DLP Endpoint.

Al dejar el nivel en Mi organización, se despliega en todas las estaciones de trabajo gestionadas porMcAfee ePolicy Orchestrator.

Si selecciona un nivel inferior a Mi organización, todas las estaciones de trabajo disponiblesaparecerán en el panel derecho. También puede desplegar McAfee DLP Endpoint en las estacionesde trabajo individuales.

3 Abra el asistente de Generador de tareas cliente:• En ePolicy Orchestrator 4.5, haga clic en la ficha Tareas cliente. Seleccione Acciones | Nueva tarea.

• En ePolicy Orchestrator 4.6 y 5.0, haga clic en la ficha Tareas cliente asignadas. Seleccione Acciones |Nueva asignación de tarea cliente.

Se abre el asistente de Generador de tareas cliente.

4 Rellene los campos del generador de tareas:

• En ePolicy Orchestrator 4.5, en el campo Tipo, seleccione Despliegues de producto. Haga clic enSiguiente. En el campo Nombre, escriba un nombre apropiado, por ejemplo, Install DLPEndpoint. Escriba una descripción (opcional).

• En ePolicy Orchestrator 4.6 y 5.0, en el campo Producto, seleccione McAfee Agent. En el campo Tipode tarea, seleccione Despliegue de producto. Haga clic en Crear nueva tarea.

5 En el campo Productos y componentes, seleccione Data Loss Prevention 9.3.0.xx. El campo Acción se restablecede forma automática a Instalar.

Si está instalando el cliente de McAfee DLP Endpoint para el servidor Citrix, escriba lo siguiente enla línea de comandos:

SERVICE_USER=<user_name> SERVICE_PASSWORD=<password>El usuario del servicio debe definirse como Administrador Citrix (en Consola de administración de accesoCitrix | Servidor de presentación | Nombre del servidor | Administradores ), y debe ser un administrador local enel servidor Citrix.

6 Complete el generador de tareas:

• En ePolicy Orchestrator 4.5, haga clic en Siguiente.

• En ePolicy Orchestrator 4.6 y 5.0, haga clic en Guardar.

7 Cambie el Tipo de planificación a Ejecutar inmediatamente. Haga clic en Siguiente.

Despliegue de McAfee DLP EndpointDespliegue del software cliente 6


8 Revise el resumen de tareas. Cuando considere que todo está correcto, haga clic en Guardar. Latarea queda programada para la siguiente vez que McAfee Agent actualice la directiva. Para que lainstalación se realice inmediatamente, realice una llamada de activación del agente.

9 Una vez desplegado McAfee DLP Endpoint, reinicie los equipos gestionados.

Verificación de la instalaciónDespués de instalar el software McAfee DLP Endpoint, debe verificar la instalación en la consola deEventos operativos de DLP.

Procedimiento1 Seleccione Menú | Protección de datos | Eventos operativos de DLP. Haga clic en un evento para ver los

detalles.

Figura 6-1 Panel de detalles de Eventos operativos de DLP

2 Compruebe la instalación del software cliente de McAfee DLP Endpoint desde el icono de la bandejadel sistema McAfee en el equipo de endpoint seleccionando Acerca. Desplácese por la informaciónpara McAfee DLP Endpoint.

Despliegue de directivas con ePolicy OrchestratorLas directivas de McAfee DLP Endpoint contienen definiciones, reglas, grupos de asignación yconfiguración de los agentes. En primer lugar, se aplica (guarda) una directiva en el servidor deePolicy Orchestrator y, a continuación, se asigna (despliega) en los endpoints.

McAfee DLP Endpoint funciona con tres directivas:

• Directiva DLPE

• Configuración de los agentes

• Grupo de asignación de equipos

La directiva DLPE se crea en la consola de directivas de McAfee DLP Endpoint; la configuración deagentes y el grupo de asignación de equipos se crea en ePolicy Orchestrator.

A cada una de estas directivas se les asigna el número de revisión 1 en el momento de su creación yel número incrementa cada vez que se modifica la directiva. El número de revisión es importante paralos procesos de solución de problemas de compatibilidad ya que garantiza que los cambios que serealizan en las directivas se aplican realmente en los equipos de endpoint. También se utiliza a la hora

6 Despliegue de McAfee DLP EndpointDespliegue de directivas con ePolicy Orchestrator


de solicitar la omisión de agente o desinstalar la clave. Tanto la consola de directivas de McAfee DLPEndpoint en el ePolicy Orchestrator y la consola de DLP Endpoint en el equipo cliente muestran losnúmeros de revisión de la directiva actual.

Antes de aplicar una directiva, compruebe que:

• Todos los parámetros estén configurados correctamente.

• Todas las reglas estén activadas.

• Haya grupos de asignación de usuarios (en su caso) asignados a cada regla.

• La configuración de agente y los grupos de asignación de equipos se asignen a los grupos yequipos relevantes en el Catálogo de directivas de ePolicy Orchestrator.

Procedimientos• Aplicación de la directiva del sistema en la página 51

Cuando se completa una directiva, es necesario aplicarla a ePolicy Orchestrator. Acontinuación se despliega en los equipos gestionados que aplican la directiva.

• Asignación de una directiva o de la configuración de los agentes en la página 52Las directivas aplicadas a ePolicy Orchestrator se deben asignar y desplegar en los equiposgestionados para poder hacer uso de ellas.

• Importación de directivas y edición de descripciones de directivas en la página 52Utilice estas tareas para importar directivas desde ePolicy Orchestrator o para modificardescripciones de directivas.

• Actualización de la directiva en la página 53Generalmente, el despliegue de la directiva del sistema se basa en el servidor de ePolicyOrchestrator, y la actualización de la directiva en el equipo gestionado se realiza según laconfiguración de McAfee Agent. No obstante, la actualización de la directiva puederealizarse bajo demanda.

Aplicación de la directiva del sistemaCuando se completa una directiva, es necesario aplicarla a ePolicy Orchestrator. A continuación sedespliega en los equipos gestionados que aplican la directiva.

Procedimiento1 En ePolicy Orchestrator, seleccione Menú | Protección de datos | Directiva de DLP.

2 Compruebe la directiva antes de aplicarla: seleccione Herramientas | Ejecutar Analizador de directivas.

Las directivas se pueden aplicar a ePolicy Orchestrator con advertencias, pero no si contienenerrores. Si detecta errores, resuelva los problemas que los provocan o personalice las opciones delAnalizador de directivas. Si utiliza la opción de compatibilidad con versiones anteriores y unadirectiva contiene una función incompatible con versiones anteriores del agente, se generará unerror. Consulte Problemas de ampliación en esta guía para ver una lista de funciones incompatibles.

3 En el menú Archivo de la consola de directivas de McAfee DLP Endpoint, seleccione Aplicar a ePO.Aparecerá la ventana Aplicando a ePO.

Si ha activado la barra de estado del navegador, verá el mensaje "Validación realizada".

La directiva se guarda en la base de datos de ePolicy Orchestrator y se genera un eventoadministrativo.

Despliegue de McAfee DLP EndpointDespliegue de directivas con ePolicy Orchestrator 6


Asignación de una directiva o de la configuración de losagentesLas directivas aplicadas a ePolicy Orchestrator se deben asignar y desplegar en los equiposgestionados para poder hacer uso de ellas.


1 En ePolicy Orchestrator, haga clic en Árbol de sistemas.

2 Localice el directorio que contenga los equipos a los que se vaya a asignar una directiva yselecciónelos.

3 Seleccione Acciones | Agente | Activar agentes.

4 Seleccione Llamada de activación del agente y defina el valor de Ejecución aleatoria en 0 minutos. Haga clic enAceptar.

5 Cuando haya finalizado la llamada de activación del agente, volverá al árbol de sistemas. Vuelva aseleccionar los equipos a los que se asignará una directiva y haga clic en Acciones | Agente | Definir ladirectiva y la herencia.

6 En la página Asignar directiva, seleccione el Producto, la Categoría y la Directiva para su aplicación.

7 Haga clic en Guardar.

Importación de directivas y edición de descripciones dedirectivasUtilice estas tareas para importar directivas desde ePolicy Orchestrator o para modificar descripcionesde directivas.

Procedimientos• Importación de una directiva desde ePolicy Orchestrator en la página 52

La última directiva aplicada a ePolicy Orchestrator se puede importar a la consola dedirectivas de McAfee DLP Endpoint. Esto suele hacerse cuando se actualiza la consola dedirectivas o en cualquier momento que se desee descartar los cambios y restaurar unadirectiva anterior.

• Edición de la descripción de una directiva en la página 53Los campos correspondientes al nombre y la descripción de una directiva se pueden editary se accede a ellos mediante el menú Archivo de la consola.

Importación de una directiva desde ePolicy OrchestratorLa última directiva aplicada a ePolicy Orchestrator se puede importar a la consola de directivas deMcAfee DLP Endpoint. Esto suele hacerse cuando se actualiza la consola de directivas o en cualquiermomento que se desee descartar los cambios y restaurar una directiva anterior.


1 Desde el menú Archivo de la consola de directivas de McAfee DLP Endpoint, seleccione Importar directivadesde ePO.

2 Haga clic en Sí en la ventana de confirmación.



Edición de la descripción de una directivaLos campos correspondientes al nombre y la descripción de una directiva se pueden editar y se accedea ellos mediante el menú Archivo de la consola.

Procedimiento1 En el menú de la consola de directivas de McAfee DLP Endpoint, seleccione Archivo | Editar descripción

de directiva.

2 Edite el nombre y la descripción de la directiva en la ventana Directiva de seguridad.


Actualización de la directivaGeneralmente, el despliegue de la directiva del sistema se basa en el servidor de ePolicy Orchestrator,y la actualización de la directiva en el equipo gestionado se realiza según la configuración de McAfeeAgent. No obstante, la actualización de la directiva puede realizarse bajo demanda.

Utilice esta tarea para actualizar una directiva en ePolicy Orchestrator sin esperar a la actualizaciónplanificada.


1 En el árbol de sistemas de ePolicy Orchestrator, seleccione el equipo o los equipos que deseaactualizar.

2 Haga clic en Más acciones | Activar agentes.

3 Seleccione el tipo de llamada de activación del agente y defina el valor de Ejecución aleatoria en 0minutos. Haga clic en Aceptar.

El servidor de ePolicy Orchestrator actualiza las directivas de forma planificada. Los usuarios de losequipos gestionados no actualizan las directivas de forma manual a menos que se les solicite deforma expresa.

Despliegue de McAfee DLP EndpointDespliegue de directivas con ePolicy Orchestrator 6




Configuración y usoEsta sección trata sobre la configuración del sistema y la creación dedirectivas.Tras la instalación, se configura el software para lograr un uso optimizado enel entorno empresarial. A continuación, se crean directivas basadas en lasdecisiones de gestión sobre que contenido debe protegerse y cual es elmejor modo para protegerlo.

Para las nuevas instalaciones, recomendamos un período de recopilación deinformación durante el que las reglas se configuran en Supervisaren lugar deBloquear, y se recopilan los datos que van a ayudar en el proceso de toma dedecisiones.

Capítulo 7 Configuración de los componentes del sistemaCapítulo 8 Clasificación del contenido confidencialCapítulo 9 Seguimiento de contenido con marcas y clasificacionesCapítulo 10 Aplicación de la protección de McAfee DLP


Configuración y uso


7 Configuración de los componentes delsistema

Los componentes del sistema se pueden personalizar para dar respuesta a las necesidades de suempresa. La configuración de las opciones del sistema y de los agentes permite optimizar el sistemapara proteger la información confidencial de la empresa de forma eficaz.

Puede configurar y ajustar las siguientes opciones y componentes:

• Configuración de los agentes: envía al software cliente de McAfee DLP Endpoint toda lainformación relevante sobre las ubicaciones de almacenamiento de los eventos, las notificacionespersonalizadas de los usuarios, las limitaciones y ubicaciones del contenido en lista blanca, losparámetros de rastreo de archivos, la configuración de inicio de sesión en Microsoft Outlook y lasselecciones de módulos de los agentes.

• Opciones del sistema: permite definir la configuración del Analizador de directivas, las opcionesde registro del sistema y las opciones de impresión de informes del sistema.

Contenido Configuración de los agentes Configuración de operación en modo seguro

Configuración de los agentesEl software del cliente de McAfee DLP Endpoint para McAfee Agent reside en los equipos de la empresay ejecuta la directiva definida. Asimismo, el software supervisa las actividades del usuario que afectena todo tipo de contenido de carácter confidencial. La configuración de los agentes se almacena en ladirectiva, que se despliega en los equipos gestionados.

A fin de definir el comportamiento del software McAfee DLP Endpoint y otros componentes del sistemaen los equipos gestionados, haga clic en Configuración de los agentes en la barra de herramientas de laconsola de directivas de McAfee DLP Endpoint. La configuración se almacena en la directiva, la cual sedespliega en los equipos gestionados mediante ePolicy Orchestrator. Si se actualiza la configuración,es necesario volver a desplegar la directiva.

Para configurar el software cliente para una protección completa en Modo seguro, defina lafuncionalidad en la ficha Configuración de los agentes | Configuración avanzada. Esta opción esta desactivada deforma predeterminada.

Vigilancia del servicio del agente

Para mantener el funcionamiento normal del software McAfee DLP Endpoint, incluso en caso deinterferencia malintencionada, McAfee DLP Endpoint ejecuta un servicio de protección denominadoVigilancia del servicio del agente (ASWD). Este servicio supervisa el software McAfee DLP Endpoint y loreinicia si interrumpe su ejecución por cualquier motivo. Vigilancia del servicio del agente está

7


activado de forma predeterminada. Si desea comprobar que Vigilancia del servicio del agente se estáejecutando, busque en los procesos del Administrador de tareas de Windows un servicio denominadofcagswd.exe.

Aplicación de la configuración global de los agentesLa configuración global de los agentes se aplica desde la consola de directivas de McAfee DLPEndpoint.


• Seleccione Configuración de los agentes | Aplicar configuración global de los agentes. Aparecerá la ventanaConfiguración de los agentes con la barra de progreso a medida que se aplica la configuración a ePolicyOrchestrator.

Importación de la configuración global de los agentesLa importación de la configuración global de los agentes se lleva a cabo desde la consola de directivasde McAfee DLP Endpoint.


1 Seleccione Configuración de los agentes | Importar configuración global de los agentes desde ePO.

2 Haga clic en Sí para confirmar.

Restablecimiento de los valores de configuración de los agentesLos valores de configuración de los agentes se configuran desde la consola de directivas de McAfeeDLP Endpoint.

Procedimiento1 En el menú Configuración de los agentes, seleccione Restablecer valores de configuración de los agentes.

2 Haga clic en Sí para restaurar los valores predeterminados.

Configuración de operación en modo seguroEl software McAfee DLP Endpoint es totalmente funcional cuando se inicia el equipo en modo seguro.La funcionalidad está desactivada de manera predeterminada, pero se puede activar en la fichaConfiguración de los agentes | Configuración avanzada.

Un evento administrativo, Usuario conectado en modo seguro, puede aparecer en la consola de Eventosoperativos de DLP al seleccionar una opción en la ficha Configuración de los agentes | Eventos y registro.


1 En la consola de directivas de McAfee DLP Endpoint, seleccione Configuración de los agentes | Editarconfiguración global de los agentes.

2 Haga clic en la ficha Configuración avanzada.

7 Configuración de los componentes del sistemaConfiguración de operación en modo seguro


3 Seleccione Activar la funcionalidad completa de DLP en modo seguro y cambie la configuración a Activada.

La funcionalidad completa de McAfee DLP Endpoint ahora está disponible en modo seguro, y nosolo en modo vigilancia, como en las versiones anteriores. Existe un mecanismo de recuperación encaso de que McAfee DLP Endpoint sea la causa del error de inicio.


Configuración de los componentes del sistemaConfiguración de operación en modo seguro 7


7 Configuración de los componentes del sistemaConfiguración de operación en modo seguro


8 Clasificación del contenido confidencial

McAfee DLP Endpoint proporciona distintos modos de clasificar el contenido de carácter confidencial.Las distintas clasificaciones facilitan la creación de reglas de protección y marcado diferenciadas paracontrolar tipos de contenido distintos mediante una diversidad de métodos.

Contenido Clasificación por contenido Clasificación por ubicación de archivo Clasificación por destino de archivo Clasificación en uso Reglas de clasificación

Clasificación por contenidoLos documentos se pueden clasificar mediante la definición del contenido de carácter confidencial quedesea proteger o según las propiedades del documento.

Utilización de diccionarios para clasificar el contenidoUn diccionario es una recopilación de palabras clave o de frases clave donde cada entrada tiene unpeso asignado. Las reglas de clasificación del contenido utilizan diccionarios específicos para clasificarun documento si se supera el umbral definido (peso total), es decir, si un número de palabrassuficiente del diccionario aparece en el documento.La diferencia entre una entrada del diccionario y una cadena en una definición de patrón de texto es elpeso asignado. Una regla de marcado del patrón de texto de cadena siempre marca el documento si lafrase está presente. Una regla de marcado de diccionarios ofrece más flexibilidad, ya que permiteestablecer un umbral, lo que hace que la regla sea relativa. Los pesos asignados pueden ser negativoso positivos. Esta característica permite buscar palabras o frases en presencia de otras palabras ofrases.

Además de la capacidad de crear sus propios diccionarios, McAfee DLP Endpoint incluye variosdiccionarios integrados con términos que se usan con frecuencia en los sectores sanitario, bancario,financiero, etc.

Los diccionarios se pueden crear (y editar) de forma manual o mediante la función de copiar y pegardesde otros documentos.

LimitacionesEn esta sección se describe el diseño de la función de diccionario y algunas de las limitaciones queeste diseño presenta. Los diccionarios se guardan en formato Unicode (UTF‑8) y, por tanto, se puedenescribir en cualquier idioma. Las siguientes descripciones son específicas para los diccionarios escritosen inglés. Los demás idiomas funcionan de manera parecida, aunque es posible que en determinadosidiomas se produzcan problemas imprevistos.

8


La coincidencia de diccionarios tiene las siguientes características:

• No distingue entre mayúsculas y minúsculas.

• Puede buscar coincidencias con subcadenas o frases completas.

• Hace coincidir las frases, incluidos los espacios.

Si se especifica la coincidencia con subcadenas, se recomienda tener precaución al introducir palabrascortas debido a la posible aparición de falsos positivos. Por ejemplo, la entrada de diccionario "sal"indicaría tanto "saltar" como "asalto". A fin de evitar falsos positivos de este tipo, utilice la opción decoincidencia con toda la frase o use frases improbables desde el punto de vista estadístico a fin deobtener los mejores resultados. Otra fuente de falsos positivos son las entradas parecidas. Porejemplo, en algunos listados de enfermedades de HIPAA (Health Insurance Portability andAccountability Act), "celíaco" y "enfermedad celíaca" aparecen como entradas independientes. Si elsegundo término aparece en un documento, se obtendrán dos resultados (uno para cada entrada), porlo que la calificación total estará sesgada.

Creación de un diccionarioLas definiciones del diccionario se pueden utilizar para definir reglas de clasificación de contenido.


1 En el panel de navegación de la consola de directivas de McAfee DLP Endpoint, en Definiciones basadasen el contenido, seleccione Diccionarios.

Los diccionarios disponibles aparecerán en el panel de la derecha.

2 En la ventana Diccionarios, haga clic con el botón derecho del ratón y seleccione Nuevo | Diccionario.

Aparecerá el icono del nuevo Diccionario.

3 Asigne un nombre al diccionario nuevo y haga doble clic en el icono.

4 (Opcional) Introduzca una descripción opcional.

5 Para crear una nueva entrada:

• Haga clic en Agregar para crear un nuevo cuadro de texto. Escriba la nueva palabra o frase en elcuadro de texto.

El peso predeterminado se añade como "1".

• Para cambiar el peso predeterminado, seleccione el número y edítelo.

6 Si desea importar entradas de otros documentos:

• Una única entrada: haga clic en Importar entradas.

• Varias entradas: establezca un documento de origen con una entrada por línea y las líneasseparadas por un único retorno de carro.

Se abre una ventana de texto que permite copiar y pegar entradas. La ventana de texto estálimitada a 10.000 líneas de 50 caracteres cada una.

8 Clasificación del contenido confidencialClasificación por contenido


7 Para que se tenga en cuenta cada una de las veces que aparece un término en el texto en lacalificación total, marque la casilla de verificación Número de entradas múltiples.

El comportamiento predeterminado es que los términos se cuenten una sola vez,independientemente del número de veces que aparecen en el documento.

8 Anule la selección de la opción Coincidir sólo expresión completa si desea que se tengan en cuenta lassubcadenas.

El comportamiento predeterminado es tener en cuenta sólo las frases completas, ya que estotiende a reducir los falsos positivos.

Clasificación del contenido con propiedades de documentos oextensiones de archivosLas definiciones de propiedades de documento clasifican el contenido mediante valores de metadatospredefinidos. Las definiciones de extensiones de archivos clasifican el contenido según la extensión delnombre de archivo.

Propiedades de documentoLas propiedades de documento pueden recuperarse de cualquier documento de Microsoft Office. Seutilizan en reglas de protección, así como en reglas de descubrimiento. La propiedad Fecha decreación tiene opciones de fecha exacta y relativa (el documento se guarda más de X días).

Para la mayoría de propiedades, se permiten coincidencias parciales. Esta función está presente en laversión McAfee Device Control del software, donde constituye un filtro opcional en las reglas deprotección de almacenamiento extraíble, así como en la versión completa de McAfee DLP Endpoint.También se incluye como una ficha en el asistente de Sincronización de plantillas. Existen tres tipos depropiedades de documento.

• Propiedades predefinidas: propiedades estándar, como el autor y el título.

• Propiedades definidas por el usuario: propiedades personalizadas agregadas a los metadatosdel documento admitidas por algunas aplicaciones como Microsoft Word. Una propiedad definidapor el usuario puede hacer referencia a un tipo de documento estándar que no se encuentra en lalista de propiedades predefinidas, pero no puede duplicar una propiedad que aparece en la lista.

• Cualquier propiedad: permite la definición de una propiedad por un valor. Esta función resultaútil en los casos en los que la palabra clave se ha introducido en el parámetro de propiedadincorrecto o cuando se desconoce el nombre de la propiedad. Por ejemplo, al agregar el valorSecreta al parámetro Cualquier propiedad, se clasifican todos los documentos que tienen la palabraSecreta en al menos una propiedad.

La propiedad de documento Nombre de archivo se aplica a todos los tipos de archivos, no sólo a losdocumentos de Microsoft Office. Se emplea la coincidencia exacta de forma predeterminada, pero sepuede configurar como coincidencia parcial.

Extensiones de archivosLas definiciones de extensión de archivo se utilizan en reglas de protección, descubrimiento y marcadopara aumentar la granularidad. Se incluye una lista predefinida de extensiones y se pueden agregarnuevas definiciones. Los grupos de extensiones de archivos se pueden utilizar para simplificar reglasmediante la definición, por ejemplo, de todos los formatos de archivo de gráficos como una soladefinición.

Definiciones de patrones de textoLas reglas de marcado y las reglas de clasificación de contenido emplean patrones de texto paraclasificar los datos según palabras o patrones específicos. Pueden identificar cadenas conocidas, comoInformación confidencial o Sólo para uso interno, o bien expresiones regulares (Regex), que permiten

Clasificación del contenido confidencialClasificación por contenido 8


una coincidencia con patrones más complejos, como números de la seguridad social o números detarjetas de crédito.

Los patrones de texto de expresiones regulares empiezan y terminan por \b de formapredeterminada. Se trata de la notación Regex estándar para la separación de palabras. Por tanto, lacoincidencia con patrones es ahora, de forma predeterminada, de palabras completas (a fin de reducirlos falsos positivos).

Los patrones de texto pueden incluir un validador, un algoritmo utilizado para probar expresionesregulares. El uso del validador adecuado puede reducir significativamente los falsos positivos.

Los patrones de texto pueden marcarse como confidenciales. Los archivos que contienen patronesconfidenciales se cifran en pruebas con resaltado de coincidencias.

Si se usan varios patrones de texto para buscar contenido similar, se pueden emplear grupos depatrones de texto protegidos para asociar varios patrones a un solo grupo. De esta forma, sesimplifica la creación de categorías de contenido si se han definido muchos patrones de texto.

Si se especifican un patrón incluido y un patrón excluido, tiene prioridad el patrón excluido. De estaforma, se puede especificar una regla general y agregar excepciones sin tener que volver a escribir laregla general.

Clasificación de contenido con patrones de textoEs posible utilizar patrones de texto a modo de definiciones individuales o de grupos de patrones detexto. El software McAfee DLP Endpoint dispone de una función que comprueba la precisión de lospatrones de texto antes de su uso.

Utilice estas tareas para clasificar el contenido mediante patrones de texto.

Procedimientos• Creación de un patrón de texto en la página 64

Se pueden usar patrones de texto para definir las reglas de clasificación de contenido. Unadefinición de patrón de texto puede constar de un único patrón o una combinación depatrones incluidos y excluidos.

• Comprobación de un patrón de texto en la página 66Antes de utilizar un patrón de texto en una regla, debería comprobarlo para ver si identificael texto deseado y no produce falsos positivos.

• Creación de un grupo de patrones de texto en la página 67Es posible crear grupos de patrones de texto a partir de patrones de texto existentes. Eluso de grupos de patrones de texto simplifica las reglas cuando se requieren diversospatrones de texto, a la vez que mantiene la granularidad de los patrones de textoindependientes.

Creación de un patrón de textoSe pueden usar patrones de texto para definir las reglas de clasificación de contenido. Una definiciónde patrón de texto puede constar de un único patrón o una combinación de patrones incluidos yexcluidos.

Muchos de los patrones de texto, aunque no todos, se definen mediante expresiones regulares (regex).La definición de las expresiones regulares queda fuera del alcance de este documento. Existe una grancantidad de tutoriales acerca de las expresiones regulares en Internet en los que puede obtener másinformación acerca de este tema.




1 En el panel de navegación de la consola de directivas de McAfee DLP Endpoint, en Definiciones basadasen el contenido, seleccione Patrones de texto.

Los patrones de texto disponibles aparecerán en el panel de la derecha.

2 En la ventana Patrones de texto, haga clic con el botón derecho del ratón y seleccione Nuevo | Patrón detexto.

Aparecerá el icono del nuevo patrón de texto.

3 Asigne un nombre al nuevo patrón de texto y haga doble clic en el icono.

Figura 8-1 Cuadro de diálogo Patrón de texto

4 Agregue una descripción (opcional).

5 En Patrones incluidos, haga lo siguiente:

a Seleccione el método de reconocimiento de patrones (Todos o Cualquiera).

b Haga clic en Agregar para definir el nuevo patrón y, a continuación, introduzca la cadena de texto.

Si dispone de patrones de texto almacenados en un documento externo, puede copiarlos ypegarlos en la definición mediante Importar entradas.

c Seleccione Es una expresión regular si la cadena es una expresión regular.



d Si selecciona Es una expresión regular, seleccione un validador adecuado (opcional). El valorpredeterminado es Sin validaciones.

e En Umbral, especifique el número de veces que debe encontrarse el patrón en los datos para quese considere una coincidencia. Por ejemplo, se puede considerar aceptable encontrar una tarjetade crédito en un mensaje de correo electrónico, pero si se agrega un umbral de 5, se necesitancomo mínimo cinco coincidencias del patrón de tarjeta de crédito.

6 En Patrones excluidos, haga lo siguiente:

a Haga clic en Agregar para agregar un patrón de exclusión y, a continuación, especifique lascadenas de texto que el sistema ignorará cuando las encuentre.

b Seleccione Es una expresión regular si la cadena es una expresión regular.

c Si selecciona Es una expresión regular, seleccione un validador adecuado (opcional). El valorpredeterminado es Sin validaciones.

d En Umbral, agregue el número de veces que debe encontrarse el patrón para que se considereuna coincidencia.

e Haga clic en Aceptar.

Comprobación de un patrón de textoAntes de utilizar un patrón de texto en una regla, debería comprobarlo para ver si identifica el textodeseado y no produce falsos positivos.

Antes de empezarCree una nueva definición de patrón de texto o agregue un nuevo elemento a unadefinición existente. No es necesario guardar la definición antes de realizar la prueba.


1 En la definición de patrón de texto, haga clic en el botón Editar ( ) del elemento que se va aprobar. Aparecerá el cuadro de diálogo de prueba con el texto de búsqueda o la expresión regularen el cuadro de texto Modelo .

2 En caso de ser necesario, seleccione la casilla de verificación Expresión regular y seleccione un métodode validación en la lista desplegable.



3 Escriba algunos patrones de prueba en el cuadro de texto Prueba y haga clic en Comprobar.Aparecerán las coincidencias y las coincidencias validadas.

Figura 8-2 Comprobación de un patrón de tarjeta de crédito

Si realiza cambios o adiciones en el texto del cuadro Prueba, debe volver a hacer clic en Comprobarpara realizar la prueba de nuevo.

4 Si los resultados no son aceptables, modifique el patrón de texto y vuelva a realizar la prueba. Sihace clic en Aceptar, el patrón de texto de la definición se modifica para hacerla coincidir con elúltimo patrón que ha probado.

Creación de un grupo de patrones de textoEs posible crear grupos de patrones de texto a partir de patrones de texto existentes. El uso de gruposde patrones de texto simplifica las reglas cuando se requieren diversos patrones de texto, a la vez quemantiene la granularidad de los patrones de texto independientes.


1 En el panel de navegación de la consola de directivas de McAfee DLP Endpoint, en Definiciones basadasen el contenido, seleccione Patrón de texto.

Los grupos y patrones de texto disponibles aparecerán en el panel de la derecha.

2 En la ventana Patrones de texto, haga clic con el botón derecho del ratón y seleccione Nuevo | Grupo depatrones de texto.

Aparecerá el icono del nuevo Grupo de patrones de texto.



3 Haga doble clic en el icono.

Aparecerá la ventana de edición.

4 Asigne un nombre al nuevo grupo de patrones de texto.

5 Escriba una descripción (opcional).

6 Seleccione los patrones de texto de la lista.


Integración del software de clasificación de mensajes Titus con patronesde texto Se requieren patrones de texto específicos para definir una regla de protección de correo electrónicoque reconoce clasificaciones de Titus.

Antes de empezarLa integración se activa o desactiva en la ficha Configuración de los agentes | Configuración avanzada.

La clasificación de mensajes de Titus para Microsoft Outlook es una solución de correo electrónicoampliamente utilizada para garantizar que cada uno de los correos electrónicos se clasifique y semarque de manera proactiva antes de su envío. McAfee DLP Endpoint puede integrarse con Titus ybloquear correos electrónicos en base a las clasificaciones de Titus.

El software cliente de McAfee DLP Endpoint determina si Titus ha clasificado un correo electrónico(para reducir los falsos positivos) y cuál es la clasificación. Puede usar estas dos cadenas para definirla regla de protección.


1 En el panel de navegación de la consola de directivas de McAfee DLP Endpoint, en la opción Patronesde texto, cree el patrón de texto TLPropertyRoot=[Organization Name].

El nombre de la organización debe coincidir con el nombre de la herramienta de administraciónTitus Message Classification en la página License info (Información de licencia).

Esta es la cadena que se utiliza para reducir los falsos positivos.

Por ejemplo, para la implementación de McAfee de la Titus Message Classification, creamos elsiguiente patrón de texto:



2 Cree el patrón de texto Classification=[Titus classification].

Por ejemplo, si desea bloquear correos electrónicos en función de la clasificación de TitusConfidencial, cree el patrón de texto Classification=Confidential.

Repita este paso y cree un patrón de texto para cada clasificación de Titus que desee agregar a laregla de protección de correo electrónico.

Puede combinar los patrones de texto en un grupo de patrones de texto.

3 Defina una regla de clasificación con los patrones de texto o el grupo de patrones de texto con lascadenas de Titus.

El cliente de McAfee DLP Endpoint considera a la clasificación de Titus como parte del cuerpo, por loque puede seleccionar Scan body (Analizar cuerpo) en el paso 3 del asistente Regla de clasificación decontenido.

La regla crea una categoría de contenido en base a la clasificación de Titus, si es que ya no la hacreado.

4 Incluya la categoría de contenido en la regla de protección de correo electrónico (paso 2 delasistente Regla de protección de correo electrónico).

Lista blancaLa lista blanca es una carpeta compartida que contiene los archivos a los que hace referencia McAfeeDLP Endpoint al marcar o categorizar los datos. Los archivos definen el texto que es ignorado por elmecanismo de seguimiento de McAfee DLP Endpoint. Esto permite que los usuarios puedan distribuircontenido estándar que, de otro modo, el sistema marcaría o categorizaría y limitaría.

En la lista blanca se define el texto que suele agregarse a los documentos, como una renuncia, lasatribuciones de licencia y de marca comercial o las notas de copyright.

Para utilizar la lista blanca, es necesario crear un recurso compartido de archivos al que tengan accesode sólo lectura los equipos del dominio del grupo. Para obtener más instrucciones, consulte la Guía deinstalación. El recurso compartido de archivos debe definirse en las opciones de configuración de losagentes.

Cada uno de los archivos de la carpeta de la lista blanca debe contener un mínimo de 400 caracterespara que el sistema lo ignore.

Si un archivo contiene tanto datos marcados o categorizados como datos incluidos en la listablanca, el sistema no lo ignora. Sin embargo, todas las marcas y las categorías de contenidoimportantes asociadas al contenido siguen en vigor.

Es posible que algunos archivos de la carpeta de la lista blanca no se agreguen a ladistribución de directivas debido a la configuración. Estos archivos se muestran en la fichaAdvertencia al seleccionar Herramientas | Ejecutar Analizador de directivas.

Adición de nuevo contenido a la lista blancaA fin de ahorrar tiempo a la hora de analizar documentos, coloque el texto estándar, como por ejemplolas renuncias de responsabilidad, en la carpeta de la lista blanca.




1 Cree un archivo que sólo contenga el texto que desea agregar a la lista blanca y cópielo en lacarpeta de la lista blanca.

2 En el panel de navegación de la consola de directivas de McAfee DLP Endpoint, en Definiciones,seleccione Lista blanca. Los archivos de lista blanca disponibles aparecerán en el panel de la derecha.

3 Haga clic con el botón derecho del ratón en la ventana Lista blanca y, a continuación, haga clic enActualizar. La ventana se actualizará con la última lista de archivos.

Eliminación de archivos de la lista blancaEl contenido que ya no es relevante debe eliminarse de la carpeta de la lista blanca.


1 En el panel de navegación de la consola de directivas de McAfee DLP Endpoint, en Definiciones,seleccione Lista blanca. Los archivos de lista blanca disponibles aparecerán en el panel de la derecha.

2 Seleccione el archivo que desee eliminar de la carpeta de la lista blanca, haga clic con el botónderecho del ratón y seleccione Eliminar.

3 Haga clic en Sí para confirmar la eliminación.


Clasificación por ubicación de archivoEl contenido de carácter confidencial se puede definir según el lugar en que esté situado (almacenado)o según dónde se utilice (aplicación o extensión de archivo).

El software McAfee DLP Endpoint usa varios métodos para ubicar y clasificar el contenido de carácterconfidencial. Datos en reposo es el término utilizado para describir ubicaciones de archivos. Clasifica elcontenido planteando preguntas como "¿dónde se encuentra en la red?" o "¿en qué carpeta seencuentra?" Datos en uso es el término utilizado para definir el contenido por cómo y dónde se utiliza.Clasifica el contenido planteando preguntas como "¿qué aplicación lo solicitó?" o "¿cuál es la extensióndel archivo?"

McAfee DLP Discover busca los datos en reposo. Puede buscar contenido de archivos de equipos deendpoint o archivos de almacenamiento de correo electrónico (PST, PST asignado y OST).

Contenido Modo de funcionamiento del análisis de descubrimiento Definición de recursos compartidos de archivos de red Definición de parámetros de red Definición de repositorios de documentos registrados

8 Clasificación del contenido confidencialClasificación por ubicación de archivo


Modo de funcionamiento del análisis de descubrimientoLos análisis de McAfee DLP Discover se utilizan para localizar datos en reposo. Actualmente existendos versiones de este software de descubrimiento: red y endpoint. En este documento se describe laversión de endpoint.

McAfee DLP Discover es un robot de rastreo (crawler) que se ejecuta en equipos cliente. Cuandolocaliza el contenido predefinido, puede supervisar, poner en cuarentena, marcar o aplicar unadirectiva de gestión de derechos a los archivos con dicho contenido. McAfee DLP Discover puedebuscar archivos de los equipos o de almacenamiento de correo electrónico (PST, PST asignado y OST).Los archivos de almacenamiento de correo electrónico se almacenan en caché de forma individual paracada usuario.

Para usar McAfee DLP Discover, debe activar los módulos de descubrimiento en la ficha Configuración de losagentes | Varios.

Figura 8-3 Opciones de descubrimiento de la ficha Varios

Al final de cada análisis de descubrimiento, el cliente de McAfee DLP Endpoint envía un evento deresumen del descubrimiento a la consola de Eventos operativos de DLP en ePolicy Orchestrator pararegistrar los detalles del análisis. En el evento se incluye un archivo de pruebas en el que se indicanlos archivos que no se pudieron analizar y el motivo por el que no se analizaron dichos archivos.

Clasificación del contenido confidencialClasificación por ubicación de archivo 8


¿Cuándo se pueden realizar búsquedas?

La planificación se establece en el cuadro de diálogo Configuración de los agentes. Puede realizarun análisis diario a una hora específica o en días determinados de la semana o del mes. Puedeespecificar las fechas de inicio y finalización, o realizar un análisis cuando se implemente laconfiguración de McAfee DLP Endpoint. Puede suspender un análisis cuando la CPU o memoria RAM delequipo supere el límite especificado.

Si cambia la directiva de descubrimiento cuando se está realizando el análisis de un endpoint, lasreglas y parámetros de planificación cambiarán de forma inmediata. Los cambios para los que se hanactivado o desactivado los parámetros surtirán efecto en el siguiente análisis. Si se ha reiniciado elequipo mientras se estaba realizando un análisis, éste continúa por donde se quedó.

¿Qué tipo de contenido se puede descubrir?

Existen dos formas de definir el contenido de carácter confidencial.

• Uso de marcas o categorías de contenido. Las categorías comparan los patrones de texto,diccionarios o repositorios de documentos registrados específicos con los archivos. Las marcasdefinen archivos en ubicaciones especificadas o los generan con aplicaciones especificadas.

Si no se define ninguna marca o categoría, se requerirá una propiedad de documento. La nuevapropiedad de documento nombre de archivo permite esta opción para cualquier tipo de archivo, nosólo archivos de Microsoft Office.

• Uso del contexto del archivo. Puede especificar los tipos de archivos, extensiones de archivo,propiedades del documento, tipo de cifrado y asignación de usuario en la regla de descubrimiento.

¿Qué sucede con los archivos descubiertos con contenido de carácter confidencial?

Puede aplicar protección de gestión de derechos (solo descubrimiento del sistema de archivos), cifrar,supervisar, poner en cuarentena o marcar los archivos. La protección de gestión de derechos, elcifrado y la puesta en cuarentena se excluyen mutuamente. La supervisión y el marcado puedenañadirse a otras acciones. Cuando supervisa, puede optar también por almacenar pruebas.

Una opción de la ficha Herramientas | Opciones | General le permite eliminar los archivos en lugar de ponerlosen cuarentena. Esta opción la solicitó un cliente concreto. No se recomienda usar esta opción para unuso general.

Búsqueda de contenido con el robot de rastreo (crawler) de McAfee DLPDiscoverUtilice estas tareas para configurar y ejecutar el robot de rastreo (crawler) de descubrimientos.

La ejecución del robot de rastreo (crawler) de descubrimientos conlleva tres pasos. Se pueden seguiren cualquier orden.

• Cree y defina una regla de descubrimiento.

• Configure los parámetros de análisis.

• Defina la planificación.



Procedimientos

• Creación y definición de una regla de descubrimiento de sistema de archivos en la página73Las reglas de descubrimiento de sistema de archivos definen el contenido que busca elrobot de rastreo (crawler) de McAfee DLP Discover y qué hacer cuando se encuentra elcontenido.

• Creación y definición de una regla de descubrimiento de almacenamiento de correoelectrónico en la página 75McAfee DLP Discover puede buscar contenido de carácter confidencial en archivos dealmacenamiento de correo electrónico (PST, PST asignado y OST). El robot de rastreo(crawler) busca en elementos de correo electrónico (cuerpo y elementos adjuntos),elementos de calendario y tareas. No busca en carpetas públicas ni notas rápidas. Lasacciones se limitan a Supervisar, Cuarentena, Almacenar pruebas y Marca.

• Configuración de un análisis de McAfee DLP Discover en la página 76Los análisis de McAfee DLP Discover primero se definen y después se planifican mediante elmenú Configuración de los agentes.

• Planificación de un análisis de McAfee DLP Discover en la página 77Los análisis de McAfee DLP Discover primero se definen y después se planifican mediante elmenú Configuración de los agentes.

• Restauración de elementos de correo electrónico o archivos en cuarentena en la página78Cuando el dispositivo de descubrimientos de McAfee DLP Endpoint encuentra contenido decarácter confidencial, mueve los archivos o los elementos de correo electrónico afectados auna carpeta de cuarentena y los sustituye por marcadores de posición que notifican a losusuarios que sus archivos están en cuarentena. Además, los archivos y los elementos decorreo electrónico en cuarentena se cifran para evitar el uso no autorizado.

Creación y definición de una regla de descubrimiento de sistema de archivosLas reglas de descubrimiento de sistema de archivos definen el contenido que busca el robot derastreo (crawler) de McAfee DLP Discover y qué hacer cuando se encuentra el contenido.

Los cambios en una regla de descubrimiento se aplican en cuanto se implementa la directiva. Aunqueesté en curso un análisis, la nueva regla entra en vigor inmediatamente.

Puede especificar una propiedad de documento en lugar de una categoría de marca o contenido.Cualquiera de ellas es válida. Una nueva acción permite que se marquen los archivos comparados. Elmarcado es adicional a otras acciones seleccionadas.

Cuando se excluyen marcas o categorías de contenido en reglas de descubrimiento, la regla deexclusión funciona en relación con la regla de inclusión. Se debe incluir al menos una marca o categoríade contenido para excluir cualquier otra marca o categoría de contenido.


1 En el panel de navegación de la consola de directivas de McAfee DLP Endpoint, seleccione Protecciónde contenido | Reglas de descubrimiento.

Las reglas de descubrimiento disponibles aparecerán en el panel de la derecha.

2 En el panel Reglas de descubrimiento, haga clic con el botón derecho del ratón y seleccione Nuevo | Reglade descubrimiento de sistema de archivos.

3 Cambie el nombre de la regla por otro que ayude a reconocer su función específica.

4 Haga doble clic en el icono de la regla y siga estos pasos en el asistente.



Paso Acción

1 de 7(opcional)

Seleccione la opción Seleccionar de la lista y, a continuación, seleccione los tipos dearchivos de la lista disponible. Utilice la opción Otros tipos de archivos para seleccionartipos de archivos que no aparecen en la lista (desconocidos). Haga clic en Siguiente.

2 de 7(opcional)

Seleccione la opción Seleccionar de la lista y, a continuación, seleccione las extensionesde archivos de la lista disponible. Las exclusiones predeterminadasson: .avi, .bmp, .exe, .gif, .jar, .jpeg, .jpg, .mkv, .ico, .mp3, .mpeg, .png, .mov, .tify .tiff. Haga clic en Siguiente.

3 de 7(obligatorio*)

Seleccione las marcas, las categorías de contenido y los grupos que se van aincluir o excluir de la regla. Haga clic en Agregar elemento para crear una nueva marcao categoría de contenido. Haga clic en Agregar grupo para crear un nuevo grupo decategorías de contenido y marcas. Haga clic en Siguiente.


Seleccione un grupo o una definición de propiedades de documentos existente;para ello, marque una de las casillas de verificación para indicar si la definición seincluye o excluye. Haga clic en Agregar elemento para crear una nueva definición depropiedades de documentos o en Agregar grupo para crear un nuevo grupo. Haga clicen Siguiente.

5 de 7(opcional)

Marque la opción Seleccionar de la lista y, a continuación, seleccione un tipo de cifrado.

6 de 7(obligatorio)

Seleccione acciones de la lista de acciones disponibles.

• Aplicar directiva de gestión de derechos. Haga clic en Seleccionar directiva de gestión dederechos para seleccionar una directiva de gestión de derechos y el servidor en laque se encuentra.

• Cifrar. Haga clic en Seleccionar una clave de cifrado para seleccionar una clave decifrado o añadir una nueva.

• Supervisar. Haga clic en Gravedad para modificar el valor.

• Cuarentena

• Almacenar pruebas: Vinculado a Monitor (si no ha seleccionado Monitor, se seleccionaautomáticamente).

• Informar en consola de DLP Endpoint

• Marca. Haga clic en Seleccione una marca. La marca que utilice debe estarpredefinida. No hay ninguna opción para agregar una marca.

Aplicar directiva de gestión de derechos, Cuarentena y Cifrar son acciones excluyentesentre sí; al seleccionar una se cancela la selección de las otras. Otrasacciones son adicionales.

Si selecciona Aplicar directiva de gestión de derechos y no se puede aplicar ladirectiva de gestión de derechos, el contenido se supervisa. Si seleccionaCifrar y McAfee Endpoint Encryption for Files and Folders no está instalado,el contenido pasa a estar en cuarentena.

Si selecciona la opción Admitir borrado de descubrimientos en sistema de archivos enHerramientas | Opciones, aparecerá la acción Eliminar, la cual se puede utilizaren lugar de Cifrar o Cuarentena. No se recomienda activar la opción deborrado de descubrimientos.




Paso Acción

7 de 7(opcional)

Seleccione uno o varios grupos de asignación, o bien defina un nuevo grupo alhacer clic en Agregar. Haga clic en Finalizar.

(obligatorio*) significa que como mínimo debe definirse una de las propiedades.

5 Para activar la regla, haga clic con el botón derecho del ratón en el icono de regla dedescubrimiento y seleccione Activar.

Creación y definición de una regla de descubrimiento de almacenamiento decorreo electrónicoMcAfee DLP Discover puede buscar contenido de carácter confidencial en archivos de almacenamientode correo electrónico (PST, PST asignado y OST). El robot de rastreo (crawler) busca en elementos decorreo electrónico (cuerpo y elementos adjuntos), elementos de calendario y tareas. No busca encarpetas públicas ni notas rápidas. Las acciones se limitan a Supervisar, Cuarentena, Almacenar pruebas yMarca.

McAfee DLP Endpoint versión 9.3 admite el análisis del almacenamiento de correo electrónico deMicrosoft Outlook de 32 bits (OST y PST) en sistemas operativos Windows de 64 bits.


1 En el panel de navegación de la consola de directivas de McAfee DLP Endpoint, seleccione Protecciónde contenido | Reglas de descubrimiento.

Las reglas de descubrimiento disponibles aparecerán en el panel de la derecha.

2 En el panel Reglas de descubrimiento, haga clic con el botón derecho del ratón y seleccione Nuevo | Reglade descubrimiento de almacenamiento de correo electrónico.


4 Haga doble clic en el icono de la regla y siga estos pasos en el asistente.Paso Acción

1 de 7 (opcional) Seleccione la opción Seleccionar de la lista y, a continuación, seleccione lostipos de archivos de la lista disponible. Utilice la opción Otros tipos de archivospara seleccionar tipos de archivos que no aparecen en la lista(desconocidos). Haga clic en Siguiente.

2 de 7 (opcional) Seleccione la opción Seleccionar de la lista y, a continuación, seleccione lasextensiones de archivos de la lista disponible. Haga clic en Siguiente.


Seleccione las marcas, las categorías de contenido y los grupos que se vana incluir o excluir de la regla. Haga clic en Agregar elemento para crear unanueva marca o categoría de contenido. Haga clic en Agregar grupo para crearun nuevo grupo de categorías de contenido y marcas. Haga clic en Siguiente.


Seleccione un grupo o una definición de propiedades de documentosexistente marcando una de las casillas de verificación para indicar si ladefinición se incluye o excluye. Haga clic en Agregar elemento para crear unanueva definición de propiedades de documentos o en Agregar grupo paracrear un nuevo grupo. Haga clic en Siguiente.

5 de 7 (opcional) Marque la opción Seleccionar de la lista y, a continuación, seleccione un tipo decifrado.



Paso Acción

6 de 7 (obligatorio) Seleccione acciones de la lista de acciones disponibles.

• Supervisar. Haga clic en Gravedad para modificar el valor.

• Cuarentena

• Informar en consola de DLP Endpoint

• Almacenar pruebas: Vinculado a Monitor (si no ha seleccionado Monitor, seselecciona automáticamente).

• Marca. Haga clic en Seleccione una marca. La marca que utilice debe estarpredefinida. No hay ninguna opción para agregar una marca.


7 de 7 (opcional) Seleccione uno o varios grupos de asignación, o bien defina un nuevogrupo al hacer clic en Agregar. Haga clic en Finalizar.

(obligatorio*) significa que como mínimo debe definirse una de las propiedades.

5 Para activar la regla, haga clic con el botón derecho del ratón en el icono de regla dedescubrimiento y seleccione Activar.

Si deja una regla desactivada, aplica la regla a la base de datos y la despliega en los agentes, elestado desactivado interrumpirá cualquier regla de descubrimiento de correo electrónico que se estéejecutando.

Configuración de un análisis de McAfee DLP DiscoverLos análisis de McAfee DLP Discover primero se definen y después se planifican mediante el menúConfiguración de los agentes.

Los cambios de parámetros de configuración de descubrimientos tienen efecto en el siguiente análisis.No se aplican a análisis que ya estén en curso.


1 En la ficha Configuración de los agentes | Configuración de descubrimientos, configure los parámetros derendimiento.

Utilice los controles de pausa para reducir al mínimo el impacto del análisis sobre el rendimientodel sistema. Las opciones son las siguientes:

• Interrumpir el análisis cuando la CPU del sistema supere (%)

• Interrumpir el análisis cuando la RAM utilizada del sistema supere (%)

• No analizar los archivos mayores de (MB)

La mayor parte de los archivos de interés son pequeños. Omitir archivos de gran tamaño puedereducir significativamente el tiempo de análisis.



2 Defina los detalles de notificación.

Los detalles de la notificación de almacenamiento de archivos y correo electrónico se configuranaparte.

Si se selecciona la acción Cuarentena en una regla de descubrimiento, esta elimina los archivos concontenido de carácter confidencial y los pasa a la carpeta de cuarentena. Si no se definennotificaciones, los usuarios podrían preguntarse la razón por la que han desaparecido sus archivos.La función de notificación reemplaza archivos con archivos de sustitución con el mismo nombre yque contienen el texto de notificación. Si la regla de descubrimiento se define para cifrar archivos,no se necesita notificación, porque los archivos permanecen en su lugar.

Para retirar los archivos del estado de cuarentena, los usuarios deben solicitar al administrador unaclave de desbloqueo de cuarentena. Algo parecido sucede con la clave para omitir agente. Paraabrir archivos cifrados, los usuarios deben tener la clave de cifrado que se detalla en la regla dedescubrimiento.

La ruta de acceso predeterminada de la carpeta de cuarentena es ahora %USERPROFILE%\Archivosen cuarentena de McAfee DLP. Recomendamos utilizar sólo esta carpeta predeterminada, ya quese han dado casos de eliminación accidental de archivos en otras situaciones.

Si selecciona la acción Cifrar y McAfee Endpoint Encryption for Files and Folders no está instalado, losarchivos se supervisan. Si selecciona la acción Aplicar directiva de gestión de derechos y el proveedor degestión de derechos no está disponible, los archivos se supervisan.

3 Seleccione las carpetas que desee analizar y las carpetas que omitir.

a Haga clic en Editar ( ) en la sección Carpetas.

b Utilice el Explorador de Windows para navegar hasta una carpeta.

c Copie y pegue la dirección en el cuadro de texto Especifique la carpeta.

d Utilice el icono del signo más para agregar la carpeta a la lista de análisis, y el del signo menospara eliminar carpetas.

Si no especifica ninguna carpeta para analizar u omitir, se analizarán todas las carpetas del equipoexcepto las de C:\Windows, C:\Archivos de programa y la carpeta de cuarentena de McAfee DLPEndpoint. Los siguientes tipos de archivos se omitirán siempre, independientemente de la carpeta enque se encuentren:

• Archivos específicos ntldr, boot.ini y .cekey

• Archivos ejecutables (*.com, *.exe y *.sys)

4 Seleccione los tipos de almacenamiento de correo electrónico que desee analizar. Seleccione lascarpetas de correo electrónico que desee analizar y las carpetas que omitir.

Cuando Microsoft Outlook se ejecuta en modo de no intercambio en caché, los archivos OST noestán presentes y no se pueden analizar. Si crea un buzón de correo compartido al ejecutarse enmodo de no intercambio en caché (buzón de correo OST), McAfee DLP Endpoint lo reconoce comoun buzón de correo PST asignado. Por lo tanto, debe especificar el PST asignado como un tipo dealmacenamiento en la regla de descubrimiento para poder analizar el buzón de correo.

Planificación de un análisis de McAfee DLP DiscoverLos análisis de McAfee DLP Discover primero se definen y después se planifican mediante el menúConfiguración de los agentes.

El planificador de análisis de descubrimiento se encuentra en el cuadro de diálogo Configuración de losagentes | Configuración de descubrimientos.




1 En la ficha Configuración de los agentes | Configuración de descubrimientos, haga clic en el botón Planificaciónde análisis del sistema de archivos ( ). También puede planificar un análisis del almacenamientode correo haciendo clic en el icono Planificación de análisis de PST y OST.

Aparece una ventana emergente.

2 Defina la hora de inicio del análisis mediante la rueda.

3 Defina la frecuencia del análisis mediante los botones de opción y las casillas de verificación.

4 Si desea ejecutar un análisis de descubrimiento inmediatamente, seleccione Ejecutar ahora.

5 Si desea impedir que se omitan las ejecuciones debido a que el usuario se haya desconectado,seleccione Reanudar las ejecuciones de descubrimiento que falten tras iniciar sesión.

6 Defina la fechas de inicio y fin para los análisis de descubrimiento.

Restauración de elementos de correo electrónico o archivos en cuarentenaCuando el dispositivo de descubrimientos de McAfee DLP Endpoint encuentra contenido de carácterconfidencial, mueve los archivos o los elementos de correo electrónico afectados a una carpeta decuarentena y los sustituye por marcadores de posición que notifican a los usuarios que sus archivosestán en cuarentena. Además, los archivos y los elementos de correo electrónico en cuarentena secifran para evitar el uso no autorizado.

Antes de empezarPara mostrar el icono de McAfee DLP en Microsoft Outlook, se debe activar la opción Mostrarcontroles para levantar la cuarentena en Outlook en Configuración de los agentes | Varios.

Cuando se configura una regla de descubrimiento del sistema de archivos con la acción Cuarentena y elrobot de rastreo (crawler) encuentra contenido de carácter confidencial, mueve los archivos implicadosa una carpeta de cuarentena y los sustituye por marcadores de posición que notifican a los usuariosque sus archivos están en cuarentena. Los archivos en cuarentena se cifran para evitar el uso noautorizado.

En el caso de los elementos de correo electrónico en cuarentena, el software McAfee DLP Discoveradjunta un prefijo al Asunto en Outlook para indicar a los usuarios que sus mensajes de correoelectrónico están en cuarentena. Los mensajes pueden tener el cuerpo del correo electrónico o losdatos adjuntos en cuarentena, o bien ambos. Si el cuerpo del mensaje está en cuarentena, el texto desustitución aparecerá en el cuerpo y el texto del cuerpo aparecerá como datos adjuntos cifrados.

Las tareas y los elementos del calendario de Microsoft Outlook también se pueden poner en cuarentena.

Figura 8-4 Ejemplo de correo electrónico en cuarentena



Procedimiento

1 Para restaurar los archivos en cuarentena:

a En la bandeja del sistema del equipo gestionado, haga clic en el icono de McAfee Agent yseleccione Administrar funciones | Consola de DLP Endpoint.

Se abre la consola de DLP Endpoint.

b En la ficha Tareas, seleccione Abrir carpeta de cuarentena.

Se abre la carpeta de cuarentena.

c Seleccione los archivos que se van a restaurar. Haga clic con el botón derecho del ratón yseleccione Liberar de la cuarentena.

El elemento del menú contextual Liberar de la cuarentena solo aparece cuando se seleccionanarchivos de tipo *.dlpenc (cifrado con DLP).

Aparece la ventana emergente Código de autorización.

2 Para restaurar elementos de correo electrónico en cuarentena: Haga clic en el icono de McAfee DLP ohaga clic con el botón derecho del ratón y seleccione Descifrado manual.

a En Microsoft Outlook, seleccione los mensajes de correo electrónico (u otros elementos) quedesee restaurar.

b Haga clic en el icono de McAfee DLP.

Aparece la ventana emergente Código de autorización.

3 Copie el código del ID de desafío de la ventana emergente y envíelo al administrador de DLP

4 El administrador genera un código de respuesta y lo envía al usuario. (también se envía un eventoal Eventos operativos de DLP que registra todos los detalles).

5 El usuario introduce el código de autorización en la ventana emergente Código de autorización y haceclic en Aceptar.

Los archivos descifrados se restauran a su ubicación original. Si está activada la directiva debloqueo de código de autorización (en la ficha Configuración de los agentes | Servicio de notificación) eintroduce un código incorrecto tres veces, la ventana emergente deja de aparecer durante 30minutos (configuración predeterminada).

En el caso de los archivos, si se ha cambiado o eliminado la ruta de acceso, se restaura la rutaoriginal. Si ya existe un archivo con el mismo nombre en la ubicación, el archivo se restaura comoxxx‑copy.abc.

Definición de recursos compartidos de archivos de redLa lista de servidores de archivos es una lista de recursos compartidos de archivos que se emplea paralas reglas de marcado basadas en la ubicación.

La lista de servidores de archivos se crea mediante una consulta LDAP o un análisis de la red. Definalos servidores de red que se utilizan en las reglas de marcado basadas en ubicación. Si un servidor nocontiene un archivo compartido utilizado en una regla de marcado basada en la ubicación, no esnecesario incluirlo en esta lista.

Creación de una lista de servidores de archivosLa lista de servidores de archivos es una lista de los recursos compartidos de archivos utilizados paralas reglas de marcado basadas en la ubicación.




1 En el panel de navegación de la consola de directivas de McAfee DLP Endpoint, en Definiciones,seleccione Servidores de archivos.

Los servidores de archivos disponibles aparecerán en el panel de la derecha.

2 En la ventana Servidores de archivos, haga clic con el botón derecho del ratón y seleccione Buscar paraver las siguientes opciones de búsqueda.

No es posible buscar los servidores de red en OpenLDAP.

• Todos los servidores de red ‑ Por unidades organizativas: seleccione la unidad organizativa en la que deseabuscar y haga clic en Aceptar.

• Todos los servidores de red ‑ Por vista Red: busca todos los servidores de archivos disponibles en la redlocal.

• Servidores de red por selección LDAP: seleccione los servidores de archivos apropiados y haga clic enAceptar.

Adición de un solo servidor a una listaLa lista de servidores de archivos es una lista de recursos compartidos de archivos que se emplea paralas reglas de marcado basadas en la ubicación.

Procedimiento1 En el panel de navegación de la consola de directivas de McAfee DLP Endpoint, en Definiciones,

seleccione Servidores de archivos.

Los servidores de archivos disponibles aparecerán en el panel de la derecha.

2 En la ventana Servidores de archivos, haga clic con el botón derecho del ratón y seleccione Nuevo |Servidor.

Aparecerá el icono del nuevo Servidor.

3 Escriba el nombre del servidor.

Definición de parámetros de redLas definiciones de red funcionan como criterios de filtrado en las reglas de protección relacionadascon la red.

• El Intervalo de puertos de red permite utilizar intervalos de puertos de red para implementar reglasrelacionadas con la red en un servicio específico.

• El Intervalo de direcciones de red supervisa las conexiones de red entre un origen externo y un equipogestionado.

• El Grupo de intervalos de direcciones de red permite utilizar varios intervalos de red para las reglasrelacionadas con la red.

Creación de un intervalo de direcciones de redLos intervalos de direcciones de red funcionan como criterios de filtrado en las reglas de protecciónrelacionadas con la red.




1 En el panel de navegación de la consola de directivas de McAfee DLP Endpoint, en Definiciones,seleccione Red.

En el panel de la derecha aparecerán los intervalos de direcciones de red disponibles.

2 Haga clic con el botón derecho del ratón en la ventana Red y seleccione Nuevo | Intervalo de direcciones dered.

Aparecerá el icono del nuevo Intervalo de direcciones de red.



4 Especifique el nombre del intervalo de direcciones de red.


6 Introduzca el intervalo de direcciones IP mediante uno de los métodos siguientes:

• Definir mediante un intervalo de direcciones

• Definir con una máscara de red

• Definir con la especificación CIDR


Creación de un grupo de intervalos de direcciones de redLos intervalos de direcciones de red funcionan como criterios de filtrado en las reglas de protecciónrelacionadas con la red. Los grupos intervalos de direcciones de red simplifican las reglas a la vez quemantienen la granularidad al combinar diversas definiciones de intervalos de direcciones en un grupo.



En el panel de la derecha aparecerán los grupos de intervalos de direcciones de red disponibles.

2 En la ventana Red, haga clic con el botón derecho del ratón y seleccione Nuevo | Grupo de intervalos dedirecciones de red.

Aparecerá el icono del nuevo Grupo de intervalos de direcciones de red.



4 Especifique el nombre del grupo de direcciones de red.


6 Seleccione los intervalos de direcciones de red de la lista disponible.




Creación de un nuevo intervalo de puertos de redLos intervalos de puertos de red funcionan como criterios de filtrado en las reglas de protecciónrelacionadas con la red.



En el panel de la derecha aparecerán los intervalos de puertos de red disponibles.

2 Haga clic con el botón derecho del ratón en la ventana Red y seleccione Nuevo | Intervalo de puertos dered.

Aparecerá el icono correspondiente al nuevo Intervalo de puertos de red.



4 Especifique el nombre del intervalo de puertos de red.


6 Especifique el intervalo de puertos (un único puerto, varios puertos, intervalo).

7 Seleccione el tipo de protocolo correspondiente (UDP, TCP o ambos).


Definición de repositorios de documentos registradosLa función de documentos registrados es una extensión del marcado basado en la ubicación.Proporciona a los administradores otro modo de definir la ubicación de la información importante yevitar que ésta se distribuya de formas no autorizadas.

Para usar los repositorios de documentos registrados, el administrador selecciona una lista de carpetascompartidas para registrarlas. La definición se puede limitar a extensiones de archivos específicas endichas carpetas, así como a un tamaño máximo de archivo. El contenido de estas carpetas se clasifica,se identifica por huellas digitales y se distribuye a todas las estaciones de trabajo endpoint. Elsoftware McAfee DLP Endpoint de los equipos gestionados bloquea la distribución fuera de la empresade documentos que contengan fragmentos de contenido registrado.

Cuando se configuren repositorios de documentos registrados, recomendamos definir permisos derecursos compartidos y de seguridad para las carpetas del repositorio y conceder un permiso total alSISTEMA.

Ventajas de registrar los documentos

Las dos ventajas de los documentos registrados frente al marcado tradicional basado en la ubicaciónson las siguientes:



• Los documentos que existían antes de que se definiera el marcado basado en la ubicación no sedetectan mediante las reglas de marcado basadas en la ubicación a excepción de que el usuarioabra o copie el archivo original desde su ubicación de red. Las reglas de clasificación de losdocumentos registrados detectan todos los archivos en las carpetas definidas.

• Si varios documentos incluyen el mismo contenido de carácter confidencial, deberá clasificarlo unaúnica vez mediante un repositorio de documentos registrados. Si utiliza el marcado basado en laubicación, deberá identificar cada uno de los recursos compartidos de red donde se encuentra elcontenido de carácter confidencial y marcarlos de forma individual.

Registro de documentos en equipos gestionadosLas dos ventajas que conlleva el registro de documentos frente al marcado tradicional basado en laubicación son las siguientes:

• Los documentos que existían antes de que se definiera el marcado basado en la ubicación no sedetectan mediante las reglas de marcado basadas en la ubicación a excepción de que el usuarioabra o copie el archivo original desde su ubicación de red. Las reglas de clasificación de losdocumentos registrados detectan todos los archivos en las carpetas definidas.

• Si varios documentos incluyen el mismo contenido de carácter confidencial, deberá clasificarlo unaúnica vez mediante un repositorio de documentos registrados. Si utiliza el marcado basado en laubicación, deberá identificar cada uno de los recursos compartidos de red donde se encuentra elcontenido de carácter confidencial y marcarlos de forma individual.

Indexación de repositorios de documentos registradosLos repositorios de documentos registrados se indexan de forma periódica mediante las tareasservidor de ePolicy Orchestrator. El proceso de indexación crea un paquete (reg_docs9300_x.zip) quese agrega al repositorio de ePolicy Orchestrator y se despliega en los equipos gestionados.El contenido de las carpetas de documentos registrados se protege con reglas de clasificación dedocumentos registrados. La regla de clasificación asocia una categoría de contenido específico con losarchivos del repositorio de documentos registrados. La separación de definiciones, grupos y categoríasaumenta la modularidad y permite la creación de nuevas reglas de clasificación, así como lamodificación de reglas existentes sin necesidad de volver a realizar la indexación y el despliegue.

Una vez que haya definido una regla de clasificación de documentos registrados, agregue lascategorías asociadas a una regla de protección que acepte categorías de contenido.

Cuando se hayan desplegado en un equipo gestionado la indexación, la regla de clasificación dedocumentos registrados y la regla de protección que especifica la categoría, todo el contenido quesalga del equipo gestionado se cotejará con las huellas digitales de los documentos registrados, y elcontenido se bloquea o se supervisa conforme a la regla de protección.

El contenido incluido en la lista blanca se elimina de la base de datos del repositorio de documentosregistrados. Las reglas de clasificación de documentos registrados se aplican únicamente al contenidodel repositorio que no esté incluido en una lista blanca.

Creación de una definición de repositorio de documentos registradosLos repositorios de documentos registrados se usan para definir las reglas de clasificación dedocumentos registrados.


1 En el panel de navegación de la consola de directivas de McAfee DLP Endpoint, en Definiciones basadasen el contenido, seleccione Repositorios de documentos registrados.

Los documentos registrados disponibles aparecerán en el panel de la derecha.



2 En la ventana Repositorios de documentos registrados, haga clic con el botón derecho del ratón yseleccione Nuevo | Repositorio de documentos registrados.

Aparecerá el icono del nuevo Repositorio de documentos registrados.

3 Asigne un nombre al nuevo repositorio de documentos registrados y haga doble clic en el icono.


5 Escriba la ruta de acceso UNC en la carpeta que va a definir o haga clic en Examinar para colocar lacarpeta.

6 Si se le solicita, introduzca un nombre de usuario para acceder a la carpeta y una contraseña.

7 Especifique las extensiones del documento que se van a incluir o excluir (opcional). Puede Agregaruna nueva extensión o, si es necesario, Editar una existente.

8 Especifique el tamaño máximo de archivo (opcional) y haga clic en Aceptar.

Creación de un grupo de repositorios de documentos registradosLos grupos de repositorios de documentos registrados se usan para definir las reglas de clasificaciónde documentos registrados.


1 En el panel de navegación de la consola de directivas de McAfee DLP Endpoint, en Definiciones basadasen el contenido, seleccione Repositorios de documentos registrados.

Los grupos y repositorios de documentos registrados disponibles aparecerán en el panel de laderecha.

2 En la ventana Repositorios de documentos registrados, haga clic con el botón derecho del ratón yseleccione Nuevo | Grupo de repositorios de documentos registrados.

Aparecerá el icono del nuevo Grupo de repositorios de documentos registrados.

3 Haga doble clic en el icono. Aparecerá la ventana de edición.

4 Asigne el nombre al nuevo grupo de documentos registrados.


6 Seleccione las definiciones de documentos registrados de la lista disponible.


Clasificación por destino de archivoAdemás de clasificar el contenido por su ubicación de procedencia, puede clasificar y controlar sudestino. En la jerga de prevención de fuga de datos, esto se conoce como datos en tránsito.

En este capítulo se describen los destinos que puede controlar, así como la creación de las definicionesque le permiten ejercer tal control.

Contenido Cómo se controla el contenido de carácter confidencial en el correo electrónico Definición de impresoras de red y locales Control de la información cargada en sitios web

8 Clasificación del contenido confidencialClasificación por destino de archivo


Cómo se controla el contenido de carácter confidencial en elcorreo electrónicoLos objetos de destino de correo electrónico son dominios de correo electrónico predefinidos odirecciones de correo electrónico específicas que pueden incluirse en las reglas de protección delcorreo electrónico. La regla de protección del correo electrónico puede bloquear los datos marcados deforma que no se envíen a los dominios especificados o impedir que se envíen a dominios no definidos.Generalmente, la sección de destinos de correo electrónico define los dominios internos y externos enlos que se admite el envío por correo electrónico de datos marcados.

Los grupos de destino de correo electrónico permiten crear reglas de protección que hacen referenciaa una única entidad que define varios destinos. Esta función se utiliza habitualmente para crear ungrupo de destinos de correo electrónico en todos los dominios internos.

El correo electrónico saliente lo gestiona tanto el Outlook Object Model (OOM) como la interfaz deprogramación de aplicaciones de mensajería (MAPI, por sus siglas en inglés). OOM es la APIpredeterminada, aunque algunas configuraciones requieren MAPI. La opción se configura en la fichaConfiguración de los agentes | Sonda de correo electrónico. La opción MAPI solo es compatible con los clientes deMcAfee DLP Endpoint 9.1 Parche 2, 9.2 Parches 1 y 2 y 9.3.

Se puede seleccionar un nuevo evento administrativo, El agente supera el límite de memoria al cargar, en la fichaConfiguración de los agentes | Eventos y registro para registrar cuándo el proceso del agente (fcag.exe) superala memoria configurada después de haber reiniciado el software cliente.

Creación de destinos de correo electrónicoLos objetos de destino de correo electrónico son dominios de correo electrónico predefinidos odirecciones de correo electrónico específicas que pueden incluirse en las reglas de protección delcorreo electrónico.


1 En el panel de navegación de la consola de directivas de McAfee DLP Endpoint, en Definiciones,seleccione Destinos de correo electrónico.

Los grupos y destinos de correo electrónico disponibles aparecerán en el panel de la derecha.

2 Haga clic con el botón derecho en la ventana Destinos de correo electrónico y seleccione Nuevo | Destino decorreo electrónico.

Aparece el icono del nuevo Destino de correo electrónico.



Clasificación del contenido confidencialClasificación por destino de archivo 8


4 Agregue el nombre del destino de correo electrónico. En Direcciones de correo electrónico, introduzca elnombre del dominio y haga clic en Agregar.• Para crear un destino de correo electrónico de dominios externos, agregue una entrada de

dominio para cada dominio interno y, a continuación, anule la selección de todos los dominios yseleccione Otro dominio de correo electrónico.

Figura 8-5 Cuadro de diálogo de edición de destino de correo electrónico

• Para agregar una dirección de correo electrónico concreta desde este dominio, haga clic con elbotón derecho del ratón en el nombre del dominio y seleccione Agregar | Usuario de correo electrónico.A continuación, escriba el nombre de usuario y haga clic en Aceptar.

• Para excluir del dominio una dirección de correo electrónico concreta, agregue el usuario aldominio, haga clic con el botón derecho del ratón en el nombre del dominio, seleccione Agregar |Otro usuario de correo electrónico y anule la selección del usuario.


Creación de un grupo de correo electrónicoLos grupos de correo electrónico simplifican las reglas a la vez que mantienen la granularidad alcombinar diversas definiciones de correo electrónico en un grupo.


1 En el panel de navegación de la consola de directivas de McAfee DLP Endpoint, en Definiciones,seleccione Destinos de correo electrónico.

Los grupos y destinos de correo electrónico disponibles aparecerán en el panel de la derecha.

2 Haga clic con el botón derecho del ratón en la ventana Destinos de correo electrónico y seleccione Nuevo |Grupo de correo electrónico.

Aparecerá el icono del nuevo Grupo de correo electrónico.

3 Haga doble clic en el icono. Aparecerá la ventana de edición.

4 Introduzca el nombre del grupo de correo electrónico.




6 Seleccione las definiciones de destino de correo electrónico de la lista disponible.


Definición de impresoras de red y localesLas definiciones de impresoras se utilizan para definir reglas de protección contra impresión. Lasreglas de protección contra impresión se utilizan para gestionar tanto impresoras locales como de redy bloquear o supervisar la impresión de material confidencial.

Existen dos tipos de definiciones de impresora: impresoras de red e impresoras no gestionadas(impresoras de lista blanca). Las impresoras de red se pueden agregar de forma manual mediante lacreación de una definición que especifica la ruta de acceso UNC a la impresora o, de formaautomática, desde una lista de impresoras. La lista de impresoras se crea mediante una consulta LDAPo un análisis en la red. A continuación, se seleccionan las impresoras de la lista de análisis paraagregarlas a las definiciones de impresora.

Las impresoras de lista blanca son impresoras que no funcionan con la arquitectura del controladorproxy necesaria para la administración de Data Loss Prevention. Para evitar problemas defuncionamiento, estas impresoras se definen como no gestionadas. Las definiciones de impresoras nogestionadas se crean de forma manual utilizando la información del modelo de impresora que seencuentra en las propiedades de impresora del sistema operativo.

Para la generación de informes, existe una tercera categoría de impresoras. Cuando una impresoraestá conectada a un equipo gestionado y McAfee DLP Endpoint no puede instalar el controlador deimpresora correspondiente, se informa de que se trata de una impresora no admitida. Tras investigarla causa del error y si no se encuentra otra solución, estas impresoras se colocan en la lista blanca.

Creación de una lista de impresoras e incorporación de impresoras a lalistaLas listas de impresoras se utilizan para gestionar el contenido de carácter confidencial enviado a lasimpresoras. Utilice estas tareas para crear una lista de impresoras y agregar impresoras.

Procedimientos• Creación de una lista de impresoras en la página 88

Las listas de impresoras se utilizan para gestionar el contenido de carácter confidencialenviado a las impresoras.

• Adición de una impresora a la lista de impresoras en la página 88Para poder definir impresoras de red en las reglas de protección de impresoras, esnecesario agregarlas a la lista de impresoras.

• Adición de una impresora no gestionada a la lista de impresoras en la página 89Algunas impresoras dejan de responder cuando el software McAfee DLP Endpoint les asignaun controlador proxy. Estas impresoras no se pueden gestionar y deben estar exentas delas reglas de impresora para evitar problemas. En otros casos, es posible que tenga queeximir una impresora de estas reglas, por ejemplo, una que pertenezca a un ejecutivo. Detodas formas, defina estas impresoras como no gestionadas y colóquelas en la lista blancade impresoras.

• Adición de una impresora existente a la lista blanca de impresoras en la página 90Cuando una impresora de red existente falla, es posible agregarla a la lista blanca deimpresoras de forma temporal hasta que se aclare el problema. En este proceso, laimpresora permanece en la lista de impresoras de red, pero también en la lista blanca, loque evita que las reglas de protección de impresoras se le apliquen. Cuando el problema sesoluciona, la definición se elimina.



Creación de una lista de impresorasLas listas de impresoras se utilizan para gestionar el contenido de carácter confidencial enviado a lasimpresoras.


1 En el panel de navegación de la consola de directivas de McAfee DLP Endpoint, en Definiciones,seleccione Impresoras.

Las impresoras disponibles aparecerán en el panel de la derecha.

2 Haga clic con el botón derecho del ratón en la ventana Impresoras, seleccione Buscar y, acontinuación, una opción de búsqueda:

No es posible buscar impresoras en OpenLDAP.

• Impresoras de red por unidades organizativas

• Impresoras de red por selección LDAP

• Buscar impresoras compartidas

3 Edite los parámetros de búsqueda (opcional), agregue un filtro (opcional) y, a continuación, hagaclic en Buscar.

Tras editar los parámetros o agregar un filtro, puede volver a realizar la búsqueda haciendo clic enActualizar.

Aparecerá una lista de impresoras en la ventana de visualización.

4 Seleccione las impresoras que desee agregar a la lista de impresoras y haga clic en Aceptar.

Adición de una impresora a la lista de impresorasPara poder definir impresoras de red en las reglas de protección de impresoras, es necesarioagregarlas a la lista de impresoras.



Las impresoras que ya se hayan agregado aparecerán en el panel de la derecha.

2 Haga clic con el botón derecho del ratón en la ventana Impresoras y seleccione Nuevo | Impresora de red.

Aparecerá el icono de la nueva Impresora de red.

3 Haga doble clic en el icono Impresora de red.


4 Escriba el nombre de la impresora de red.

5 Introduzca la ruta de acceso UNC de la impresora de red.




Adición de una impresora no gestionada a la lista de impresorasAlgunas impresoras dejan de responder cuando el software McAfee DLP Endpoint les asigna uncontrolador proxy. Estas impresoras no se pueden gestionar y deben estar exentas de las reglas deimpresora para evitar problemas. En otros casos, es posible que tenga que eximir una impresora deestas reglas, por ejemplo, una que pertenezca a un ejecutivo. De todas formas, defina estasimpresoras como no gestionadas y colóquelas en la lista blanca de impresoras.



Las impresoras que ya se hayan agregado aparecerán en el panel de la derecha.

2 Haga clic con el botón derecho del ratón en la ventana Impresoras y seleccione Nuevo | Modelo deimpresora no gestionado. Escriba un nombre en el cuadro de texto.



4 Introduzca el modelo de impresora. Puede copiar y pegar la información usando la información delModelo que se encuentra en las propiedades de impresora:

a En el menú Inicio de Microsoft Windows, seleccione Impresoras y faxes.

b Haga clic con el botón derecho del ratón en la impresora que desee agregar a la lista blanca yseleccione Propiedades.

c En la ficha General, copie la información del Modelo (debajo del cuadro de texto Comentario).

Figura 8-6 Copia de la información del modelo de impresora



5 Pegue la información del modelo en el cuadro de texto Modelo del cuadro de diálogo Modelo deimpresora no gestionada.

6 Agregue una definición (opcional).


Adición de una impresora existente a la lista blanca de impresorasCuando una impresora de red existente falla, es posible agregarla a la lista blanca de impresoras deforma temporal hasta que se aclare el problema. En este proceso, la impresora permanece en la listade impresoras de red, pero también en la lista blanca, lo que evita que las reglas de protección deimpresoras se le apliquen. Cuando el problema se soluciona, la definición se elimina.

• Haga clic con el botón derecho del ratón en la definición de la impresora de red existente y, acontinuación, haga clic en Agregar como impresora no gestionada. La impresora aparecerá en la secciónModelo de impresora no gestionada del panel Impresoras.

Control de la información cargada en sitios webLos objetos de destino web son direcciones web predefinidas que pueden incluirse en reglas deprotección de la publicación web. Puede utilizar las definiciones de destinos web para evitar que losdatos marcados se publiquen en destinos web definidos (sitios web o páginas concretas de un sitioweb), o bien para impedir que se publiquen en sitios web no definidos. Generalmente, la sección dedestinos web define los sitios web internos y externos en los que se admite la publicación de datosmarcados.Si ha definido muchos destinos web, puede crear grupos de destinos web para que las reglas deprotección hagan referencia a una única entidad. Esta función se utiliza habitualmente para crear ungrupo de destinos web en todos los sitios web internos.

Creación de un destino webLos objetos de destino web son direcciones web predefinidas que pueden incluirse en reglas deprotección de la publicación web.


1 En el panel de navegación de la consola de directivas de McAfee DLP Endpoint, en Definiciones,seleccione Servidores Web.

Los servidores web disponibles aparecerán en el panel principal.

2 En la ventana Servidores Web, haga clic con el botón derecho del ratón y seleccione Nuevo | Servidor Web.

Aparecerá el icono del nuevo Servidor web.



4 En el cuadro de texto que aparece en la parte inferior de la ventana, especifique la dirección URLdel servidor web y haga clic en Agregar para agregar una dirección de servidor web.

5 Para agregar una ruta de acceso de recursos, haga clic con el botón derecho del ratón en ladirección del servidor web y seleccione Agregar | Ruta de recursos. Escriba la ruta de acceso y haga clicen Aceptar.





Creación de un grupo de destinos webLos grupos de destinos web simplifican las reglas a la vez que mantienen la granularidad al combinardiversas definiciones de destinos web en un grupo.


1 En el panel de navegación de la consola de directivas de McAfee DLP Endpoint, en Definiciones,seleccione Servidores Web.

Los grupos de servidores web disponibles aparecerán en el panel de la derecha.

2 En la ventana Servidores Web, haga clic con el botón derecho del ratón y seleccione Nuevo | Grupo deservidores Web.

Aparecerá el icono del nuevo Grupo de servidores web.



4 Especifique el nombre del grupo de servidores web.


6 Seleccione los servidores web de la lista disponible.


Clasificación en usoDatos en uso es el término utilizado para definir el contenido por cómo y dónde se utiliza.

Las definiciones y reglas de McAfee DLP Endpoint clasifican los datos en uso. Estas definicionesproporcionan detalles para ayudar a proteger sólo los archivos que necesitan protección.

Contenido Cómo categoriza las aplicaciones McAfee DLP Endpoint Aplicaciones y modo de uso Adición y eliminación de aplicaciones Definición de tipos de archivos

Clasificación del contenido confidencialClasificación en uso 8


Cómo categoriza las aplicaciones McAfee DLP EndpointAntes de que cree reglas mediante aplicaciones, debe comprender de qué modo McAfee DLP Endpointlas categoriza, y el efecto que ello tiene en el rendimiento del sistema.

El software McAfee DLP Endpoint divide las aplicaciones en cuatro categorías o estrategias. Estascategorías o estrategias afectan el modo en el que el software trabaja con las diferentes aplicaciones.Puede cambiar la estrategia para conseguir un equilibrio entre la seguridad y el rendimiento delequipo.

Figura 8-7 Estrategias que aparecen en la ventana Definiciones de aplicaciones

Las estrategias, en orden decreciente de seguridad, son las que se indican a continuación.

• Editor: cualquier aplicación que pueda modificar el contenido del archivo. En esta categoría seengloban los editores “clásicos”, como Microsoft Word y Microsoft Excel, así como navegadores,software de edición de gráficos, software de contabilidad, etc. La mayor parte de las aplicacionesson editores.

• Explorador: una aplicación empleada para copiar o mover archivos sin modificarlos; por ejemplo,el Explorador de Microsoft Windows o determinadas aplicaciones shell.

• De confianza: una aplicación que necesita acceso ilimitado a los archivos para realizar análisis.Por ejemplo, McAfee® VirusScan® Enterprise, software de creación de copias de seguridad ysoftware de búsqueda de escritorio, como Google Desktop.

• Archivador : una aplicación que puede reprocesar archivos. Algunos ejemplos son el software decompresión como WinZip y las aplicaciones de cifrado como McAfee® Endpoint Encryption for Filesand Folders™ o PGP.

Cómo trabajar con estrategias de DLP

Cambie la estrategia según sus necesidades para optimizar el rendimiento. Por ejemplo, una aplicacióncon estrategia Editor está sometida a un alto nivel de observación, que no resulta apropiado para unaaplicación de búsqueda de escritorio, cuya función es realizar constantes operaciones de indexación.Los efectos sobre el rendimiento son notables y, sin embargo, el riesgo de fuga de datos desde estetipo de aplicaciones es bajo. Por lo tanto, para este tipo de aplicaciones, se recomienda utilizar laestrategia de confianza.

8 Clasificación del contenido confidencialClasificación en uso


Aplicaciones y modo de usoLas aplicaciones se pueden especificar en reglas de marcado y protección mediante la creación dedefiniciones de aplicaciones.La importación de una lista de aplicaciones y la creación de definiciones de aplicaciones permitengestionar de forma más eficaz todas las reglas de marcado y protección relacionadas con aplicaciones.Los administradores del sistema pueden importar una lista de todas las aplicaciones relevantesdisponibles en la empresa, crear definiciones de aplicaciones distintas en función de sus necesidades eimplementar estas definiciones con las reglas correspondientes para mantener las directivas.

• Lista de aplicaciones empresariales: lista completa de las aplicaciones que utiliza la empresa.Puede realizar un análisis de nuevas aplicaciones y fusionarlas en la lista actual, editar la lista yagrupar las aplicaciones por columna.

• Definiciones de aplicaciones: detalles que definen las plantillas que se utilizan para personalizarlas reglas relativas a aplicaciones específicas. Puede añadir aplicaciones a las definiciones deaplicaciones de la Lista de aplicaciones empresariales, o bien crearlas directamente. Las reglas demarcado y protección hacen siempre referencia a definiciones de aplicaciones en lugar deaplicaciones individuales.

Cuando un usuario abre archivos con una aplicación definida en una regla mediante una definición deaplicación, produce un evento en Administrador de incidentes de DLP por sesión de aplicación, no porcada archivo confidencial abierto. El evento incluye todos los archivos que coinciden con lascondiciones especificadas en esa sesión de la aplicación. Si se ha seleccionado la acción Almacenarpruebas, sólo se almacenarán los archivos de la sesión de la aplicación que coincidan con lascondiciones.

Lista de aplicaciones empresarialesLa lista de aplicaciones empresariales es una lista completa de las aplicaciones cuyos datos se deseacontrolar.Las reglas de marcado basadas en aplicaciones y la mayoría de las reglas de protección utilizan lasdefiniciones de las aplicaciones. Por ejemplo, para controlar los datos de los archivos de Excel, puedeagregar Excel a la Lista de aplicaciones empresariales y, a continuación, crear una regla que defina sieste tipo de archivos o su contenido se puede imprimir o copiar.

La información de las cinco primeras columnas de la lista de aplicaciones de la empresa se lee desdela lista de propiedades de cada archivo de aplicación. En los casos en los que la propiedad no tenga unvalor, aparece como desconocido.

Antes de que se pueda hacer referencia a las aplicaciones en una regla, las aplicaciones debendefinirse en la lista de aplicaciones empresariales. Si las aplicaciones que desea controlar no aparecenen la lista, debe agregarlas.

Definiciones de aplicaciones y modos de clasificaciónLas definiciones de aplicaciones controlan aplicaciones concretas mediante propiedades como elnombre del producto o el proveedor, el nombre del archivo ejecutable o el título de la ventana.Las definiciones de aplicaciones sustituyen los grupos de aplicaciones usados en versiones anterioresde McAfee DLP Endpoint. Puesto que se han definido de forma parecida a las definiciones dedispositivos, son más intuitivas, minuciosas, escalables y configurables. Además, reducen el tamañode la directiva mediante el uso de un modelo de datos distinto.

Una nueva subcategoría, definiciones de aplicaciones web, crea una plantilla basada en la direcciónURL. Los archivos, las capturas de pantalla o el contenido del portapapeles guardados en unnavegador se pueden marcar y bloquear en función de la dirección URL.

Las definiciones de aplicaciones se pueden identificar mediante cualquiera de los siguientesparámetros.



• Línea de comandos: admite argumentos de línea de comandos, como por ejemplo: java‑jar, quepermite controlar aplicaciones anteriormente incontrolables.

• Hash de archivo ejecutable: nombre de visualización de la aplicación con hash SHA2identificativo.

• Nombre del archivo ejecutable: por lo general, suele ser el mismo que el nombre devisualización (menos el hash SHA2), pero puede ser distinto si se cambia el nombre del archivo.

• Nombre del archivo ejecutable original: idéntico al nombre del archivo ejecutable, a menosque se haya cambiado el nombre del archivo.

• Nombre del producto: nombre genérico del producto (por ejemplo Microsoft Office 2003) si seincluye en las propiedades del archivo ejecutable.

• Nombre del proveedor: nombre de la empresa, si se incluye en la lista de propiedades delarchivo ejecutable.

• Título de ventana: valor dinámico que cambia en tiempo de ejecución para incluir el nombre delarchivo activo.

• Directorio de trabajo: directorio en el que se encuentra el archivo ejecutable. Un uso de esteparámetro es controlar las aplicaciones U3.

A excepción del directorio de trabajo y del nombre de la aplicación SHA2, todos los parámetrosaceptan las coincidencias de subcadenas.

Como resultado de este modelo de datos, la estrategia de aplicaciones queda definida en lasdefiniciones de aplicaciones, no en la Lista de aplicaciones empresariales, como en versionesanteriores. Una consecuencia de esto es que la misma aplicación se puede incluir en variasdefiniciones de aplicaciones y, por tanto, se pueden asignar varias estrategias. McAfee DLP Endpointsoluciona los posibles conflictos en función de la siguiente jerarquía: archivador > de confianza >explorador > editor; es decir, el editor se encuentra en la posición inferior. Si una aplicación es uneditor en una definición y otro elemento distinto en otra, McAfee DLP Endpoint no trata la aplicacióncomo editor.



Hay una nueva opción que permite el análisis de los archivos asignados a la memoria. Esta opción seha añadido para ofrecer compatibilidad con los archivos gráficos de Autodesk 3ds Max. A pesar de queesta opción está disponible en todas las ventanas de definiciones, se selecciona automáticamente soloen la definición de aplicaciones de 3ds Max. Debido a la carga de procesamiento, no se recomiendausar esta opción a menos que sea específicamente necesario.

Figura 8-8 Ventana Definición de aplicaciones

Creación de definiciones de la aplicaciónUtilice estas tareas para crear definiciones de aplicaciones.



Procedimientos• Creación de una definición de aplicaciones en la página 96

Las definiciones de aplicaciones controlan aplicaciones concretas mediante propiedadescomo el nombre del producto o el proveedor, el nombre del archivo ejecutable o el título dela ventana.

• Creación de una definición de aplicaciones en la lista de aplicaciones empresariales en lapágina 97Las definiciones de aplicaciones controlan aplicaciones concretas mediante propiedadescomo el nombre del producto o el proveedor, el nombre del archivo ejecutable o el título dela ventana.

• Creación de una definición de aplicaciones web en la página 97Las definiciones de aplicaciones web se usan para crear reglas de protección y marcadopara archivos guardados en los navegadores, en función de la dirección URL examinada.

Creación de una definición de aplicacionesLas definiciones de aplicaciones controlan aplicaciones concretas mediante propiedades como elnombre del producto o el proveedor, el nombre del archivo ejecutable o el título de la ventana.

Utilice esta tarea para crear una definición de aplicaciones directamente. Además, puede crear unadefinición de aplicaciones en la lista de aplicaciones empresariales. Las definiciones de aplicacionessustituyen a los grupos de aplicaciones usados en versiones anteriores de McAfee DLP Endpoint.


1 En el panel de navegación de la consola de directivas de McAfee DLP Endpoint, en Definiciones,seleccione Definiciones de aplicaciones.

Las definiciones disponibles aparecerán en el panel de la derecha.

2 En la ventana Definiciones de aplicaciones, haga clic con el botón derecho del ratón y seleccione Nuevo |Definición de la aplicación.

Aparecerá el icono de la nueva definición de aplicaciones.

3 Asigne un nombre a la nueva definición de aplicaciones y haga doble clic en el icono.



5 Seleccione los parámetros.

Al seleccionar cada uno de los parámetros, aparecerá la ventana de edición.

6 Haga clic en Nuevo y especifique un valor y una descripción opcional. Algunos parámetros permitenla coincidencia parcial. Seleccione la opción que desee utilizar.

Si selecciona la coincidencia parcial, el valor especificado coincide como subcadena.

7 Haga clic en Nuevo para agregar más valores. Una vez que haya terminado, haga clic en Aceptar paracerrar la ventana de edición de parámetros.



8 Una vez que haya terminado de agregar parámetros, haga clic en Aceptar para guardar la definicióneditada.

9 De forma predeterminada, las nuevas definiciones de aplicaciones se crean con la estrategiaEditor. Para cambiar la estrategia, haga clic con el botón derecho del ratón en el nombre de ladefinición y seleccione Estrategia de proceso.

Dado que la estrategia elegida afecta al nivel de observación del sistema, puede afectarconsiderablemente al rendimiento.

Creación de una definición de aplicaciones en la lista de aplicacionesempresarialesLas definiciones de aplicaciones controlan aplicaciones concretas mediante propiedades como elnombre del producto o el proveedor, el nombre del archivo ejecutable o el título de la ventana.Utilice esta tarea para crear una definición de aplicaciones de la lista de aplicaciones empresariales.También es posible crear definiciones de aplicaciones directamente.


1 En el panel de navegación de la consola de directivas de McAfee DLP Endpoint, en Aplicaciones,seleccione Lista de aplicaciones empresariales.

La lista de aplicaciones disponibles aparecerá en el panel de la derecha.

2 Haga clic con el botón derecho del ratón en una aplicación y seleccione Crear definición de la aplicación.

La ventana de edición aparecerá con varios parámetros seleccionados, según la informacióndisponible. Puede modificar la definición ahora o tras su creación. Además, es posible agregarvarias aplicaciones a una definición. Selecciónelas mediante las reglas de selección habituales(Mayús + clic y Ctrl + clic) antes de hacer clic con el botón derecho del ratón.

Si ya existen definiciones de aplicaciones que incluyen la aplicación seleccionada, se activará laopción Ir a. Al hacer clic en la opción Ir a se abre Definiciones de aplicaciones en el panel principal y seselecciona la aplicación.


4 Haga clic en Aceptar. En el panel de navegación de la consola de directivas de McAfee DLP Endpoint,en Definiciones, seleccione Definiciones de aplicaciones para ver la nueva definición.

5 De forma predeterminada, las nuevas definiciones de aplicaciones se crean con la estrategiaEditor. Para cambiar la estrategia, haga clic con el botón derecho del ratón en el nombre de ladefinición y seleccione Estrategia de proceso.

Dado que la estrategia elegida afecta al nivel de observación del sistema, puede afectarconsiderablemente al rendimiento.

Creación de una definición de aplicaciones webLas definiciones de aplicaciones web se usan para crear reglas de protección y marcado para archivosguardados en los navegadores, en función de la dirección URL examinada.


1 En el panel de navegación de la consola de directivas de McAfee DLP Endpoint, en Definiciones,seleccione Definiciones de aplicaciones.

Las definiciones disponibles aparecerán en el panel de la derecha.



2 En la ventana Definiciones de aplicaciones, haga clic con el botón derecho del ratón y seleccione Nuevo |Definición de la aplicación Web.

Aparecerá el icono de la nueva definición de aplicaciones web.

3 Asigne un nombre a la nueva definición de aplicaciones web y haga doble clic en el icono.

Aparecerá la ventana de edición. La ventana contiene un parámetro: Dirección URL del navegador.


5 Seleccione el parámetro de la dirección URL del navegador para abrir la ventana de edición.

6 Haga clic en Nuevo y especifique un valor y una descripción opcional. Seleccione la coincidenciaparcial si desea que el valor especificado se utilice como subcadena.

7 Haga clic en Nuevo para agregar más valores de URL. Una vez que haya terminado, haga clic enAceptar para cerrar la ventana de edición de parámetros.

8 Haga clic en Aceptar para guardar la definición editada.

Adición y eliminación de aplicacionesUtilice estas tareas para agregar o quitar aplicaciones de la Lista de aplicaciones empresariales.

Procedimientos• Importación manual de una aplicación en la página 98

La Lista de aplicaciones de la empresa es una lista completa de las aplicaciones cuyos datos deseacontrolar.

• Importación de nuevas aplicaciones mediante un análisis en la página 99La lista de aplicaciones empresariales es una lista completa de las aplicaciones cuyos datosse desea controlar.

• Eliminación de aplicaciones de la lista en la página 99La lista de aplicaciones empresariales es una lista completa de las aplicaciones cuyos datosse desea controlar.

Importación manual de una aplicaciónLa Lista de aplicaciones de la empresa es una lista completa de las aplicaciones cuyos datos desea controlar.

Procedimiento1 En la ventana Lista de aplicaciones empresariales, haga clic con el botón derecho y seleccione Agregar.

Aparecerá la ventana Agregar ejecutable.

2 Haga clic en Examinar y seleccione el archivo .exe de la aplicación.

3 Seleccione una aplicación y haga clic en Abrir.

Aparecen los detalles de la aplicación.

4 Haga clic en Agregar para importar la aplicación a la lista.

Para agregar una aplicación, también puede seleccionar el ejecutable y arrastrarlo con el ratón a laventana Lista de aplicaciones de la empresa.



Importación de nuevas aplicaciones mediante un análisisLa lista de aplicaciones empresariales es una lista completa de las aplicaciones cuyos datos se deseacontrolar.

Puede agregar grupos de aplicaciones a la Lista de aplicaciones de la empresa desde unidades o carpetasconcretas. Debe utilizar la opción Fusionar.

Procedimiento1 En la ventana Lista de aplicaciones empresariales, haga clic con el botón derecho y seleccione Buscar

aplicaciones.

Aparecerá la ventana Buscar aplicaciones.

2 Haga clic en el botón Inicio y seleccione las unidades y las carpetas donde desee buscaraplicaciones.

Aparecerán todas las aplicaciones disponibles.

3 Seleccione la acción correspondiente en la lista:

• El botón Borrar elimina la lista actual.

• El botón Fusionar agrega las aplicaciones en la Lista de aplicaciones de la empresa.

4 Cierre la ventana Buscar aplicaciones.

Las aplicaciones fusionadas aparecen en la Lista de aplicaciones de la empresa.

Eliminación de aplicaciones de la listaLa lista de aplicaciones empresariales es una lista completa de las aplicaciones cuyos datos se deseacontrolar.

Procedimiento1 En el panel de navegación de la consola de directivas de McAfee DLP Endpoint, en Aplicaciones,

seleccione Lista de aplicaciones empresariales.

Las aplicaciones disponibles aparecen en el panel derecho.

2 Haga clic con el botón derecho del ratón en el archivo ejecutable principal (.exe) de la aplicación yseleccione Eliminar.


Se elimina la aplicación completa, es decir, el archivo ejecutable y todos los archivos asociados.

No se puede eliminar una aplicación si está incluida en una definición de aplicaciones. Haga clic conel botón derecho del ratón y seleccione Definiciones de aplicaciones | Ir a para ver si la aplicación estáincluida en alguna definición antes de eliminarla.

Definición de tipos de archivosLas definiciones de extensiones de archivos limitan las reglas de marcado y las reglas de protección adeterminados tipos de archivo.

El software incluye una lista de extensiones de archivo predeterminadas que se utilizan en las reglasde marcado y de protección. Es posible agregar manualmente extensiones de archivo en función delentorno.



Procedimientos• Creación de extensiones de archivos en la página 100

Las definiciones de extensiones de archivos limitan las reglas de marcado y las reglas deprotección a determinados tipos de archivo.

• Creación de grupos de extensiones de archivos en la página 100Las definiciones de extensiones de archivos limitan las reglas de marcado y las reglas deprotección a determinados tipos de archivo. Los grupos de correo electrónico simplifican lasreglas a la vez que mantienen la granularidad al combinar diversas definiciones deextensiones en un grupo.

Creación de extensiones de archivosLas definiciones de extensiones de archivos limitan las reglas de marcado y las reglas de protección adeterminados tipos de archivo.


1 En el panel de navegación de la consola de directivas de McAfee DLP Endpoint, en Definiciones,seleccione Extensiones de archivos.

Las extensiones de archivos disponibles aparecerán en el panel de la derecha.

2 En la ventana Extensiones de archivos, haga clic con el botón derecho y seleccione Nuevo | Extensión dearchivo.

Aparecerá el icono de la nueva Extensión de archivo.



4 Escriba el nombre de la nueva extensión de archivo y haga doble clic en el icono. Aparecerá laventana de edición.

5 En el cuadro de texto Extensión, escriba la extensión precedida por un punto; por ejemplo, .GIF.

6 Introduzca una descripción para la extensión de archivo (opcional).


Creación de grupos de extensiones de archivosLas definiciones de extensiones de archivos limitan las reglas de marcado y las reglas de protección adeterminados tipos de archivo. Los grupos de correo electrónico simplifican las reglas a la vez quemantienen la granularidad al combinar diversas definiciones de extensiones en un grupo.


1 En el panel de navegación de la consola de directivas de McAfee DLP Endpoint, en Definiciones,seleccione Extensiones de archivos.

Los grupos de extensiones de archivos disponibles aparecerán en el panel de la derecha.



2 Haga clic en Nuevo | Grupo de extensiones de archivos en la barra de herramientas de la consola dedirectivas de McAfee DLP Endpoint o tras hacer clic con el botón derecho del ratón en la ventanaExtensiones de archivos.

Aparecerá el icono del nuevo Grupo de extensiones de archivos.



4 Especifique el nombre del grupo de extensiones de archivos.

5 Agregue una descripción para este grupo (opcional).

6 Seleccione las extensiones de archivos de la lista de extensiones disponibles.


Reglas de clasificaciónLas reglas de clasificación asignan categorías de contenido a las definiciones de repositorio dedocumentos registrados o archivos.

Las reglas se pueden filtrar por patrones de texto y diccionarios o se pueden aplicar a partesespecíficas de los documentos (encabezado, pie de página y cuerpo).

Contenido Vinculación de categorías a contenido mediante reglas de clasificación Creación y definición de reglas de clasificación

Vinculación de categorías a contenido mediante reglas declasificaciónLas reglas de clasificación asocian los archivos y los datos a las categorías de contenido apropiadas.

Categorías de contenido

Las definiciones de categoría de contenido se crean en el panel de definiciones Marcas y categorías.Las categorías se pueden agrupar para simplificar la creación de reglas. Una definición de categoría decontenido está formada por un nombre apropiado, una descripción opcional y un GUID asignado por elsistema.

Reglas de clasificación del contenido

Las reglas de clasificación del contenido asocian definiciones de diccionario y patrón de texto concategorías de contenido. Cuando estas categorías se agregan a las reglas de protección, se supervisao se bloquea el texto determinado de ese contenido. Las reglas pueden contener cualquiercombinación de patrones de texto y de diccionarios. En el caso de archivos de Microsoft Word, puedeespecificar también en qué lugar del documento (encabezado/cuerpo/pie de página) se encuentra elcontenido especificado.

Extractor de texto

El extractor de texto analiza el contenido cuando se abren o se copian archivos y los compara conpatrones de texto y definiciones de diccionarios en las reglas de clasificación. Cuando se produce unacoincidencia, se aplica una categoría de contenido adecuada.

Clasificación del contenido confidencialReglas de clasificación 8


El extractor de texto puede ejecutar varios procesos, de acuerdo a la cantidad de núcleos delprocesador: con un procesador de un solo núcleo solo se ejecuta un proceso; los procesadores dedoble núcleo ejecutan hasta dos procesos, y los procesadores de varios núcleos ejecutan hasta tresprocesos simultáneos. Si varios usuarios inician sesión, cada usuario dispone de su propio conjunto deprocesos, de modo que el número de extractores de texto depende del número de núcleos y delnúmero de sesiones de usuario. Los diversos procesos se pueden observar en el Administrador detareas de Windows.

El uso de memoria por parte del extractor de texto se puede configurar en la página Configuración de losagentes | Configuración avanzada. Si se supera el máximo de memoria, el extractor de texto se reinicia. Elvalor predeterminado es 75 MB. Esta opción de configuración está disponible solo para los clientes dela versión 9.2 Parche 1 y superiores.

El software McAfee DLP Endpoint es compatible con caracteres acentuados. Cuando un archivo detexto ASCII contiene una mezcla de caracteres acentuados, como los que existen en francés yespañol, además de otros caracteres latinos estándar, es posible que el extractor de texto noidentifique correctamente el conjunto de caracteres. Esto no es un defecto, sino un problema conocidode todos los programas de extracción de texto. En estos casos, no existe un método o una técnicaconocida para identificar la página de código ANSI. Cuando el extractor de texto no puede identificar lapágina de código, no se reconocen los patrones de texto y las firmas de etiquetas, no puedeclasificarse correctamente el documento y no puede tomarse la acción de bloqueo o supervisióncorrecta. Para resolver este problema, cuando no puede determinarse la página de código, el softwaredel cliente de McAfee DLP Endpoint usa una página de código de respaldo. El respaldo se configura enla ficha Configuración de los agentes | Seguimiento de archivos, y es el idioma predeterminado del equipo o unidioma diferente configurado por el administrador.

Reglas de clasificación de documentos registrados

Las reglas de clasificación de documentos registrados asocian todo el contenido que coincide con unadefinición específica del repositorio de documentos registrados con una categoría de contenido. Encuanto a las reglas de clasificación del contenido, cuando se agregan categorías a las reglas deprotección, se supervisa o se bloquea el texto determinado de ese contenido.

Creación y definición de reglas de clasificaciónLas reglas de clasificación asocian el contenido con las categorías de contenido apropiadas. Existendos tipos: reglas de contenido y reglas de documentos registrados.

Utilice estas tareas para crear y definir reglas de clasificación.

Procedimientos• Creación y definición de una regla de clasificación de contenido en la página 102

Las reglas de clasificación de contenido vinculan los patrones de texto o los diccionarios conlas clasificaciones de contenido. En versiones anteriores de McAfee DLP Endpoint, seconocían como reglas de marcado basadas en contenido.

• Creación y definición de una regla de clasificación de documentos registrados en la página103Las reglas de clasificación de documentos registrados aplican definiciones del repositorio ycategorías de contenido a los archivos.

Creación y definición de una regla de clasificación de contenidoLas reglas de clasificación de contenido vinculan los patrones de texto o los diccionarios con lasclasificaciones de contenido. En versiones anteriores de McAfee DLP Endpoint, se conocían comoreglas de marcado basadas en contenido.

8 Clasificación del contenido confidencialReglas de clasificación



1 En el panel de navegación de la consola de directivas de McAfee DLP Endpoint, seleccione Protecciónde contenido | Reglas de clasificación.

Las reglas de clasificación disponibles aparecerán en el panel de la derecha.

2 En el panel Reglas de clasificación, haga clic con el botón derecho y seleccione Nuevo | Regla de clasificaciónde contenido.



1 de 4 Seleccione una de las opciones de patrón de texto, ALGUNO (O lógico) o TODO(Y lógico) y, a continuación, seleccione uno o más patrones de texto o gruposde patrones de texto de la lista disponible. Haga clic en la opción Agregarelemento para crear un nuevo patrón de texto, o bien haga clic en Agregar grupopara crear un nuevo grupo de patrones de texto. Haga clic en Editar paramodificar un grupo o un patrón de texto existentes. Haga clic en Siguiente.

2 de 4 Seleccione una de las opciones de diccionario.

3 de 4(opcional)

Seleccione la parte del documento donde tendrá lugar la comparación con elpatrón de texto o el diccionario. Esta opción se ha diseñado principalmentepara su uso con archivos de Microsoft Word, pero se aplica a cualquier tipo dearchivo que tenga un encabezado/pie de página.

4 de 4 Seleccione una categoría de contenido o cree una nueva haciendo clic enNuevo. Haga clic en Finalizar.

5 Para activar la regla, haga clic con el botón derecho del ratón en el icono de regla de clasificación yseleccione Activar.

Creación y definición de una regla de clasificación de documentosregistradosLas reglas de clasificación de documentos registrados aplican definiciones del repositorio y categoríasde contenido a los archivos.


1 En el panel de navegación de la consola de directivas de McAfee DLP Endpoint, seleccione Protecciónde contenido | Reglas de clasificación.

Las reglas de clasificación disponibles aparecerán en el panel de la derecha.

2 En el panel Reglas de clasificación, haga clic con el botón derecho y seleccione Nuevo | Regla de clasificaciónde documentos registrados.





1 de 2 Seleccione una o varias definiciones o grupos de repositorios de documentos registradosde la lista disponible. Haga clic en Agregar elemento para crear una nueva definición derepositorio de documentos registrados o en Agregar grupo para crear un nuevo grupo derepositorios de documentos registrados. Haga clic en Siguiente.

2 de 2 Seleccione una categoría de contenido o cree una nueva haciendo clic en Nuevo. Haga clicen Finalizar.

5 Para activar la regla, haga clic con el botón derecho del ratón en el icono de regla de clasificación yseleccione Activar.

Procedimientos• Indexación de repositorios de documentos registrados en la página 104

La indexación de repositorios de documentos registrados se planifica mediante las tareasde servidor de ePolicy Orchestrator.

• Despliegue de un paquete de documentos registrados en los equipos cliente en la página104Los paquetes del repositorio de documentos registrados indexados se distribuyen entre losequipos gestionados como si se tratara de un despliegue de productos.

Indexación de repositorios de documentos registradosLa indexación de repositorios de documentos registrados se planifica mediante las tareas de servidorde ePolicy Orchestrator.

Antes de empezarCree una definición de repositorio de documentos registrados. A continuación, cree y activeuna regla de clasificación de documentos registrados y una regla de protección mediante lacategoría de contenido especificada en la regla de clasificación. Aplique la directiva aePolicy Orchestrator.


1 En ePolicy Orchestrator seleccione Menú | Automatización | Tareas servidor.

2 Haga clic en Nueva tarea.

3 En el Generador de tareas servidor, asigne un nombre a la nueva tarea y haga clic en Siguiente.

4 En la página Acciones, seleccione Analizador de documentos registrados de DLP de la lista desplegable. Hagaclic en Siguiente para planificar el análisis. Revise la tarea y haga clic en Guardar.

La tarea aparecerá entonces en la lista Tareas servidor. Selecciónela y haga clic en Ejecutar paraejecutar el análisis inmediatamente.

Despliegue de un paquete de documentos registrados en los equipos clienteLos paquetes del repositorio de documentos registrados indexados se distribuyen entre los equiposgestionados como si se tratara de un despliegue de productos.

Antes de empezarEl paquete de documentos registrados debe estar indexado en ePolicy Orchestrator.




1 En ePolicy Orchestrator seleccione Menú | Árbol de sistemas.

2 En el árbol de sistemas, seleccione el nivel en el que se vaya a desplegar el paquete dedocumentos registrados.

Al definir el nivel en Mi organización, se despliega en todas las estaciones de trabajo gestionadas porePolicy Orchestrator.

Si selecciona un nivel inferior a Mi organización, todas las estaciones de trabajo disponiblesaparecerán en el panel derecho. Asimismo, puede desplegar el paquete de documentos registradosen estaciones de trabajo individuales.

3 Abra el asistente de Generador de tareas cliente:

• En ePolicy Orchestrator 4.5, haga clic en la ficha Tareas cliente. En Acciones, seleccione Nueva tarea.

• En ePolicy Orchestrator 4.6 y 5.0, haga clic en la ficha Tareas cliente asignadas. En Acciones,seleccione Nueva asignación de tarea cliente.

4 Seleccione el tipo de despliegue:

• En ePolicy Orchestrator 4.5, en el campo Tipo, seleccione Despliegues de producto. Haga clic enSiguiente.

• En ePolicy Orchestrator 4.6 y 5.0, en el campo Producto seleccione McAfee Agent. En el campoTipo de tarea, seleccione Despliegue de productos. Haga clic en Crear nueva tarea.

5 En el campo Nombre, escriba un nombre apropiado; por ejemplo, Instalar documentosregistrados de DLP. Escriba una descripción (opcional).

6 En el campo Productos y componentes, seleccione Documentos registrados de DLP 9.2.0.0 o Documentos registradosde DLP 9.3.0.0. Deje el campo Acción en Instalar.

Seleccione la versión de los documentos registrados en función de los clientes de McAfee DLPEndpoint en los que se realice el despliegue. Los paquetes de documentos registrados no soncompatibles entre versiones, por lo tanto, si tiene dos versiones de cliente deberá hacer dospaquetes distintos.

• En ePolicy Orchestrator 4.5, haga clic en Siguiente.

• En ePolicy Orchestrator 4.6 y 5.0, haga clic en Guardar.

7 Seleccione un Tipo de planificación adecuado y defina las Opciones, la fecha y los parámetros dePlanificación. Haga clic en Siguiente.

8 Revise el resumen de tareas. Cuando considere que todo está correcto, haga clic en Guardar.





9 Seguimiento de contenido con marcas yclasificaciones

El software McAfee DLP Endpoint lleva a cabo un seguimiento de la información confidencial y lacontrola mediante dos mecanismos similares: marcas y categorías de contenido.

Las reglas de marcado asocian los archivos y los datos a las marcas adecuadas. Las reglas declasificación asocian los archivos y los datos a categorías de contenido. En ambos casos, se etiqueta lainformación confidencial y dicha etiqueta permanece con el contenido incluso si se copia en otrodocumento o se guarda con un formato diferente.

Contenido Utilización de marcas y categorías de contenido para clasificar contenido Vinculación de marcas al contenido mediante reglas de marcado Marcas manuales

Utilización de marcas y categorías de contenido para clasificarcontenido

Las marcas ofrecen un método para clasificar el contenido y permiten aprovechar esa clasificación enotras ocasiones.

Las reglas de marcado asignan marcas al contenido de determinadas aplicaciones o ubicaciones. Unavez asignada una marca, ésta permanece con el contenido cuando se cambia a otra ubicación o secopia, o bien cuando se incluye o adjunta a otros archivos o tipos de archivos.

Categorías de contenido

Las categorías de contenido, llamadas marcas de contenido en versiones anteriores de McAfee DLPEndpoint, son otra forma de clasificar contenido. Las categorías de contenido se utilizan con las reglasde clasificación para clasificar contenido y grupos de documentos registrados. También se puedenespecificar directamente en la mayoría de reglas de protección.

En McAfee Device Control sólo hay disponibles categorías de contenido, no marcas.

Para proteger los datos, siga este proceso:

1 Clasifique la información que debe protegerse.

2 Cree marcas o categorías de contenido para cada clasificación de datos.

9


3 Cree reglas de marcado y reglas de clasificación que asocien información confidencial con lasmarcas y categorías de contenido apropiadas.

4 Defina las reglas de protección que incluyen las marcas y categorías de contenido que bloquean,supervisan o cifran la información confidencial que los usuarios envían a dispositivos portátiles o adeterminadas ubicaciones de red.

Catálogos de categorías

Los catálogos de categorías son conjuntos de categorías de contenido y reglas de clasificaciónpredefinidas asociadas que pueden usarse como bloques constitutivos preestablecidos para laconfección de directivas. Cuando selecciona de un catálogo una categoría de contenido,automáticamente añade a la directiva la categoría de contenido y las reglas de clasificaciónrelacionadas. Si ya ha creado una categoría con ese nombre, sólo se agregan las reglas.

Creación de marcas, categorías de contenido, catálogos ygruposUtilice estas tareas para crear marcas, categorías de contenido y grupos de categorías y marcas queposteriormente se adjuntan a los archivos mediante las reglas de marcado o de clasificación. O biencree catálogos de contenido, los cuales agregan de forma simultánea una categoría de contenido y lasreglas de clasificación relacionadas.

Decida cómo va a distinguir los distintos tipos de contenido y cree una marca o una categoría decontenido para cada tipo.

Procedimientos• Creación de una marca en la página 108

Las marcas ofrecen un método para clasificar el contenido y permiten aprovechar esaclasificación en otras ocasiones.

• Creación de una categoría de contenido en la página 109Una definición de categoría de contenido está formada por un nombre apropiado, unadescripción opcional y un GUID asignado por el sistema.

• Importación de un catálogo de categorías en la página 109Los catálogos de categorías son conjuntos de categorías de contenido y reglas declasificación predefinidas asociadas. Una vez que se importa un catálogo de categorías enla directiva, las reglas de clasificación pueden utilizarse tal cual o modificarse según seanecesario. Si ya existe una categoría de contenido con el mismo nombre, se importaránsólo las reglas de clasificación.

• Creación de un grupo de categorías y marcas en la página 110Los grupos de categorías y marcas se utilizan para incluir varias marcas y categorías decontenido en los archivos de forma más eficaz.

Creación de una marcaLas marcas ofrecen un método para clasificar el contenido y permiten aprovechar esa clasificación enotras ocasiones.


1 En el panel de navegación de la consola de directivas de McAfee DLP Endpoint, en Definiciones,seleccione Marcas y categorías.

Las marcas, categorías de contenido y grupos disponibles aparecerán en el panel derecho.

9 Seguimiento de contenido con marcas y clasificacionesUtilización de marcas y categorías de contenido para clasificar contenido


2 En la ventana Marcas y categorías, haga clic con el botón derecho del ratón y seleccione Nuevo | Marca.

El icono de la nueva marca aparecerá con el nombre seleccionado.

3 Introduzca un nombre y, a continuación, haga doble clic en el icono.



También se puede crear una nueva marca mientras se crea una regla de marcado o de protección.

Creación de una categoría de contenidoUna definición de categoría de contenido está formada por un nombre apropiado, una descripciónopcional y un GUID asignado por el sistema.



Las marcas, categorías de contenido y grupos disponibles aparecen en el panel derecho.

2 En la ventana Marcas y categorías, haga clic con el botón derecho del ratón y seleccione Nuevo | Categoríade contenido.

El icono de la nueva categoría de contenido aparece con el nombre seleccionado.

3 Introduzca un nombre y, a continuación, haga doble clic en el icono.



También se puede crear una nueva categoría de contenido mientras se crea una regla declasificación o de protección.

Importación de un catálogo de categoríasLos catálogos de categorías son conjuntos de categorías de contenido y reglas de clasificaciónpredefinidas asociadas. Una vez que se importa un catálogo de categorías en la directiva, las reglas declasificación pueden utilizarse tal cual o modificarse según sea necesario. Si ya existe una categoría decontenido con el mismo nombre, se importarán sólo las reglas de clasificación.




2 En la ventana Marcas y categorías, haga clic con el botón derecho y seleccione Importar categorías.

Tras unos segundos, se abrirá la ventana Catálogo de categorías.

3 Seleccione las categorías que desee importar y haga clic en Aceptar.

Se importarán las categorías y las reglas de clasificación relacionadas.

Seguimiento de contenido con marcas y clasificacionesUtilización de marcas y categorías de contenido para clasificar contenido 9


Creación de un grupo de categorías y marcasLos grupos de categorías y marcas se utilizan para incluir varias marcas y categorías de contenido enlos archivos de forma más eficaz.




2 En la ventana Marcas y categorías, haga clic con el botón derecho del ratón y seleccione Nuevo | Grupo decategorías y marcas.

Aparecerá el icono del nuevo grupo de categorías y marcas.

3 Asigne un nombre al nuevo grupo y haga doble clic en el icono.



5 Seleccione las categorías de contenido y marcas para el grupo.


Cuando se utiliza un grupo de marcas de reglas de protección, todas las marcas del gruposeleccionado deben estar disponibles en el contenido específico de la regla de protección que se va aactivar.

Vinculación de marcas al contenido mediante reglas demarcado

Las reglas de marcado asocian los archivos y los datos a las marcas adecuadas.

Marcas

Las definiciones de las marcas se crean en el panel de definiciones Marcas y categorías. Las marcas sepueden agrupar para simplificar la creación de reglas. Una definición de marca está formada por unnombre apropiado, una descripción opcional y un GUID asignado por el sistema.

Reglas de marcado

Unas sencillas reglas de marcado basadas en aplicaciones supervisan o bloquean todos los archivoscreados por la aplicación o las aplicaciones designadas en una definición de aplicaciones. Asimismo,las reglas de marcado basadas en la ubicación supervisan o bloquean todos los archivos de laubicación especificada. Si se agregan condiciones a una regla sencilla, ésta se limita medianteoperadores Y lógicos.

Las extensiones de archivo y los tipos de archivos están predefinidos en el sistema y el administradorno puede modificarlos. Al agregar un tipo de archivo o una extensión determinados a una regla demarcado basada en la aplicación o en la ubicación, sólo se aplica una marca a los archivos creados poruna aplicación específica o en una ubicación determinada y con el tipo de archivo o la extensiónseleccionada.

9 Seguimiento de contenido con marcas y clasificacionesVinculación de marcas al contenido mediante reglas de marcado


Si se utiliza la restricción de patrón de texto o diccionario en reglas de marcado basadas en laaplicación o en la ubicación, o creadas en una aplicación específica, y que además contienen un patróno umbral de diccionario concreto, se aplican marcas únicamente a los archivos de una ubicacióndeterminada. Esta opción le permite combinar funciones de categorías de contenido con el marcado.Pueden seleccionarse varios patrones de texto o diccionarios, especificados como ALGUNO de lossiguientes o TODOS los siguientes. En el caso de archivos de Microsoft Word, puede especificartambién en qué lugar del documento (encabezado/cuerpo/pie de página) se encuentra el contenidoespecificado.

Una vez que se ha adjuntado una marca a un archivo, ésta permanecerá con el contenido, aunqueéste se copie en un archivo de otro tipo o situado en otra ubicación.

Una marca puede usarse en más de una regla de marcado. Por ejemplo, una regla de marcado basadaen la aplicación puede aplicar una marca denominada “Información financiera” a determinados tiposde archivo, sin tener en cuenta su ubicación. Una regla de marcado basada en la ubicación puedeaplicar dicha marca “Información financiera” a los archivos de una ubicación concreta sin tener encuenta su tipo.

Creación y definición de reglas de marcadoLa creación de reglas de marcado se realiza en tres pasos. En primer lugar, se debe crear una regla demarcado; a continuación, se debe definir esta regla y, por último, activarla antes de que se puedautilizar.

Utilice estas tareas para crear y definir reglas de marcado.

Procedimientos• Creación y definición de una regla de marcado basada en aplicaciones en la página 111

Las reglas de marcado asocian los archivos y los datos a las marcas adecuadas.

• Creación y definición de una regla de marcado basada en la ubicación en la página 112Las reglas de marcado asocian los archivos y los datos a las marcas adecuadas.

Creación y definición de una regla de marcado basada en aplicacionesLas reglas de marcado asocian los archivos y los datos a las marcas adecuadas.

Para ver las definiciones de las opciones, pulse F1.

Procedimiento1 En el panel de navegación de la consola de directivas de McAfee DLP Endpoint, seleccione Protección

de contenido | Reglas de marcado.

Las reglas de marcado disponibles aparecerán en el panel de la derecha.

2 En el panel Reglas de marcado, haga clic con el botón derecho del ratón y seleccione Nuevo | Regla demarcado basada en aplicaciones.


Seguimiento de contenido con marcas y clasificacionesVinculación de marcas al contenido mediante reglas de marcado 9



1 de 7 Seleccione una o varias definiciones de aplicaciones de la lista disponible.Puede incluir o excluir definiciones. Haga clic en Agregar elemento para crear unanueva definición de aplicaciones. Haga clic en Siguiente.

2 de 7(opcional)

Seleccione la opción Seleccionar de la lista y, a continuación, seleccione los tiposde archivos de la lista disponible. Utilice la opción Otros tipos de archivos paraseleccionar tipos de archivos que no aparecen en la lista (desconocidos). Hagaclic en Siguiente.

3 de 7(opcional)

Seleccione la opción Seleccionar de la lista y, a continuación, seleccione lasextensiones de archivos de la lista disponible. Haga clic en Siguiente.

4 de 7(opcional)

Seleccione una de las opciones de patrón de texto, ALGUNO (O lógico) o TODO(Y lógico) y, a continuación, seleccione uno o más patrones de texto o gruposde patrones de texto de la lista disponible. Haga clic en la opción Agregarelemento para crear un nuevo patrón de texto, o bien haga clic en Agregar grupopara crear un nuevo grupo de patrones de texto. Haga clic en Editar paramodificar un grupo o un patrón de texto existentes. Haga clic en Siguiente.

5 de 7(opcional)

Seleccione una de las opciones de diccionario, ALGUNO (O lógico) o TODO (Ylógico) y, a continuación, seleccione uno o más diccionarios. Haga clic enAgregar para crear un diccionario nuevo o en Editar para modificar un diccionarioexistente. Haga clic en Siguiente.

6 de 7(opcional)

Seleccione la parte del documento donde tendrá lugar la comparación con elpatrón de texto o el diccionario. Esta opción está diseñada para su uso conarchivos de Microsoft Word.

7 de 7 Seleccione una marca disponible para esta regla o cree una nueva haciendoclic en Nuevo. Haga clic en Finalizar.

5 Para activar la regla, haga clic con el botón derecho del ratón en el icono de regla de protección yseleccione Activar.

Al crear una regla de marcado de definición de aplicaciones con varias aplicaciones, todas lasaplicaciones incluidas se agregan en una línea de la regla con operadores O lógicos y todas lasaplicaciones excluidas se agregan a una segunda línea con operadores O lógicos. Las dos líneas sonoperadores Y lógicos. Por ejemplo:

...definición es "Aplicaciones de cliente de correo electrónico" O "Aplicaciones de Microsoft Office" Yla definición no es "Aplicaciones de grabador multimedia"

Si no incluye una definición de aplicaciones como mínimo, la regla se aplica a todas las aplicacionesque no se excluyen de forma específica.

Creación y definición de una regla de marcado basada en la ubicaciónLas reglas de marcado asocian los archivos y los datos a las marcas adecuadas.


1 En el panel de navegación de la consola de directivas de McAfee DLP Endpoint, seleccione Protecciónde contenido | Reglas de marcado.

Las reglas de marcado disponibles aparecerán en el panel de la derecha.

9 Seguimiento de contenido con marcas y clasificacionesVinculación de marcas al contenido mediante reglas de marcado


2 En el panel Reglas de marcado, haga clic con el botón derecho del ratón y seleccione Nuevo | Regla demarcado basada en ubicación.



1 de 7 Seleccione una o más ubicaciones de la lista disponible. Si selecciona unServidor de archivos de red, se abrirá el cuadro de diálogo Configurar selección.Introduzca una nueva ubicación de red o haga clic en Explorar y ubique elservidor. Si lo prefiere, puede seleccionar Cualquier servidor de archivos de red. Hagaclic en Aceptar. Cuando haya terminado la selección, haga clic en Siguiente.

2 de 7(opcional)

Seleccione la opción Seleccionar de la lista y, a continuación, seleccione los tipos dearchivos de la lista disponible. Utilice la opción Otros tipos de archivos paraseleccionar tipos de archivos que no aparecen en la lista (desconocidos). Hagaclic en Siguiente.

3 de 7(opcional)


4 de 7(opcional)

Seleccione una de las opciones de patrón de texto, ALGUNO (O lógico) o TODO (Ylógico) y, a continuación, seleccione uno o más patrones de texto de la listadisponible. Haga clic en la opción Agregar elemento para crear un nuevo patrón detexto, o bien haga clic en Agregar grupo para crear un nuevo grupo de patronesde texto. Haga clic en Editar para modificar un grupo o un patrón de textoexistentes. Haga clic en Siguiente.

5 de 7(opcional)

Seleccione una de las opciones de diccionario, ALGUNO (O lógico) o TODO (Ylógico) y, a continuación, seleccione uno o más diccionarios. Haga clic enAgregar para crear un diccionario nuevo o en Editar para modificar un diccionarioexistente. Haga clic en Siguiente.

6 de 7(opcional)

Seleccione la parte del documento donde tendrá lugar la comparación con elpatrón de texto o el diccionario. Esta opción está diseñada para su uso conarchivos de Microsoft Word.

7 de 7 Seleccione una marca disponible para esta regla o cree una nueva haciendoclic en Nuevo. Haga clic en Finalizar.


Marcas manuales La opción Aplicación manual de marcas permite a los usuarios autorizados agregar o eliminar marcasde los archivos sin utilizar reglas de marcado. A esta opción se accede desde el equipo gestionado.

La aplicación manual de marcas ofrece la posibilidad de mantener la directiva de clasificación de suempresa incluso en los casos especiales de información confidencial o exclusiva que el sistema nomarca de forma automática. Para aplicar o eliminar marcas manualmente, un usuario debe estarautorizado. Esta autorización se establece en la ficha Seguridad de la Configuración de los agentesmediante Microsoft Active Directory u OpenLDAP.

Las marcas que se aplican a los archivos de forma manual afectan a las opciones de transmisión delcontenido de forma inmediata, según las reglas de protección correspondientes.

Seguimiento de contenido con marcas y clasificacionesMarcas manuales 9


Contenido Aplicación manual de marcas a los archivos Eliminación de marcas manuales del contenido

Aplicación manual de marcas a los archivosSi es necesario, los usuarios autorizados pueden aplicar marcas a los archivos manualmente.

Para utilizar la aplicación manual de marcas, los usuarios deben estar autorizados. El permiso para laaplicación manual de marcas se define en la consola de directivas de McAfee DLP Endpoint, en la fichaConfiguración de los agentes | Editar configuración global de los agentes | Seguridad.

Procedimiento1 En un equipo gestionado, abra el Explorador de Windows.

2 Haga clic con el botón derecho en el archivo y seleccione Aplicación manual de marcas.

Aparecerá la ventana Aplicación manual de marcas con las marcas disponibles.

3 Seleccione las marcas apropiadas para el archivo.


Eliminación de marcas manuales del contenidoLas marcas aplicadas manualmente deben ser eliminadas manualmente.

Para utilizar la aplicación manual de marcas, los usuarios deben estar autorizados. El permiso para laaplicación manual de marcas se define en la consola de directivas de McAfee DLP Endpoint, en la fichaConfiguración de los agentes | Editar configuración global de los agentes | Seguridad, mediante Microsoft ActiveDirectory u OpenLDAP.

Procedimiento1 En un equipo gestionado, abra el Explorador de Windows.

2 Haga clic con el botón derecho del ratón en el archivo con marcas que desee eliminar y seleccioneAplicación manual de marcas.

Aparece la ventana Aplicación manual de marcas con todas las marcas asignadas.

3 Seleccione las marcas que desee eliminar de estos archivos.


Si se seleccionan varios archivos con diversas marcas asignadas, sólo se eliminarán las que esténasignadas a todos los archivos seleccionados.

9 Seguimiento de contenido con marcas y clasificacionesMarcas manuales


10 Aplicación de la protección de McAfeeDLP

McAfee DLP Endpoint protege el contenido de carácter confidencial mediante una combinación dereglas de dispositivos y de protección. Las reglas se aplican con directivas que se distribuyen entre losequipos gestionados.

Contenido Protección de medios extraíbles Protección de archivos mediante la gestión de derechos Control del contenido de carácter confidencial con reglas de protección Limitación de reglas con grupos de asignación

Protección de medios extraíblesEl control del dispositivo es el modo de prevenir el uso no autorizado de dispositivos multimediaextraíbles para evitar la fuga de datos.

El software McAfee Data Loss Prevention puede supervisar o bloquear los dispositivos, comosmartphones, dispositivos de almacenamiento extraíbles, dispositivos Bluetooth, reproductores de MP3o dispositivos Plug and Play, conectados a los equipos gestionados de la empresa, de modo que puedasupervisar y controlar su uso en la distribución de la información confidencial. En el software McAfeeDLP Endpoint versión 9.3, esta protección se amplía con el fin de incluir los discos duros que no seandel sistema. Para muchas organizaciones, este nivel de prevención de fuga de datos es el objetivoprincipal. Este es el nivel de protección ofrecido por el software McAfee Device Control, y que es laimplementación predeterminada del software McAfee DLP Endpoint al instalarlo por primera vez.

El comportamiento del software McAfee Data Loss Prevention al bloquear la copia de archivos a losdispositivos extraíbles se ha optimizado en la versión 9.3. En las versiones anteriores, el análisis delarchivo para las infracciones de directivas se llevaba a cabo simultáneamente con la función de copiade Windows. El archivo se copiaba y en caso de que se infringiera una directiva se eliminabainmediatamente. Este mecanismo se usaba para optimizar el rendimiento, pero había una pequeñaoportunidad para desconectar el dispositivo con el archivo "bloqueado" intacto. En la versión 9.3, lafunción de copia se interrumpe hasta que finaliza el análisis. Si tras tres segundos el archivo sigueanalizándose, una ventana emergente informará al usuario de que el archivo se está analizando. Unasegunda ventana emergente informará al usuario si el archivo está bloqueado o supervisado. Lafunción se activa con la opción Controlador de copia de archivos en la ficha Configuración de los agentes | Varios.

Si la opciónControlador de copia de archivos está desactivada o si el archivo se creó en USB con una funciónde copia que no es de Windows, se aplica el mecanismo de bloqueo heredado.

McAfee Device Control se construye en tres capas:

10


• Clases de dispositivos: recopilaciones de dispositivos que tienen características parecidas y quese pueden gestionar de modo similar.

• Definiciones de dispositivos: para identificar y agrupar los dispositivos en función de laspropiedades que tienen en común.

• Reglas de dispositivos: para controlar el comportamiento de los dispositivos.

La clase de dispositivos es uno de los varios parámetros que se pueden especificar en la definición deun dispositivo. Una regla de dispositivos se compone de una lista de las definiciones de dispositivosincluidas o excluidas de la regla, y las acciones realizadas cuando se activa la regla mediante el envíode contenido desde los dispositivos con nombre o a ellos. Además, puede especificar usuarios ogrupos de usuarios incluidos o excluidos de la regla.

Categorización de dispositivos con clases de dispositivosLas clases de dispositivos asignan un nombre e identifican los dispositivos usados por el sistema. Cadaclase de dispositivo se identifica con un nombre, una descripción (opcional) y uno o variosidentificadores únicos globales (GUID).

La Clase de dispositivos es una recopilación de dispositivos que tienen características parecidas y quese pueden gestionar de modo similar. Por ejemplo, "Intel® PRO/1000 PL Network Connection" y "Dellwireless 1490 Dual Band WLAN Mini‑Card" son dos dispositivos que pertenecen a la clase dedispositivos Adaptador de red. Al instalar el software McAfee DLP Endpoint, encontrará una lista de clasesde dispositivos integrados en Administración de dispositivos | Clases de dispositivos. Los dispositivos seclasifican por estado:

• Gestionado: dispositivos Plug and Play o de almacenamiento extraíbles específicos, definidos porclase de dispositivos, que puede gestionar el software McAfee DLP Endpoint.

• No gestionado: clases de dispositivos no gestionadas por el software McAfee DLP Endpoint perocuyo estado puede cambiar a Gestionado por el administrador del sistema.

• No gestionable: clases de dispositivos que el software McAfee DLP Endpoint no puede gestionardebido a que los intentos para gestionarlas pueden afectar al equipo gestionado, al mantenimientodel sistema o a su eficacia. No se pueden agregar nuevas clases de dispositivos a esta lista.

El administrador del sistema no debe modificar la lista de clases de dispositivos como parte de lastareas rutinarias, ya que un uso inapropiado (por ejemplo, bloquear el controlador de disco duro delsistema gestionado) puede provocar un funcionamiento anormal del sistema o del sistema operativo.

En lugar de editar un elemento existente para que se adapte a las necesidades de la regla de proteccióndel dispositivo, agregue una nueva clase definida por el usuario a la lista.

10 Aplicación de la protección de McAfee DLPProtección de medios extraíbles


Caso práctico: cambio del estado de una clase de dispositivosAl solucionar los problemas relacionados con la clase de dispositivos, es posible que deseecambiar temporalmente el estado de una clase de dispositivos específica a "nogestionado". Para alternar el estado de una clase de dispositivos entre "gestionado" y "nogestionado", haga clic con el botón derecho del ratón en el icono de clase y seleccione laopción de cambio de estado adecuada.

Definición de una clase de dispositivoSi en la lista predefinida no existe una clase de dispositivo adecuada o si no se crea automáticamenteal instalar hardware nuevo, puede crearse una nueva clase de dispositivo en el software McAfee DLPEndpoint Administrador de directivas.

Procedimientos• Obtención de un GUID en la página 117

Las definiciones de la clase de dispositivos requieren un nombre y uno o variosidentificadores únicos globales (GUID).

• Creación de una nueva clase de dispositivos en la página 118Las clases de dispositivos asignan un nombre e identifican los dispositivos usados por elsistema. Cada clase de dispositivo se identifica con un nombre, una descripción (opcional)y uno o varios identificadores únicos globales (GUID).

Obtención de un GUIDLas definiciones de la clase de dispositivos requieren un nombre y uno o varios identificadores únicosglobales (GUID).

Algunos dispositivos de hardware instalan su propia clase de dispositivos nueva. Para controlar elcomportamiento de los dispositivos de hardware Plug and Play que definen su propia clase dedispositivos, primero debe agregar una nueva clase de dispositivos en el estado Gestionado en la listaClases de dispositivos.

La clase de dispositivos se define con dos propiedades: un nombre y un GUID. El nombre del nuevodispositivo se muestra en el administrador de dispositivos, pero el GUID solo se muestra en el registrode Windows y no es fácil obtenerlo. Con el fin de facilitar la recuperación de los GUID y nombres delos nuevos dispositivos, el cliente de McAfee DLP Endpoint informa del evento Nueva clase dedispositivos encontradaal Administrador de incidentes de DLP cuando un dispositivo de hardware queno pertenece a una clase de dispositivos reconocida se conecta al equipo host.

Aplicación de la protección de McAfee DLPProtección de medios extraíbles 10



1 En ePolicy Orchestrator, abraAdministrador de incidentes de DLP (Menú | Protección de datos |Administrador de incidentes de DLP).

2 Haga clic en Editar junto a la lista desplegable Filtro para editar los criterios de filtrado.

3 En la lista Propiedades disponibles, seleccione Tipo de evento.

4 Deje la lista desplegable Comparación con el valor predeterminado Igual a. En la lista desplegableValores, seleccione Dispositivos: Nueva clase de dispositivos encontrada

Figura 10-1 Configuración de los criterios de filtrado

5 Haga clic en Actualizar filtro.

En la Lista de incidentes aparecen las nuevas clases de dispositivos encontradas en los equipos deendpoint. Para ver el nombre y el GUID de un dispositivo determinado, haga doble clic en elelemento para mostrar los detalles del incidente.

Creación de una nueva clase de dispositivosLas clases de dispositivos asignan un nombre e identifican los dispositivos usados por el sistema. Cadaclase de dispositivo se identifica con un nombre, una descripción (opcional) y uno o variosidentificadores únicos globales (GUID).

Antes de empezarObtenga el identificador único global (GUID) del dispositivo antes de empezar la tarea.


1 En el panel de navegación de la consola de directivas de McAfee DLP Endpoint, en Administración dedispositivos, seleccione Clases de dispositivos.

Los dispositivos disponibles aparecerán en el panel de la derecha.

2 Haga clic con el botón derecho del ratón en el panel Clases de dispositivos y seleccione Nuevo | Clase dedispositivos.

Aparece el icono de una nueva Clase de dispositivos (nombre predeterminado Clase de dispositivos) en lasección de clases de dispositivos no gestionados.




Aparecerá el cuadro de diálogo de edición.

4 Escriba un nombre, una descripción (opcional) y el identificador único global (GUID) del dispositivoen los cuadros de texto correspondientes.

Debe utilizar un GUID con formato correcto. El botón Aceptar no estará disponible hasta que seintroduzca un GUID con el formato correcto.

5 Para cambiar el estado de la clase de dispositivos a Gestionada, active la casilla de verificación.


Control de dispositivos con definiciones de dispositivosLas definiciones de dispositivos actúan como criterios de filtrado para controlar los dispositivos, lo queofrece la ventaja de utilizar dispositivos portátiles a la vez que se mantienen la directivas empresarialsobre el tratamiento de la información confidencial. Las definiciones integradas para McAfee EndpointEncryption for Files and Folders y McAfee Endpoint Encryption for Removable Media facilitan el uso deestos productos.

Las definiciones de dispositivos controlan los dispositivos específicos mediante la configuración de laspropiedades del dispositivo como la clase de dispositivo, el ID de producto e ID de proveedor (IDprod./ID prov.) o el código de clase USB.

Los grupos de definiciones de dispositivos se pueden crear de un modo flexible y sencillo paraconservar el nivel de seguridad necesario. Éstos combinan un conjunto distinto de propiedades paracada dispositivo que el sistema debe bloquear o supervisar. Las definiciones y los grupos dedispositivos están disponibles para tres tipos de dispositivos:

• Dispositivos Plug and Play: pueden agregarse al equipo gestionado sin necesidad de realizarconfiguraciones ni instalar DLL o controladores de forma manual. Los dispositivos Plug and Playincluyen la mayoría de los dispositivos de Microsoft Windows. Las definiciones de dispositivos Plugand Play permiten gestionar y controlar la mayoría de dispositivos disponibles, por ejemplo,Bluetooth, Wi‑Fi y PCMCIA, así como evitar la carga de dichos dispositivos por parte del sistema.

• Dispositivos de almacenamiento extraíbles: son dispositivos externos con un sistema dearchivos que aparecen en el equipo gestionado como unidades.

• Dispositivos de disco duro fijo: unidades de disco fijas conectadas al equipo y que el sistemaoperativo no marca como almacenamiento extraíble.

Cada tipo de definición de dispositivos se corresponde con un tipo de regla de dispositivos.

Las definiciones y las reglas de dispositivos Plug and Play incluyen propiedades generales de losdispositivos. Las definiciones de dispositivos de almacenamiento extraíbles son más flexibles eincluyen propiedades adicionales relacionadas con los dispositivos de almacenamiento extraíbles. Serecomienda utilizar las reglas y las definiciones de dispositivos de almacenamiento extraíbles paracontrolar los dispositivos que se pueden clasificar de cualquiera de las dos formas, como pueden serlos dispositivos de almacenamiento masivo USB.



Dispositivos de almacenamiento extraíbles

Además de los dispositivos de almacenamiento extraíbles definidos por el usuario, se incluyen tresdefiniciones de dispositivos predefinidas: Todos los dispositivos de almacenamiento extraíbles, Contenido cifrado porMcAfee Endpoint Encryption y McAfee Dispositivos Encrypted USB. Estas definiciones se pueden usar en las reglasde dispositivos de almacenamiento extraíbles y de acceso a archivos de dispositivos dealmacenamiento extraíbles si se seleccionan los parámetros necesarios.

No se recomienda la modificación de las definiciones de los parámetros de las definiciones dedispositivos predefinidas.

Dispositivos Plug and Play de la lista blanca

El objetivo de incluir dispositivos Plug and Play en la lista blanca es gestionar aquellos que no llevan acabo la administración de dispositivos de forma óptima y que pueden provocar que el sistema deje deresponder y otros problemas de gravedad. Se recomienda agregar estos dispositivos a la lista dedispositivos de la lista blanca a fin de evitar problemas de compatibilidad.

Las definiciones de dispositivos Plug and Play de la lista blanca se agregan de forma automática a lalista de dispositivos "excluidos" en todas las reglas de dispositivos Plug and Play. Nunca serándispositivos gestionados, aunque la clase de dispositivos a la que pertenecen sea gestionada.

si se examinan las reglas de dispositivos, no verá la definición de la lista blanca, ya que ésta no seagrega a la regla hasta que se aplica la directiva. No es necesario que vuelva a escribir las reglasexistentes para incluir nuevos dispositivos de la lista blanca.

Importación de parámetros de dispositivoLos parámetros de dispositivo se pueden introducir a partir de listas guardadas en formato CSV.

Puede crearse una lista de parámetros de dispositivo seleccionando varios eventos en la pantalla deAdministrador de incidentes de DLP y, a continuación, seleccionando Exportar parámetros de incidentes dedispositivos del menú Acciones. Las listas también se pueden crear manualmente.

Consulte la Ayuda online para ver información sobre el formato del archivo CSV.

Creación de definiciones de dispositivosAl crear una definición de dispositivos con varios parámetros, los parámetros definidos en cadanombre de parámetro se agregan a la definición como operadores O lógicos y varios nombres deparámetros se agregan como operadores Y lógicos.

Por ejemplo, la siguiente selección de parámetros crea la definición de dispositivos que se muestra acontinuación:

Tabla 10-1 Ejemplo de definición de dispositivos

Definición de dispositivos Parámetros seleccionados

Tipo de bus Firewire; USB

Clase de dispositivos Dispositivos de memoria; dispositivos portátiles de Windows

• El tipo de bus es uno de los siguientes: Firewire (IEEE 1394) O USB

• Y la clase de dispositivos es uno de los dispositivos de memoria O dispositivos portátiles deWindows



Procedimientos• Creación de una definición de dispositivos Plug and Play en la página 121

Un dispositivo Plug and Play es un dispositivo que se puede agregar al equipo gestionadosin necesidad de realizar configuraciones ni instalar DLL o controladores de forma manual.Las definiciones de dispositivos Plug and Play permiten gestionar y controlar la mayoría dedispositivos disponibles.

• Creación de una definición de dispositivos Plug and Play de la lista blanca en la página 122El objetivo de incluir dispositivos Plug and Play en la lista blanca es gestionar aquellos queno llevan a cabo la administración de dispositivos de forma óptima y que pueden provocarque el sistema deje de responder y otros problemas de gravedad. Se recomienda agregarestos dispositivos a la lista de dispositivos de la lista blanca a fin de evitar problemas decompatibilidad.

• Creación de una definición de dispositivos de almacenamiento extraíbles en la página 122Un dispositivo de almacenamiento extraíble es un dispositivo externo que contiene unsistema de archivos que aparece en el equipo gestionado como una unidad. Lasdefiniciones de dispositivos de almacenamiento extraíbles son más flexibles que lasdefiniciones de dispositivos Plug and Play e incluyen propiedades adicionales relacionadascon los dispositivos.

• Importación de definiciones de dispositivos en la página 123Es posible crear una definición de dispositivos mediante la importación de parámetros delistas guardadas en formato CSV. Puede importar una nueva definición de un archivo oimportar un parámetro a una definición existente.

• Importación de un parámetro a una definición de dispositivos existente en la página 123Los parámetros de dispositivo se pueden importar de listas guardadas en formato CSV.Puede importar una nueva definición de un archivo o importar un parámetro a unadefinición existente.

• Creación de un grupo de definiciones de dispositivos en la página 124Los grupos de definiciones de dispositivos simplifican las reglas a la vez que mantienen lagranularidad al combinar diversas definiciones de dispositivos en un grupo.

Creación de una definición de dispositivos Plug and PlayUn dispositivo Plug and Play es un dispositivo que se puede agregar al equipo gestionado sinnecesidad de realizar configuraciones ni instalar DLL o controladores de forma manual. Lasdefiniciones de dispositivos Plug and Play permiten gestionar y controlar la mayoría de dispositivosdisponibles.


1 En el panel de navegación de la consola de directivas de McAfee DLP Endpoint, en Administración dedispositivos, seleccione Definiciones de dispositivos.

Las definiciones de dispositivos y los grupos de definiciones de dispositivos disponibles aparecen enel panel derecho.

2 En el panel Definiciones de dispositivos, haga clic con el botón derecho del ratón y seleccione Nuevo |Definición de dispositivos Plug‑and‑Play.

Aparece el icono de la nueva Definición de dispositivos Plug and Play.

3 Asigne un nombre a la nueva definición de dispositivos y haga doble clic en el icono.





5 Seleccione los parámetros del dispositivo de la lista disponible.


Creación de una definición de dispositivos Plug and Play de la lista blancaEl objetivo de incluir dispositivos Plug and Play en la lista blanca es gestionar aquellos que no llevan acabo la administración de dispositivos de forma óptima y que pueden provocar que el sistema deje deresponder y otros problemas de gravedad. Se recomienda agregar estos dispositivos a la lista dedispositivos de la lista blanca a fin de evitar problemas de compatibilidad.

Los dispositivos Plug and Play de la lista blanca se agregan de forma automática a la lista dedispositivos excluidos en todas las reglas de dispositivos Plug and Play cuando se aplica la directiva.Nunca serán dispositivos gestionados, aunque la clase de dispositivos a la que pertenecen seagestionada.




2 En el panel Definiciones de dispositivos, haga clic con el botón derecho del ratón y seleccione Nuevo |Definición de dispositivos Plug‑and‑Play de la lista blanca.

Aparece el icono de la nueva Definición de dispositivos Plug‑and‑Play de la lista blanca.




5 Seleccione el Nombre de parámetro de la lista de parámetros disponibles.

Se abre el cuadro de diálogo Editar el parámetro de definición de dispositivos.

6 Haga clic en Nuevo y escriba la información del parámetro.

7 Haga doble clic en Aceptar.

Creación de una definición de dispositivos de almacenamiento extraíblesUn dispositivo de almacenamiento extraíble es un dispositivo externo que contiene un sistema dearchivos que aparece en el equipo gestionado como una unidad. Las definiciones de dispositivos dealmacenamiento extraíbles son más flexibles que las definiciones de dispositivos Plug and Play eincluyen propiedades adicionales relacionadas con los dispositivos.






2 En el panel Definiciones de dispositivos, haga clic con el botón derecho y seleccione Nuevo | Definición deldispositivo de almacenamiento extraíble.

Aparece el icono de la nueva Definición de dispositivo de almacenamiento extraíble.




5 Seleccione los parámetros del dispositivo de la lista disponible.


Importación de definiciones de dispositivosEs posible crear una definición de dispositivos mediante la importación de parámetros de listasguardadas en formato CSV. Puede importar una nueva definición de un archivo o importar unparámetro a una definición existente.

Antes de empezarCree una lista de parámetros de dispositivo, una fila separada por comas y guárdela enformato CSV. La lista se puede configurar seleccionando varios eventos en la pantalla deAdministrador de incidentes de DLP y seleccionando Acciones | Exportar parámetros de incidentes dedispositivos en el menú contextual. También puede utilizar bibliotecas CSV de código abiertoo de terceros para crear el archivo.

Procedimiento1 En el panel de navegación de la consola de directivas de McAfee DLP Endpoint, en Administración de

dispositivos, seleccione Definiciones de dispositivos.

Las definiciones de dispositivos y los grupos de definiciones de dispositivos disponibles aparecen enel panel de la derecha.

2 En el panel Definiciones de dispositivos, haga clic con el botón derecho y seleccione Importar desde archivo.Seleccione el tipo de definición:

• Plug and Play

• Almacenamiento extraíble

3 En el cuadro de diálogo Importar de, localice el archivo CSV y haga clic en Abrir. Los parámetros seimportan a la nueva definición de dispositivos.

Si el archivo contiene parámetros que no coinciden con el tipo de definición de dispositivoseleccionado, por ejemplo un número serie de volumen de archivo importado en una definición dePlug and Play, se ignora la definición y se continúa con la importación. Si el formato no es correcto,se produce un fallo en la importación.

4 Asigne un nombre a la nueva definición de dispositivos y haga clic en Aceptar para crearla.

Importación de un parámetro a una definición de dispositivos existenteLos parámetros de dispositivo se pueden importar de listas guardadas en formato CSV. Puede importaruna nueva definición de un archivo o importar un parámetro a una definición existente.

Antes de empezarCree un archivo que contenga el parámetro de definición de dispositivos que se va aimportar.



Procedimiento

1 Abra una definición de dispositivos existente haciendo doble clic en ella.

2 Seleccione un parámetro para editar. En el cuadro de diálogo de edición de definición deparámetros, haga clic en Importar.

3 En el cuadro de diálogo Importar de, busque un archivo y haga clic en Abrir. Los valores de parámetrose importan a la definición de parámetros.

4 Haga clic en Aceptar para aceptar los cambios a la definición de dispositivos.

Creación de un grupo de definiciones de dispositivosLos grupos de definiciones de dispositivos simplifican las reglas a la vez que mantienen la granularidadal combinar diversas definiciones de dispositivos en un grupo.




2 En el panel Definiciones de dispositivos, haga clic con el botón derecho del ratón y seleccione Nuevo |Grupo de definiciones de dispositivos Plug‑and‑Play o Nuevo | Grupo de definiciones de dispositivos de almacenamientoextraíbles.

Aparecerá el icono del nuevo Grupo de definiciones de dispositivos.

3 Asigne un nombre al nuevo grupo de definiciones de dispositivos y haga doble clic en el icono.



5 Seleccione en la lista las definiciones de dispositivos Plug and Play o de dispositivos dealmacenamiento extraíbles correspondientes.


Reglas de dispositivosLas reglas de dispositivos definen la acción realizada cuando se utilizan determinados dispositivos.

Existen seis tipos de reglas de dispositivos de endpoint:

• Regla de dispositivos Plug and Play: se usa para bloquear o supervisar los dispositivos Plug and Play. Sepuede notificar al usuario de la acción realizada.

• Regla para dispositivos de almacenamiento extraíbles: se usa para bloquear o supervisar los dispositivos dealmacenamiento extraíbles o configurarlos como solo lectura. Se puede notificar al usuario de laacción realizada.

• Regla de acceso a archivos en dispositivos de almacenamiento extraíbles: se usa para bloquear la ejecución dearchivos ejecutables en dispositivos de complemento.

• Regla de disco duro fijo: se usa para bloquear o supervisar los discos duros fijos o configurarlos comosolo lectura. Se puede notificar al usuario de la acción realizada. Las reglas de dispositivos de discoduro fijo no protegen la partición del sistema ni el arranque.



• Regla de dispositivos Citrix: se usa para bloquear los dispositivos Citrix asignados a sesiones deescritorio compartidas.

• Regla de dispositivos TrueCrypt: se usa para proteger a los dispositivos TrueCrypt. Se puede utilizar parabloquear, supervisar o configurar como solo lectura. Se puede notificar al usuario de la acciónrealizada.

Reglas de dispositivos Plug and Play

Para que las reglas de dispositivos Plug and Play puedan controlar los dispositivos de hardware, lasclases del dispositivo especificadas en las definiciones del dispositivo que usa la regla deben estarconfiguradas con el estado Gestionado.

Caso práctico: bloqueo de los adaptadores Bluetooth mediante una regla dedispositivos Plug and PlayHay tres pasos para crear una regla de dispositivos Plug and Play simple para el uso de losdispositivos Bluetooth:



1 Compruebe que la clase de dispositivos para los adaptadores Bluetooth es la Clase dedispositivos gestionada.

2 Cree una definición de dispositivos que coincida con las propiedades de los dispositivosBluetooth específicos que desee controlar.

3 Cree una regla de dispositivos que coincida con la definición de dispositivos y configurela acción en Bloquear.



Reglas de dispositivos de almacenamiento extraíbles

Las reglas de dispositivos de almacenamiento extraíbles no requieren una clase de dispositivosgestionada. El motivo está relacionado con las diferencias en el modo en que los dos tipos de reglas dedispositivos utilizan las clases de dispositivos:

• Las reglas de dispositivos Plug and Play se activan en el momento en que el dispositivo dehardware se conecta al equipo. Debido a que la reacción se debe a un controlador de dispositivo, esnecesario gestionar la clase de dispositivos con el fin de poder reconocer el dispositivo.

• Las reglas de dispositivos de almacenamiento extraíbles se activan al montar un nuevo sistema dearchivos. Al montar el sistema de archivos, el software McAfee DLP Endpoint asocia la letra deunidad con el dispositivo de hardware específico y comprueba las propiedades del dispositivo.Debido a que la reacción es al funcionamiento de un sistema de archivos, y no a un controlador dedispositivo, no es necesario gestionar la clase de dispositivos.

Caso práctico: permitir un reproductor de MP3 como solo lecturaDebido a que no se precisa de una clase de dispositivos gestionada, las reglas dedispositivos de almacenamiento extraíbles cuentan con dos pasos básicos:

1 Crear la definición de dispositivos.

2 Crear la regla de dispositivos.

Reglas de acceso a archivos en dispositivos de almacenamiento extraíbles

Las reglas de acceso a archivos en dispositivos de almacenamiento extraíbles impiden a losdispositivos de almacenamiento extraíbles ejecutar las aplicaciones. Debido a que debe permitirse laejecución de algunos ejecutables, como aplicaciones de cifrado en dispositivos cifrado, las definicionesde aplicaciones en lista blanca pueden incluirse en la regla para excluir archivos con nombreespecíficos de la regla de bloqueo.



Las reglas de acceso a archivos determinan si un archivo es un ejecutable mediante su extensión. Lassiguientes extensiones estánbloqueadas: .bat, .cgi, .cmd, .com, .cpl, .dll, .exe, .jar, .msi, .py, .pyc, .scr, .vb, .vbs, .ws y .wsf.Además, para bloquear archivos que se podrían ejecutar desde archivos, también se bloquean losarchivos .cab, .rar y .zip.

Las reglas de acceso a archivos también impiden que los archivos ejecutables se copien en dispositivosde almacenamiento extraíbles, ya que el controlador del filtro de archivo no puede diferenciar entre laapertura y la creación de un ejecutable.

Reglas de dispositivos Citrix

El software McAfee DLP Endpoint puede bloquear los dispositivos Citrix asignados a sesiones deescritorio compartidas. Se pueden bloquear todas las unidades de disquetes, fijas, CD, extraíbles y dered, así como la redirección a impresoras y portapapeles. Se puede filtrar la regla añadiendo gruposde asignación de usuarios.

Las reglas se asignan mediante grupos de asignación de usuarios (Menú | Sistemas | Árbol de sistemas |Directivas asignadas) en los servidores Citrix. En el Árbol de sistemas, se ha añadido la nueva fichaSesiones de usuario de DLP en la página Información del sistema para poder ver las sesiones de usuario ylas reglas que se aplican en cada sesión.

Reglas de dispositivos TrueCrypt

Las reglas de dispositivos TrueCrypt se usan para bloquear o supervisar los dispositivos de cifradovirtuales TrueCrypt o configurarlos como solo lectura. Las reglas TrueCrypt son un subconjunto de lasreglas de dispositivos de almacenamiento extraíbles.

Los dispositivos TrueCrypt también se pueden proteger mediante reglas de protección dealmacenamiento extraíble. Consulte Control del contenido de carácter confidencial con reglas deprotección en esta guía para el uso de las reglas de protección con los dispositivos TrueCrypt.

El software cliente de McAfee DLP Endpoint trata todos los montajes TrueCrypt como dealmacenamiento extraíble, incluso cuando la aplicación TrueCrypt está escribiendo al disco local.

Creación y definición de reglas de dispositivosLas reglas de dispositivos asignan acciones a definiciones de dispositivos.

Utilice estas tareas para crear y definir reglas de dispositivos.



Procedimientos• Creación y definición de una regla de dispositivos Plug and Play en la página 129

Las definiciones de dispositivos Plug and Play se incorporan en las reglas de los dispositivosPlug and Play a fin de controlarlos.

• Creación y definición de una regla para dispositivos de almacenamiento extraíbles en lapágina 130Las reglas de dispositivos de almacenamiento extraíbles son la forma recomendada debloquear dispositivos USB.

• Creación y definición de una regla de acceso a archivos de dispositivos de almacenamientoextraíbles en la página 131Las reglas de acceso a archivos impiden a los soportes de almacenamiento extraíblesejecutar las aplicaciones. Las definiciones de aplicaciones en lista blanca especificadas en elpaso 2 proporcionan listas de archivos específicos exentos de la regla de bloqueo.

• Creación y definición de una regla de dispositivos de disco duro fijo en la página 132Las reglas de dispositivos de disco duro fijo controlan la copia de la informaciónconfidencial en las unidades fijas locales, y permiten configurar a modo de solo lectura lasunidades fijas. Las unidades dinámicas no son compatibles.

• Creación y definición de una regla de dispositivos Citrix en la página 133Las reglas de dispositivos Citrix bloquean el funcionamiento de unidades de disquetes, CD,fijas o de red en las sesiones de escritorio de Citrix.

• Creación de una definición de aplicaciones en lista blanca en la página 133Las definiciones de aplicaciones en lista blanca se utilizan en reglas de acceso a archivos dedispositivo de almacenamiento extraíbles para excluir específicamente del bloqueo losarchivos con nombre.

Creación y definición de una regla de dispositivos Plug and PlayLas definiciones de dispositivos Plug and Play se incorporan en las reglas de los dispositivos Plug andPlay a fin de controlarlos.


1 En el panel de navegación de la consola de directivas de McAfee DLP Endpoint, seleccioneAdministración de dispositivos | Reglas de dispositivos.

Las reglas administración de dispositivos disponibles aparecerán en el panel de la derecha.

2 En el panel Reglas de dispositivos, haga clic con el botón derecho del ratón y seleccione Nuevo | Regla dedispositivos Plug‑and‑Play.

Aunque se puede utilizar la regla de bloqueo de dispositivos Plug‑and‑Play para bloquear losdispositivos USB, se recomienda utilizar la regla de bloqueo de dispositivos de almacenamientoextraíbles. El uso de la regla de bloqueo de dispositivos Plug‑and‑Play puede provocar el bloqueototal del concentrador o controlador USB. La regla de bloqueo de dispositivos de almacenamientoextraíbles permite que el dispositivo se inicialice y se registre en el sistema operativo. Además,permite definir el dispositivo como de sólo lectura.



3 Cambie el nombre de la nueva regla de dispositivos y haga doble clic en el icono. Siga los pasosque se facilitan en el asistente.Paso Acción

1 de 3 En la lista disponible, seleccione una o varias definiciones o un grupo dedefiniciones de dispositivos Plug and Play. Puede incluir o excluir definiciones.Haga clic en Agregar elemento para crear una nueva definición de Plug and Play.Haga clic en Agregar grupo para crear un nuevo grupo de Plug and Play. Alfinalizar, haga clic en Siguiente.

2 de 3 Seleccione acciones de la lista de acciones disponibles. De formapredeterminada, al elegir una acción se seleccionan Online y Offline. Desactive laopción que no necesite. Si selecciona Supervisar, haga clic en Gravedad paramodificar el valor. Si selecciona Notificar al usuario, haga clic en Cambiar alertapredeterminada para modificar el mensaje de alerta, la dirección URL o el texto delvínculo.

3 de 3(opcional)


4 Para activar la regla, haga clic con el botón derecho del ratón en el icono de la regla y elija Activar.

Creación y definición de una regla para dispositivos de almacenamiento extraíblesLas reglas de dispositivos de almacenamiento extraíbles son la forma recomendada de bloqueardispositivos USB.

Las reglas de dispositivos TrueCrypt son esencialmente un subconjunto de reglas de dispositivos dealmacenamiento extraíbles que tienen la definición de dispositivos predefinida en la regla, de modoque solo se precisen dos pasos para definir la regla.




2 En el panel Reglas de dispositivos, haga clic con el botón derecho del ratón y seleccione Nuevo | Regla paradispositivos de almacenamiento extraíbles.

Se recomienda el uso de la regla de bloqueo de dispositivos de almacenamiento extraíbles parabloquear los dispositivos USB. Aunque es posible usar la regla de bloqueo de dispositivosPlug‑and‑Play, esto puede provocar el bloqueo total del concentrador o controlador USB. La regla debloqueo de dispositivos de almacenamiento extraíbles permite que el dispositivo se inicialice y seregistre en el sistema operativo. Además, permite definir el dispositivo como de sólo lectura.




1 de 3 Seleccione una definición, varias definiciones o un grupo de dispositivos dealmacenamiento extraíbles de la lista disponible. Puede incluir o excluirdefiniciones. Haga clic en Agregar elemento para crear una nueva definición dedispositivos de almacenamiento extraíbles. Haga clic en Agregar grupo para crearun nuevo grupo de dispositivos de almacenamiento extraíbles. Al finalizar, hagaclic en Siguiente.

2 de 3 Seleccione acciones de la lista de acciones disponibles. De formapredeterminada, al elegir una acción se seleccionan Online y Offline. Desactive laopción que no necesite. Si selecciona Supervisar, haga clic en Gravedad paramodificar el valor. Si selecciona Notificar al usuario, haga clic en Cambiar alertapredeterminada para modificar el mensaje de alerta, la dirección URL o el texto delvínculo. Haga clic en Siguiente.

3 de 3(opcional)


4 Para activar la regla, haga clic con el botón derecho del ratón en el icono de la regla y seleccioneActivar.

Creación y definición de una regla de acceso a archivos de dispositivos dealmacenamiento extraíblesLas reglas de acceso a archivos impiden a los soportes de almacenamiento extraíbles ejecutar lasaplicaciones. Las definiciones de aplicaciones en lista blanca especificadas en el paso 2 proporcionanlistas de archivos específicos exentos de la regla de bloqueo.


1 En el panel de navegación de la consola de directivas de McAfee DLP Endpoint, en Administración dedispositivos, seleccione Reglas de dispositivos.


2 En el panel Reglas de dispositivos, haga clic con el botón derecho del ratón y seleccione Nuevo | Regla deacceso a archivos en dispositivos de almacenamiento extraíble.




Paso 1 de 4 Seleccione una definición, varias definiciones o un grupo de dispositivos dealmacenamiento extraíbles de la lista disponible. Puede incluir o excluir definiciones.Haga clic en Agregar elemento para crear una nueva definición de dispositivos dealmacenamiento extraíbles. Haga clic en Agregar grupo para crear un nuevo grupo dedispositivos de almacenamiento extraíbles. Al finalizar, haga clic en Siguiente.

Paso 2 de 4 Seleccione la opción Seleccionar de la lista y, a continuación, seleccione las extensionesde archivos de la lista disponible. Haga clic en Siguiente.

Paso 3 de 4 Seleccione una o varias aplicaciones en lista blanca de la lista disponible. Haga clicen Agregar para crear una nueva definición de aplicaciones en lista blanca o en Editarpara modificar una definición existente. Al finalizar, haga clic en Siguiente.

Paso 4 de 4 Seleccione uno o varios grupos de asignación, o bien defina un nuevo grupo alhacer clic en Agregar. Haga clic en Finalizar.


Creación y definición de una regla de dispositivos de disco duro fijoLas reglas de dispositivos de disco duro fijo controlan la copia de la información confidencial en lasunidades fijas locales, y permiten configurar a modo de solo lectura las unidades fijas. Las unidadesdinámicas no son compatibles.

Las unidades de arranque y del sistema siempre quedan excluidas de las reglas de dispositivos dedisco duro fijo.




2 En el panel Reglas de dispositivos, haga clic con el botón derecho del ratón y seleccione Nuevo | Regla dedisco duro fijo.


1 de 3 Seleccione una definición, varias definiciones o un grupo de dispositivos dedisco duro fijo de la lista disponible. Puede incluir o excluir definiciones. Hagaclic en Agregar elemento para crear una nueva definición. Haga clic en Agregar grupopara crear un nuevo grupo. Al finalizar, haga clic en Siguiente.

2 de 3 Seleccione acciones de la lista de acciones disponibles. De formapredeterminada, al elegir una acción se seleccionan Online y Offline. Desactive laopción que no necesite. Si selecciona Supervisar, haga clic en Gravedad paramodificar el valor. Si selecciona Notificar al usuario, haga clic en Cambiar alertapredeterminada para modificar el mensaje de alerta, la dirección URL o el texto delvínculo.

3 de 3(opcional)





Creación y definición de una regla de dispositivos CitrixLas reglas de dispositivos Citrix bloquean el funcionamiento de unidades de disquetes, CD, fijas o dered en las sesiones de escritorio de Citrix.Las reglas de dispositivos Citrix no se pueden utilizar con unidades organizativas (OU). Si seselecciona un grupo de asignación de usuarios (UAG) que contenga una OU, la regla no se activará.




2 En el panel Reglas de dispositivos, haga clic con el botón derecho del ratón y seleccione Nuevo | Regla dedispositivos Citrix.

3 Cambie el nombre de la nueva regla de dispositivos (opcional) y haga doble clic en el icono. Sigalos pasos que se facilitan en el asistente.Paso Acción

1 de 2 Seleccione los dispositivos de almacenamiento que desee bloquear. Alfinalizar, haga clic en Siguiente.

2 de 2 (opcional) Seleccione uno o varios grupos de asignación, o bien defina un nuevo grupoal hacer clic en Agregar. Haga clic en Finalizar.


Creación de una definición de aplicaciones en lista blancaLas definiciones de aplicaciones en lista blanca se utilizan en reglas de acceso a archivos de dispositivode almacenamiento extraíbles para excluir específicamente del bloqueo los archivos con nombre.


1 En el panel de navegación de la consola de directivas de McAfee DLP Endpoint, en Administración dedispositivos, seleccione Aplicaciones en lista blanca.

Las aplicaciones de la lista blanca disponibles aparecerán en el panel de la derecha.

2 Haga clic con el botón derecho del ratón en el panel Aplicaciones en lista blanca y seleccione Nuevo |Aplicación en lista blanca.

Aparece el icono de la nueva aplicación en lista blanca.



4 Introduzca un nombre, una descripción (opcional) y el nombre de archivo del ejecutable que deseapermitir ejecutar en los cuadros de texto adecuados.

5 Haga clic en Agregar para agregar el nombre de archivo a la lista. Repita la introducción y adición denombres de archivo según sea necesario.

6 Cuando haya terminado de agregar nombres de archivo, haga clic en Guardar.



Parámetros de dispositivosLos parámetros de dispositivos se usan para definir las definiciones de dispositivos.

En la tabla siguiente se proporcionan definiciones para todos los parámetros utilizados en lasdefiniciones de dispositivos. Indica en qué tipo de dispositivo se encuentra el parámetro y si se puedeimportar como una lista desde un archivo (consulte Administración de parámetros de definición dedispositivos).

Tabla 10-2 Definiciones de dispositivos para dispositivos Plug and Play y dispositivos dealmacenamiento extraíbles

Nombre delparámetro

Encontradoen...

Importarparámetros

Descripción

Tipo de bus Todos Sí Selecciona el tipo de BUS del dispositivo de la listadisponible (Bluetooth, Firewire (IEEE1394), IDE/SATA, PCI, PCMIA, SCSI, USB).

Unidades deCD/DVD

Soloalmacenamientoextraíble

No Se selecciona para indicar cualquier unidad de CD oDVD.

Contenidocifrado porMcAfeeEndpointEncryptionfor Files andFolders

Sóloalmacenamientoextraíble

No Permite indicar un dispositivo protegido por McAfeeEndpoint Encryption for Files and Folders.

Clase dedispositivos

Sólo PnP No Selecciona la clase de dispositivo de la listagestionada disponible.

IDcompatiblescondispositivos

Todos Sí Una lista de descripciones de dispositivos físicos.Resulta especialmente útil con tipos de dispositivosque no son USB ni PCI, ya que éstos últimos seidentifican más fácilmente mediante los ID deproveedor o de dispositivo de PCI o el ID prov./IDprod. de USB.

ID deinstancia deldispositivo(MicrosoftWindows XP/Windows2000)Ruta deacceso a lainstancia deldispositivo(MicrosoftWindowsVista/Windows 7)

Todos Sí Cadena generada por Windows que identifica deforma exclusiva el dispositivo en el sistema. Porejemplo, USB\VID_0930&PID_6533\5&26450FC&0&6.

Nombre dedispositivo

Todos Sí El nombre asociado a un dispositivo de hardware,que representa su dirección física.

Tipo desistema dearchivos

Almacenamientoextraíble y discoduro

No El tipo de sistema de archivos. Para discos duros,seleccione uno de exFAT, FAT16, FAT32 o NTFS. Paralos dispositivos de almacenamiento extraíbles,cualquiera de los anteriores además de CDFS oUDFS.



Tabla 10-2 Definiciones de dispositivos para dispositivos Plug and Play y dispositivos dealmacenamiento extraíbles (continuación)

Nombre delparámetro

Encontradoen...

Importarparámetros

Descripción

Acceso alsistema dearchivos

Sóloalmacenamientoextraíble

No Acceso al sistema de archivos: sólo lectura olectura‑escritura.

Etiqueta devolumen delsistema dearchivos


Sí Etiqueta de volumen definida por el usuario que semuestra en el Explorador de Windows. Se permite lacoincidencia parcial.

Número deserie delvolumen delsistema dearchivos


Sí Número de 32 bits generado automáticamentecuando se crea un sistema de archivos en eldispositivo. Se puede ver si se ejecuta el comando enla línea de comandos dir x:, donde x: es la letra deunidad.

ID deproveedor eID dedispositivoPCI

Todos Sí El ID de proveedor y el ID de dispositivo asociados aldispositivo PCI. Estos parámetros se pueden obtenerde la cadena de ID de hardware de los dispositivosfísicos, por ejemplo, PCI\VEN_8086&DEV_2580&SUBSYS_00000000&REV_04.

DispositivosTrueCrypt

Soloalmacenamientoextraíble

No Se selecciona para especificar un dispositivoTrueCrypt.

Código declase USB

Sólo PnP No Identifica un dispositivo USB físico por sufuncionalidad general. Seleccione el código de claseen la lista disponible.

Número deserie deldispositivoUSB

Almacenamientoextraíble y PnP

Sí Una cadena alfanumérica exclusiva asignada por elfabricante del dispositivo USB, generalmente paradispositivos de almacenamiento extraíbles. El númerode serie es la últtima parte del ID de instancia; porejemplo, USB\VID_3538&PID_0042\00000000002CD8.Un número de serie válido debe tener al menos 5caracteres alfanuméricos y no debe incluirámpersands (&). Si la última parte del ID deinstancia no se ajusta a estos requisitos, no es unnúmero de serie.

ID deproveedor eID deproductoUSB

Almacenamientoextraíble y PnP

Sí El ID de proveedor y el ID de producto asociados aldispositivo USB. Estos parámetros se pueden obtenerde la cadena de ID de hardware de los dispositivosfísicos, por ejemplo: USB\Vid_3538&Pid_0042.

Protección de archivos mediante la gestión de derechosEl software McAfee DLP Endpoint es compatible con Adobe LiveCycle™ Rights Management, MicrosoftWindows Rights Management Services y Seclore FileSecure™ information rights management (IRM).

Actualmente se admiten dos opciones de uso de la gestión de derechos (RM):

Aplicación de la protección de McAfee DLPProtección de archivos mediante la gestión de derechos 10


• El descubrimiento del sistema de archivos de McAfee DLP Endpoint puede aplicar directivas de RM alos archivos detectados en los análisis de descubrimiento.

• Las reglas de protección de correo electrónico, almacenamiento extraíble, sistema de archivos ypublicación web pueden reconocer archivos protegidos de gestión de derechos. Estos archivos sepueden incluir en la regla o excluir de ella.

Adobe RM

McAfee DLP Endpoint admite Adobe LiveCycle Rights Management ES2 y and la extensión paraMicrosoft Office. Puede aplicar protección de gestión de derechos a los siguientes tipos dedocumentos:

• Documentos PDF

• Documentos de Microsoft Word 2003, Word 2007 o Word 2010

• Documentos de Microsoft Excel 2003, Excel 2007 o Excel 2010

• Documentos de Microsoft PowerPoint 2003, PowerPoint 2007 o PowerPoint 2010

Microsoft Windows Rights Management Services

McAfee DLP Endpoint admite Rights Management Services en Windows Server 2003 y Active DirectoryRMS (AD‑RMS) en Windows Server 2008. Es posible aplicar la protección de Windows RightsManagement Services a:

• Documentos de Microsoft Word 2003, Word 2007 o Word 2010

• Documentos de Microsoft Excel 2003, Excel 2007 o Excel 2010

• Documentos de Microsoft PowerPoint 2003, PowerPoint 2007 o PowerPoint 2010

• Documentos de SharePoint 2007

• Documentos de Exchange Server 2007

Seclore IRM

McAfee DLP Endpoint es compatible con Seclore FileSecure RM, que admite más de 140 formatos dearchivo, entre ellos los formatos de documento más usados:

• Documentos de Microsoft Office

• Documentos de Open Office

• PDF

• Formatos de texto y basados en texto, incluidos: CSV, XML y HTML

• Formatos de imagen, incluidos: JPEG, BMP, GIF, etc.

• Formato de diseño de ingeniería, incluidos: DWG, DXF y DWF

El cliente de McAfee DLP Endpoint funciona con el cliente de escritorio FileSecure para proporcionarintegración con DLP tanto online como offline.

Para obtener más información sobre Adobe LiveCycle Rights Management, vaya a http://www.adobe.com/products/livecycle.html. Para obtener más información sobre Microsoft RMS, vaya ahttp://technet.microsoft.com/en‑us/library/cc772403.aspx. Para obtener más información sobreSeclore IRM, vaya a http://seclore.com/seclorefilesecure_overview.html.

10 Aplicación de la protección de McAfee DLPProtección de archivos mediante la gestión de derechos


http://www.adobe.com/products/livecycle.html

http://www.adobe.com/products/livecycle.html

http://technet.microsoft.com/en-us/library/cc772403.aspx

http://seclore.com/seclorefilesecure_overview.html

Funcionamiento de Data Loss Prevention con gestión dederechosLa gestión de derechos (RM) en McAfee DLP Endpoint se gestiona desde la sección RM y cifrado del panelde navegación. En esta sección, se define el servidor de gestión de derechos y se gestionan lasdirectivas de gestión de derechos que utilizan las reglas de descubrimiento del sistema de archivos ylas reglas de protección de correo electrónico, almacenamiento extraíble y publicación web.

Al seleccionar la acción Aplicar directiva de gestión de derechos en una regla de descubrimiento del sistema dearchivos, deberá especificar la directiva y el servidor de gesión de derechos como propiedades.

Flujo de trabajo de Adobe LiveCycle Rights Management

Cuando el software McAfee DLP Endpoint que aplica la regla de descubrimiento del sistema de archivosencuentra un archivo que proteger, lo envía al servidor de gestión de derechos. La protección se aplicaen función de la directiva seleccionada y el archivo se envía de nuevo al equipo gestionado. Si laoperación falla en el servidor de gestión de derechos (debido a que no puede conectarse al servidorpor algún motivo) el archivo se supervisa y el evento (error de gestión de derechos) se envía a laconsola de Administrador de incidentes de DLP. Si la operación falla en el McAfee DLP Endpoint (porejemplo, intenta proteger un tipo de archivo no compatible), el archivo se supervisa; sin embargo, noaparece ningún evento de error en la pantalla de Administrador de incidentes de DLP.

Debe activar el evento Error al aplicar la directiva de gestión de derechos en Configuración de los agentes | Eventos yregistro para que el evento se registre.

Figura 10-2 Diagrama de flujo de la protección de Adobe LiveCycle Rights Management

Se recomienda crear un conjunto de directivas en Adobe LiveCycle Rights Management Serverexclusivamente para las directivas empleadas con McAfee DLP Endpoint. Al menos una directiva delconjunto de directivas debe estar activada para que el conjunto aparezca en el cuadro de diálogo desincronización de directivas. Si desactiva una directiva en el servidor de gestión de derechos, ésta seelimina de la página de directivas de gestión de derechos cuando se vuelve a realizar la sincronización.Si la directiva desactivada se utiliza en una regla de descubrimiento del sistema de archivos, no seelimina sino que pasa a estar Inactiva (con un icono diferente) y crea un error en el Analizador dedirectivas de DLP.

Si una directiva está desactivada en el servidor de gestión de derechos pero no vuelve a realizar lasincronización, la directiva permanece activa. Cuando el software McAfee DLP Endpoint intenta aplicarla directiva, se envía el evento Fallo de protección administrativa de gestión de derechos al Administrador deincidentes de DLP.



Limitaciones

McAfee DLP Endpoint no inspecciona los archivos protegidos mediante la gestión de derechos enrelación con el contenido. Cuando un archivo marcado está protegido por gestión de derechos, sólo semantienen las marcas estáticas (ubicación y aplicación). Si un usuario modifica el archivo, todas lasmarcas se pierden al guardar el archivo.

Flujo de trabajo de Windows Rights Management Services

Cuando el software McAfee DLP Endpoint que aplica la regla de descubrimiento del sistema de archivosencuentra un archivo que proteger, utiliza el GUID de la plantilla como identificador exclusivo paralocalizar la plantilla y aplicar la protección.

Figura 10-3 Diagrama de flujo de la protección de Windows Rights Management Services

Con Windows Rights Management Services, McAfee DLP Endpoint puede inspeccionar el contenido delos archivos protegidos si el usuario actual dispone de permisos de visualización.

Usuarios de Adobe Rights ManagementMcAfee Data Loss Prevention requiere dos tipos de usuarios de Adobe LiveCycle Rights Management.

Los usuarios de Adobe LiveCycle Rights Management se mencionan en la definición de servidor deRights Management. Para que se puedan utilizar en McAfee DLP Endpoint, deben crearse y, asimismo,deben definirse sus funciones en la sección Configuración | Admin. de usuarios del servidor ES2 de AdobeLiveCycle Rights Management. En todos los casos, los usuarios de McAfee DLP Endpoint deben estarincluidos en la lista Editor del documento para el conjunto de directivas de DLP y deben tener lafunción de usuario de servicios. Se establecen en el servidor de gestión de derechos por parte deladministrador de Adobe LiveCycle Rights Management.



• McAfee DLP Endpoint McAfee DLP Endpoint: inicia sesión en el servidor de Adobe y sincronizalas directivas.

• McAfee DLP Endpoint Endpoint: aplica directivas de RM a los archivos del equipo gestionado.Hay dos modos de configurar este usuario.

• Mediante autenticación de Windows: el usuario debe tener las credenciales de Kerberos(nombre principal del servicio: SPN) definidas en el servidor de Adobe LiveCycle. Para obtenerinformación detallada, consulte la Ayuda de Adobe LiveCycle.

• Mediante autenticación de Adobe LiveCycle: el usuario debe estar incluido en la lista Editor deldocumento para el conjunto de directivas de DLP y debe tener la función de Usuario deservicios.

Definición del servidor de Adobe RM y sincronización dedirectivasConfigure los usuarios en Adobe LiveCycle Rights Management Server con las funciones y los permisosadecuados.


1 En el panel de navegación de la consola de directivas de McAfee DLP Endpoint, seleccione Gestión dederechos y cifrado | Servidores de gestión de derechos.

2 En el panel Servidores de gestión de derechos, haga clic con el botón derecho del ratón y seleccione Nuevo| Adobe LiveCycle Rights Management Server.

3 Haga doble clic en el icono de regla. Aparecerá el cuadro de diálogo de Adobe LiveCycle RightsManagement Server.

4 Introduzca la ruta de acceso URL del servidor de gestión de derechos de Adobe, así como elnombre de usuario y la contraseña de gestión de derechos de Adobe, y, a continuación, pruebe laconexión.

Se recomienda crear un único conjunto de directivas para todas las directivas relacionadas con DLP.El usuario nombrado debe ser un Editor del documento para este conjunto de directivas.

5 Introduzca las credenciales del usuario del agente de DLP.

6 Seleccione la casilla de verificación Importar directivas de RM en caso de aceptar para sincronizarinmediatamente y, a continuación, haga clic en Aceptar.

Si no selecciona la casilla de verificación, puede realizar la sincronización en cualquier momentodesde el menú contextual. Deberá sincronizar directivas para utilizar directivas de gestión dederechos en las reglas de descubrimiento de DLP.

Al realizar la sincronización, aparece el cuadro de diálogo Adobe LiveCycle Rights Management Servercon una lista de todos los conjuntos de directivas disponibles para el usuario conectado.

7 Seleccione los conjuntos de directivas para importar. Todas las directivas activadas en el conjuntose importan y se pueden ver en el panel Directivas de gestión de derechos.

Definición de un servidor de Microsoft Rights ManagementService y sincronización de plantillasConfigure los usuarios en el servidor de Microsoft Rights Management Service con las funciones y lospermisos adecuados.





2 En el panel Servidores de gestión de derechos, haga clic con el botón derecho del ratón y seleccione Nuevo| Servidor Microsoft RMS.

3 Haga doble clic en el icono de regla.

Aparecerá el cuadro de diálogo del Servidor Microsoft RMS.

4 Haga clic en Editar para configurar el origen de las plantillas RMS. Introduzca la ruta de acceso y lacontraseña, en caso necesario. Haga clic en Aceptar.

Puede recuperar plantillas desde un recurso compartido de red o desde un servicio web.

5 Especifique la URL del servidor RMS o seleccione Usando el descubrimiento de servicios automático paralocalizar el servidor.

6 Introduzca un ID de usuario para especificar un usuario concreto, o bien seleccione la opción Usarusuario que ha iniciado sesión de endpoint.

7 Seleccione la casilla de verificación Importar plantillas RMS en caso de aceptar para sincronizar directivasinmediatamente y, a continuación, haga clic en Aceptar.

Si no selecciona la casilla de verificación, puede realizar la sincronización en cualquier momentodesde el menú contextual. Deberá sincronizar las directivas para utilizar plantillas RMS en lasreglas de descubrimiento de sistema de McAfee DLP Endpoint.

Existe una opción de configuración en las plantillas RMS mediante la que permitir navegadores deconfianza, como la actualización de Rights Management para Internet Explorer, a fin de ver elcontenido de documentos protegidos de RMS. Esta opción NO es compatible con el software McAfeeDLP Endpoint. Si una regla de descubrimiento de sistema de McAfee DLP Endpoint aplica unaplantilla de ese tipo, los archivos protegidos no podrán verse en navegadores de confianza.

8 Seleccione Directivas de gestión de derechos en el panel de navegación para ver las plantillas importadas.

Definición de un servidor Seclore y sincronización de directivasEl cliente de McAfee DLP Endpoint se integra con el cliente de escritorio Seclore FileSecure para eldescubrimiento del sistema de archivos y la creación de reglas de protección.

Antes de empezarConfigure un servidor Seclore FileSecure y cree usuarios y directivas. Para poder configurarla integración con McAfee DLP Endpoint deberá conocer las direcciones URL de servidorpara todos los servidores disponibles, el ID de archivo CAB de Hot Folder y la frase decontraseña.

La sincronización de servidor Seclore es compatible en ePolicy Orchestrator. No puede configurar laintegración con Seclore desde una extensión independiente de McAfee DLP Endpoint.





2 En el panel Servidores de gestión de derechos, haga clic con el botón derecho del ratón y seleccione Nuevo| Servidor Seclore FileSecure.

3 Haga doble clic en el icono de regla. Aparece el cuadro de diálogo Seclore Fileserver.

4 Edite el Nombre si es necesario, y escriba la Descripción (opcional).

5 Escriba una dirección URL de servidor de directivas Seclore y haga clic en Agregar para añadirla a lalista. Repita el procedimiento hasta que aparezcan en la lista todos los servidores disponibles.

Seclore admite varios servidores. La API de Seclore elige el servidor al que se va a conectar.

6 Escriba el ID de archivo CAB de Hot Folder de Seclore y la frase de contraseña y haga clic en Probarconexión para comprobar que puede conectarse al servidor.

El botón Probar conexión no está disponible si está ejecutando una versión independiente de laconsola de directivas de McAfee DLP Endpoint.

Es posible que la conexión falle si está ejecutando una versión de evaluación de FileSecure. En casode que esto ocurra, póngase en contacto con el representante del servicio de atención al cliente deMcAfee para encontrar una solución provisional.

7 Selecciones los tipos de licencia aplicables.

8 Seleccione Importar Hot Folders en caso de aceptar (opcional). Haga clic en Aceptar.

Si no elige importar en el momento en que crea la definición, siempre puede importar en cualquiermomento al seleccionar Sincronizar en el menú del botón derecho. También debería sincronizarcuando se actualizan las directivas del servidor.

Los Hot folders y las descripciones del servidor aparecen en el panel Gestión de derechos y cifrado | Directivasde gestión de derechos. Utilice estas directivas para definir las reglas de protección y descubrimiento.

Control del contenido de carácter confidencial con reglas deprotección

Las reglas de protección controlan el flujo de datos mediante la definición de la acción realizadacuando se intenta transferir o transmitir información confidencial. Esto se lleva a cabo mediante lavinculación de acciones con definiciones, marcas y categorías de contenido, así como con grupos deasignación de usuarios.

Puede definir reglas de protección para incluir o excluir marcas, extensiones de archivo o propiedadesde documento específicas. También puede especificar tipos de archivo, usuarios y cifrado (incluida laprotección mediante contraseñas). (No todas las opciones están disponibles para todas las reglas.)Estas opciones permiten la creación de reglas con considerable granularidad.

Cuando se excluyen marcas o categorías de contenido en reglas de protección, la regla de exclusiónfunciona en relación con la regla de inclusión. Se debe incluir al menos una marca o categoría decontenido para excluir cualquier otra marca o categoría de contenido.

Aplicación de la protección de McAfee DLPControl del contenido de carácter confidencial con reglas de protección 10


Funcionamiento con TrueCryptLos dispositivos virtuales cifrados TrueCrypt pueden protegerse con las reglas de dispositivosTrueCrypt o con reglas de protección de almacenamiento extraíble. Utilice una regla de dispositivos sidesea bloquear o supervisar un volumen TrueCrypt o para que solo sea de lectura. Utilice una regla deprotección si desea una protección basada en el contenido para los volúmenes TrueCrypt. Debe activarla opción TrueCrypt en la marca Configuración de los agentes | Configuración avanzada para poder usar las reglasde protección de almacenamiento extraíble con el fin de proteger los volúmenes TrueCrypt .

Los volúmenes TrueCrypt no son compatibles con los atributos extendidos de un archivo, lo que provocaque el contenido marcado que se copie en los volúmenes TrueCrypt pierda sus marcas. Sin embargo,puede especificar los tipos de archivos, extensiones de archivo, propiedades del documento, tipos decifrado o grupos de asignación de usuario para definir la regla de protección.

Reglas de protección del Portapapeles mejoradasLas reglas de protección del Portapapeles bloquean el uso del Portapapeles para copiar datosconfidenciales.

Las reglas de protección del Portapapeles controlan el uso del Portapapeles. El contenido bloqueado sepuede limitar a los datos copiados desde sitios web o aplicaciones especificados, que tengan marcasespecíficas o categorías de contenido o que los hayan copiado determinados usuarios o grupos deusuarios.

Es posible permitir la operación de pegado en la misma aplicación desde la que se copió el contenido,únicamente el mismo documento o en aplicaciones específicas, con el resto de posibilidadesbloqueadas. Ciertas aplicaciones se pueden incluir o excluir (permitir o bloquear) y pueden incluir tiposde aplicaciones ICQ, IM y Skype que no se podían bloquear en las versiones anteriores del softwareMcAfee DLP Endpoint.

Comportamiento Pegar enLa opción predeterminada es bloquear el pegado que ocurra fuera de la aplicación actual. Esta opciónpermite pegar en el documento o entre documentos que haya abierto la misma aplicación. La otraopción consiste en especificar, mediante las casillas de verificación Incluir y Excluir, que aplicacionesestán permitidas y cuales bloqueadas. Al usar esta opción, siempre está permitido pegar en eldocumento actual, pero la función de pegar entre documentos en la aplicación actual está bloqueada amenos que la aplicación se excluya de forma específica de la regla.

AccionesLas acciones de la regla de protección del Portapapeles incluyen Bloquear, Supervisar, Almacenar pruebas yNotificar al usuario. Si se van a almacenar pruebas, también se debe seleccionar la acción Supervisar. Alseleccionar la acción Notificación al usuario se activa la ventana emergente de notificación al usuario(el Mensaje de notificación de los agentes del portapapeles en la ficha Configuración de los agentes | Servicio de interfazde usuario ya no aparece atenuado y se puede editar). El texto del portapapeles no se sustituye con unanotificación, como en la versiones anteriores del softwareMcAfee DLP Endpoint. La acción Bloquear yano es obligatoria, como en la versiones anteriores del software McAfee DLP Endpoint; la acciónSupervisar (independiente) también es una opción.

LimitacionesEl hecho de abrir un nuevo documento en el menú Archivo no se reconoce como un nuevo documento,y sigue estando permitido copiar en él.

Funcionamiento de las reglas de protecciónLas reglas de protección especifican el método de transferencia, las marcas con nombre y cómo debereaccionar el sistema cuando se transfieren datos. A cada evento se le asigna un nivel de gravedad y

10 Aplicación de la protección de McAfee DLPControl del contenido de carácter confidencial con reglas de protección


las opciones para responder al evento. Hay casos en los que las reglas de protección simplementeregistran el evento. En otros, pueden impedir la transferencia de datos y comunicar al usuario lainfracción. Las reglas de protección se aplican, opcionalmente, a los grupos de asignación. Estopermite que una regla se aplique sólo a determinados grupos de usuarios.

Las reglas de protección definen la acción realizada cuando se produce un intento de transferir otransmitir datos marcados. En las tablas siguientes se describen las acciones disponibles para cadaregla, los tipos de contenido asociados con las reglas y si la alerta predeterminada que aparececuando se activa la regla es o no personalizable.

Al seleccionar Notificar al usuario y se activan varios eventos, la ventana emergente muestra el mensaje:Hay nuevos eventos DLP en su consola de DLP en lugar de mostrar múltiples ventanas emergentes.

Tabla 10-3 Matriz de acciones o reglas

Reglas

Acciones


Regla de dispositivos Citrix Pr

Regla de dispositivos de discoduro fijo D/A D/A D/A D/A

Reglas de dispositivos Plugand Play D/A D/A D/A

Reglas de dispositivos dealmacenamiento extraíbles(incluye las reglas de losdispositivos TrueCrypt)

D/A D/A D/A D/A

Reglas de dispositivos deacceso a archivos endispositivos dealmacenamiento extraíbles

Pr P 1


Reglas de protección deacceso a archivos poraplicaciones

D/A D/A D/A

Reglas de protección delPortapapeles Pr D/A D/A D/A

Reglas de protección decorreo electrónico D/A D/A D/A D/A D/A

Reglas de protección delsistema de archivos D/A D/A D/A D/A D/A

Reglas de protección decomunicaciones de la red D/A D/A D/A

Reglas de protección deescritor de PDF/imágenes D/A D/A D/A D/A

Reglas de protección contraimpresión D/A D/A D/A D/A D/A



Tabla 10-3 Matriz de acciones o reglas (continuación)

Reglas

Acciones

Reglas de protección dealmacenamiento extraíble D/A D/A D/A D/A D/A D/A

Reglas de protección contracapturas de pantalla D/A D/A D/A D/A

Reglas de protección de lapublicación web D/A D/A D/A D/A D/A


Reglas de descubrimiento delsistema de archivos D/A D/A D/A 2 D/A D/A D/A D/A

Reglas de descubrimiento decorreo electrónico D/A D/A D/A D/A D/A

Tabla 10-4 Matriz de contenido o reglas

ReglasTipos de contenido Cambiar alerta

predeterminadaMarcas Categorías

de contenidoPropiedades

de documentoTipos decifrado


Regla de dispositivosCitrix

Regla de dispositivos dedisco duro fijo D/A

Reglas de dispositivosPlug‑and‑Play D/A

Reglas de dispositivosde almacenamientoextraíbles

D/A

Reglas de dispositivosde acceso a archivos endispositivos dealmacenamientoextraíbles

Reglas de marcado

Reglas de marcadobasadas en aplicaciones D/A

Reglas de marcadobasadas en ubicación D/A

Reglas de clasificación

Reglas de clasificacióndel contenido D/A

Reglas de marcado dedocumentos registrados D/A




Tabla 10-4 Matriz de contenido o reglas (continuación)

ReglasTipos de contenido Cambiar alerta

predeterminadaMarcas Categorías

de contenidoPropiedades

de documentoTipos decifrado

Reglas de protección deacceso a archivos poraplicaciones

D/A D/A D/A

Reglas de protección delPortapapeles D/A D/A D/A

Reglas de protección decorreo electrónico D/A D/A D/A D/A D/A

Reglas de protección delsistema de archivos D/A D/A D/A D/A D/A

Reglas de protección decomunicaciones de lared

D/A D/A

Reglas de protección deescritor de PDF/imágenes

D/A

Reglas de proteccióncontra impresión D/A D/A D/A

Reglas de protección dealmacenamientoextraíble

D/A D/A D/A D/A D/A

Reglas de proteccióncontra capturas depantalla

D/A D/A

Reglas de protección dela publicación Web D/A D/A D/A D/A D/A


Reglas dedescubrimiento delsistema de archivos

D/A D/A D/A D/A

Reglas dedescubrimiento decorreo electrónico

D/A D/A D/A D/A

Leyenda (para ambas tablas) Notas

D/A disponible (para acciones)asociado (para tipos de contenido)

1 Windows muestra un mensaje. McAfee DLP Endpoint nomuestra un mensaje.

Pr predeterminado

P parcial 2 Como alternativa, Eliminar (no se recomienda) debeactivarse en Herramientas | Opciones.



Definiciones y cómo definen las reglasLas definiciones son los bloques de construcción principales para crear reglas. Debe crear unadefinición para cada categoría que desee controlar. Cuando se modifica una definición, ésta se propagaautomáticamente por todas las reglas que la utilizan.

Las definiciones permiten personalizar el sistema con el fin de implementar la directiva de seguridadde la empresa, así como otros requisitos, como son los asuntos relacionados con la conformidad y lalegislación sobre la privacidad. La personalización de estas definiciones supone un método eficaz demantener las directivas de la empresa.

Las definiciones se pueden asignar a cualquier regla nueva o existente. Los cambios surten efectoinmediato al volver a desplegar la directiva del sistema en los agentes.

Las definiciones se crean en dos pasos: en primer lugar, se crea la definición (haga clic con el botónderecho del ratón y seleccione Nuevo) y, a continuación, se define (haga doble clic en la nuevadefinición). Estos dos pasos deben realizarse siempre uno a continuación del otro. Si deja unadefinición vacía (sin definir) se generará, en la mayoría de los casos, un error al intentar aplicar ladirectiva a ePolicy Orchestrator. Como mínimo, generará una advertencia.

Tabla 10-5 Definiciones y las reglas de marcado y protección que las utilizan

Definición Reglas de marcado/clasificación asociadas

Reglas de protección asociadas

Aplicación Marcado basado en la aplicación Acceso a archivos por aplicaciones,Portapapeles, Sistema de archivos,Comunicaciones de la red, Impresión,Dispositivos de almacenamientoextraíbles, Capturas de pantalla

Diccionario Clasificación del contenido No aplicable

Destino de correoelectrónico

No aplicable Correo electrónico

Extensión de archivo Se basa en aplicación, se basa enubicación

Protección de acceso a archivo deaplicación, Protección del correoelectrónico, Protección del sistema dearchivos, Protección de comunicacionesde la red, Protección de almacenamientoextraíble, Protección de la publicaciónWeb

Servidor de archivos No aplicable Protección del sistema de archivos

Red No aplicable Protección de comunicaciones de la red

Impresora No aplicable Protección contra impresión

Repositorio dedocumentos registrados

Clasificación de documentoregistrado

No aplicable

Categoría de marca/contenido

Marcado basado en la aplicación,Marcado basado en la ubicación,Clasificación del contenido,Clasificación de documentoregistrado

Todas las reglas de protección

Patrón de texto Clasificación del contenido,Marcado basado en la aplicación,Marcado basado en la ubicación

No aplicable



Tabla 10-5 Definiciones y las reglas de marcado y protección que las utilizan

Definición Reglas de marcado/clasificación asociadas

Reglas de protección asociadas

Destino web No aplicable Protección de la publicación Web

Lista blanca No aplicable No aplicable

Si también trabaja con McAfee Endpoint Encryption for Files and Folders, tenga en cuenta que lainclusión de procesos de McAfee DLP Endpoint en una lista de Procesos bloqueados de McAfee EndpointEncryption for Files and Folders impedirá que se activen las reglas de protección con definiciones cifradoy puede provocar un mal funcionamiento de McAfee DLP Endpoint.

Creación y definición de una regla de protección de acceso a archivos de laaplicaciónLas reglas de protección de acceso a archivos de la aplicación supervisan o bloquean los archivos enfunción de la aplicación o aplicaciones que los han creado. Gracias a la posibilidad de seleccionardistintas combinaciones de definiciones de aplicaciones y extensiones de archivo, cuenta con formasmuy específicas de determinar qué archivos se deben bloquear.

Es posible especificar categorías de contenido y marcas para filtrar la regla.


1 En el panel de navegación de la consola de directivas de McAfee DLP Endpoint, seleccione Protecciónde contenido | Reglas de protección.

Las reglas de protección disponibles aparecerán en el panel de la derecha.

2 En el panel Reglas de protección, haga clic con el botón derecho del ratón y seleccione Nuevo | Regla deprotección de acceso a archivos de la aplicación.





1 de 7 Seleccione una o varias definiciones de aplicaciones de la lista disponible. Puedeincluir o excluir definiciones. Haga clic en Agregar elemento para crear una nuevadefinición de aplicaciones. Haga clic en Siguiente.

Es necesario seleccionar al menos una definición de aplicación, la cual no debetener las estrategias Explorador o De confianza. Se genera un mensaje de errorsi se infringe esta regla.

2 de 7 Seleccione las categorías de contenido o las marcas disponibles que se van aincluir o excluir de la regla. Debe incluir al menos una marca o categoría decontenido para usar la opción de exclusión de marcas. Haga clic en Agregarelemento para crear una marca. Haga clic en Siguiente.

3 de 7(opcional)


4 de 7(opcional)


Las extensiones .dll y .exe están preseleccionadas como Excluir. Esto se debe aque ciertas aplicaciones abren muchos archivos de este tipo y su inclusión puedeprovocar una disminución de rendimiento importante. Es posible anular laselección de la exclusión para aumentar la protección, pero tenga en cuenta elefecto potencial en el rendimiento.

5 de 7(opcional)

Seleccione una definición o un grupo de definiciones de propiedades dedocumentos de la lista disponible. Puede incluir o excluir definiciones. Haga clicen Agregar elemento para crear una nueva definición de propiedades dedocumentos o en Agregar grupo para crear un nuevo grupo de propiedades dedocumentos. Haga clic en Siguiente.

6 de 6 Seleccione acciones de la lista de acciones disponibles. De formapredeterminada, al elegir una acción se seleccionan Online y Offline. Desactive laopción que no necesite. Las únicas opciones para las reglas de acceso aarchivos de la aplicación son Supervisar, Notificar al usuario y Almacenarpruebas. Si selecciona Supervisar, haga clic en Gravedad para modificar el valor.

7 de 7(opcional)


Se pueden incluir o excluir marcas y extensiones de archivo, así como definiciones de aplicaciones.


Creación y definición de una regla de protección del PortapapelesLas reglas de protección del Portapapeles bloquean el uso del Portapapeles para copiar datosconfidenciales.

La protección del Portapapeles se ha mejorado para incluir los siguientes elementos:



• Bloqueo de las operaciones de copia y pegado desde cualquier aplicación a ICQ o mensajeríainstantánea

• Bloqueo de las operaciones de copia y pegado de cualquier dato a Skype

• Bloqueo de las operaciones de copia y pegado desde las aplicaciones de Microsoft Office (Word,Excel y PowerPoint) a Microsoft Office Communicator

Estas mejoras se añaden a las funciones anteriores de:

• Bloqueo de las operaciones de copia y pegado desde Microsoft Word, Excel y PowerPoint a cualquierotra aplicación (es decir, solo se permiten las operaciones de copia y pegado de Word a Word, deExcel a Excel y de PowerPoint a PowerPoint)

• Bloqueo de las operaciones de copia y pegado desde un documento de Word a otro

Los procesos de confianza no forman parte de la lógica de las reglas del Portapapeles. Las reglas delPortapapeles pueden bloquear las aplicaciones con una estrategia De confianza.




2 En el panel Reglas de protección, haga clic con el botón derecho del ratón y seleccione Nuevo | Regla deprotección del Portapapeles.





1 de 6(opcional)

Seleccione una o varias definiciones de aplicaciones de la lista disponible. Puedeincluir o excluir definiciones. Haga clic en Agregar elemento para crear una nuevadefinición de aplicaciones. Haga clic en Siguiente.

2 de 6(opcional)

Introduzca el título de una determinada ventana de aplicaciones y haga clic enAgregar. Repita la acción según corresponda. Haga clic en Siguiente.

3 de 6(opcional)

Seleccione las marcas, las categorías de contenido y los grupos que se van aincluir o excluir de la regla. Debe incluir al menos una marca, categoría decontenido o grupo para usar la opción de exclusión. Haga clic en Agregar elementopara crear una nueva marca o categoría de contenido. Haga clic en Agregar grupopara crear un nuevo grupo de categorías de contenido y marcas. Haga clic enSiguiente.

4 de 6 Seleccione la limitación de pegado. De forma predeterminada, la reglabloqueará las opciones de pegado fuera de la aplicación actual. La segundaopción consiste en restringir las operaciones de pegado en distintosdocumentos en la aplicación actual. Esta regla más restrictiva también bloquealas operaciones de pegado en el cuadro de diálogo de búsqueda y sustitución,pero evita que se copie información confidencial de documentos marcados adocumentos sin marca en la misma aplicación. La tercera opción consiste enbloquear las operaciones de pegado en las aplicaciones especificadas, ya seamediante la inclusión o la exclusión de las aplicaciones seleccionadas.

5 de 6 Seleccione acciones de la lista de acciones disponibles. De formapredeterminada, al elegir una acción se seleccionan Online y Offline. Desactive laopción que no necesite. Si selecciona Supervisar, haga clic en Gravedad paramodificar el valor. Si selecciona Notificar al usuario, haga clic en Cambiar alertapredeterminada para modificar el mensaje de alerta. Haga clic en Siguiente.

6 de 6(opcional)


Se pueden incluir o excluir marcas, así como definiciones de aplicaciones.


Creación y definición de una regla de protección de correo electrónicoLas reglas de protección del correo electrónico supervisan o bloquean los mensajes de correoelectrónico que se envían a determinados destinos o usuarios.

Antes de empezarA fin de activar la compatibilidad con Lotus Notes, seleccione el Administrador de LotusNotes en la ficha Configuración de los agentes | Varios. Se recomienda desactivar losadministradores que no se utilicen.

En los sistemas en que están disponibles tanto Microsoft Exchange como Lotus Notes, lasreglas de correo electrónico no funcionarán si el nombre del servidor de correo electrónicosaliente (SMTP) no está configurado en ambos.

Para usar Titus Message Classifications como categorías de contenido, consulte la secciónsobre la configuración de la integración y compruebe que las opciones de configuración delos agentes que se especifican en dicha sección sean correctos.






2 En el panel Reglas de protección, haga clic con el botón derecho del ratón y seleccione Nuevo | Regla deprotección de correo electrónico.





1 de 9(opcional)

Seleccione la opción Seleccionar de la lista y seleccione una o más definiciones dedestino de correo electrónico. Haga clic en Agregar elemento para crear unadefinición de destino de correo electrónico o en Agregar grupo para crear un grupode destino. Haga clic en Siguiente.

2 de 9(opcional)

Seleccione las marcas, las categorías de contenido y los grupos que se van aincluir o excluir de la regla. Debe incluir al menos una marca para usar laopción de exclusión de marcas. Haga clic en Agregar elemento para crear unanueva marca o categoría de contenido. Haga clic en Agregar grupo para crear unnuevo grupo de categorías de contenido y marcas. Haga clic en Siguiente.

3 de 9(opcional)


4 de 9(opcional)

Seleccione la opción Seleccionar de la lista y, a continuación, seleccione lasextensiones de archivos de la lista disponible. Haga clic en Siguiente. Puedeincluir o excluir extensiones de archivo.

5 de 9(opcional)


6 de 9(opcional)

Para aplicar la regla a datos adjuntos de tipos de cifrado específicos, seleccionela opción Seleccionar de la lista y seleccione uno o más tipos de cifrado de archivosadjuntos.

7 de 9(opcional)

Función de omisión de correo electrónico: para excluir un correoelectrónico en función de su línea de asunto, seleccione No aplicar esta regla si elasunto de los correos electrónicos contiene este patrón y seleccione un patrón.

Los patrones de texto deben estar predefinidos y sólo puede usarse uno porregla.

8 de 9 Seleccione acciones de la lista de acciones disponibles. De formapredeterminada, al elegir una acción se seleccionan Online y Offline. Desactive laopción que no necesite. Si selecciona Supervisar, haga clic en Gravedad paramodificar el valor. Si selecciona Notificar al usuario, haga clic en Cambiar alertapredeterminada para modificar el mensaje de alerta, la dirección URL o el texto delvínculo. Si desea que Solicitar justificación bloquee el correo electrónico cuando nose proporcione justificación, deberá seleccionar también Bloquear. Haga clic enSiguiente.

9 de 9(opcional)



Véase también Cómo se controla el contenido de carácter confidencial en el correo electrónico en la página 85



Creación y definición de una regla de protección del sistema de archivosLas reglas de protección del sistema de archivos protegen los archivos de determinados servidores dearchivos o dispositivos de almacenamiento masivo. Los archivos pueden supervisarse, pero nobloquearse. Se pueden guardar pruebas y avisar al usuario de que se están supervisando archivos.Pueden especificarse aplicaciones, tipos de archivos, extensiones de archivos o marcas para limitar laregla.




2 En el panel Reglas de protección, haga clic con el botón derecho del ratón y seleccione Nuevo | Regla deprotección del sistema de archivos.





1 de 9 Seleccione un destino o destinos donde enviar los archivos. Si seleccionaServidores de archivos, se abrirá la ventana Configurar selección. Introduzca una rutade red y haga clic en Agregar o haga clic en Examinar para seleccionar un nuevodestino de red y, a continuación, haga clic en Agregar para agregarlo a la lista.Haga clic en Siguiente.

2 de 9(opcional)

Seleccione una o varias definiciones de aplicaciones de la lista disponible.Puede incluir o excluir definiciones. Haga clic en Agregar elemento para crear unanueva definición de aplicaciones. Haga clic en Siguiente.

3 de 9(opcional)


4 de 9(opcional)


5 de 9(opcional)


6 de 9(opcional)


7 de 9(opcional)

Para aplicar la regla a archivos con tipos de cifrado específicos, seleccione laopción Seleccionar de la lista, y seleccione uno o más tipos de cifrado.

8 de 9 Seleccione acciones de la lista de acciones disponibles. De formapredeterminada, al elegir una acción se seleccionan Online y Offline. Desactive laopción que no necesite. Si selecciona Supervisar, haga clic en Gravedad paramodificar el valor. Si desea que Solicitar justificación cifre archivos cuando no seproporcione justificación, deberá seleccionar también Cifrar. Haga clic enSiguiente.

9 de 9(opcional)






Creación y definición de una regla de protección de comunicaciones de laredLas reglas de protección de comunicaciones de la red supervisan o bloquean los datos que entran osalen de su red. Puede limitar la regla con aplicaciones o marcas específicas.

McAfee DLP Endpoint versión 9.3 usa un nuevo controlador de red (McAfee FireCore, una infraestructurade interceptación de red compartida con otros productos individuales de McAfee). Como resultado deeste cambio, las reglas de protección de comunicaciones de la red solo son compatibles con sistemasoperativos Windows que no son servidores.




2 En el panel Reglas de protección, haga clic con el botón derecho del ratón y seleccione Nuevo | Regla deprotección de comunicaciones de la red.





1 de 7(opcional)

Seleccione la opción Seleccionar de la lista y, a continuación, seleccione uno ovarios intervalos de direcciones de red disponibles. Puede proteger o excluirdefiniciones del intervalo. Haga clic en Agregar elemento para crear una definiciónde intervalo de direcciones de red. Haga clic en Agregar grupo para crear ungrupo de intervalos de direcciones de red. Haga clic en Siguiente.

2 de 7(opcional)

Seleccione la opción Seleccionar de la lista y, a continuación, seleccione uno ovarios intervalos de puertos de red disponibles. Puede proteger o excluirdefiniciones del intervalo. Haga clic en Agregar elemento para crear una definiciónde intervalo de puertos de red. Haga clic en Agregar grupo para crear un grupo deintervalos de puertos de red. Haga clic en Siguiente.

3 de 7 Seleccione la dirección de conexión de red. Puede proteger las conexionessalientes o las entrantes, o ambas. Haga clic en Siguiente.

4 de 7(opcional)


5 de 7(opcional)

Seleccione las marcas que se van a incluir o excluir de la regla. Debe incluir almenos una marca para usar la opción de exclusión de marcas. Haga clic enAgregar elemento para crear una marca. Haga clic en Siguiente.

6 de 7 Seleccione acciones de la lista de acciones disponibles. De formapredeterminada, al elegir una acción se seleccionan Online y Offline. Desactive laopción que no necesite. Si selecciona Supervisar, haga clic en Gravedad paramodificar el valor. Si selecciona Notificar al usuario, haga clic en Cambiar alertapredeterminada para modificar el mensaje de alerta, la dirección URL o el textodel vínculo. Haga clic en Siguiente.

7 de 7(opcional)




Creación y definición de una regla de protección de escritor de PDF/imágenesEl software McAfee DLP Endpoint puede bloquear los controladores de impresión de escritor de PDF eimágenes que imprimen en archivos.




2 En el panel Reglas de protección, haga clic con el botón derecho del ratón y seleccione Nuevo | Regla deprotección de escritura de PDF/imágenes.





1 de 2 Seleccione acciones de la lista de acciones disponibles. De formapredeterminada, al elegir una acción se seleccionan Online y Offline. Desactive laopción que no necesite. Si selecciona Supervisar, haga clic en Gravedad paramodificar el valor. Si selecciona Notificar al usuario, haga clic en Cambiar alertapredeterminada para modificar el mensaje de alerta, la dirección URL o el texto delvínculo. Si desea que Solicitar justificación bloquee la impresión cuando no seproporcione justificación, deberá seleccionar también Bloquear. Haga clic enSiguiente.

2 de 2(opcional)



Creación y definición de una regla de protección contra impresiónLas reglas de protección contra impresión supervisan o bloquean la impresión de los archivos. Puedelimitar la regla a determinadas aplicaciones o marcas.

Los complementos de impresora, que se activan en la ficha Configuración de los agentes | Varios, puedenmejorar el rendimiento de la impresora cuando se utilizan determinadas aplicaciones comunes. Loscomplementos sólo se instalan cuando está activada una regla de protección contra impresión en elequipo gestionado.




2 En el panel Reglas de protección, haga clic con el botón derecho del ratón y seleccione Nuevo | Regla deprotección contra impresión.





1 de 6(opcional)

Seleccione la opción Seleccionar de la lista y, a continuación, seleccione unaimpresora de red disponible. Seleccione Otra impresora de red para proteger todaslas impresoras de red que no se han definido, incluidos los controladores deimpresoras de escritura de PDF e imágenes. Haga clic en Siguiente.

2 de 6(opcional)

Seleccione la opción Seleccionar de la lista y, a continuación, seleccione Cualquierimpresora local para proteger la impresión de las impresoras locales. Haga clic enSiguiente.

Sólo uno de los dos primeros pasos es opcional. Debe seleccionar unaimpresora de red, una local o ambas.

3 de 6(opcional)


4 de 6(opcional)


5 de 6 Seleccione acciones de la lista de acciones disponibles. De formapredeterminada, al elegir una acción se seleccionan Online y Offline. Desactive laopción que no necesite. Si selecciona Supervisar, haga clic en Gravedad paramodificar el valor. Si selecciona Notificar al usuario, haga clic en Cambiar alertapredeterminada para modificar el mensaje de alerta, la dirección URL o el texto delvínculo. Si desea que Solicitar justificación bloquee la impresión cuando no seproporcione justificación, deberá seleccionar también Bloquear. Haga clic enSiguiente.

6 de 6(opcional)




Creación y definición de una regla de protección de almacenamientoextraíbleLas reglas de protección de almacenamiento extraíble supervisan o bloquean las operaciones deescritura en dispositivos de almacenamiento extraíbles.






2 En el panel Reglas de protección, haga clic con el botón derecho del ratón y seleccione Nuevo | Regla deprotección de almacenamiento extraíble.



1 de 8(opcional)


2 de 8(opcional)


3 de 8(opcional)


4 de 8(opcional)


5 de 8(opcional)


6 de 8(opcional)

Para aplicar la regla a tipos de cifrado específicos, seleccione la opciónSeleccionar de la lista y, después, seleccione uno o más tipos de cifrado.

7 de 8 Seleccione acciones de la lista de acciones disponibles. De formapredeterminada, al elegir una acción se seleccionan Online y Offline. Desactive laopción que no necesite. Si selecciona Cifrar, haga clic en Seleccionar una clave decifrado para seleccionar una clave de cifrado o agregar una nueva. Si seleccionaSupervisar, haga clic en Gravedad para modificar el valor. Si selecciona Notificar alusuario, haga clic en Cambiar alerta predeterminada para modificar el mensaje dealerta, la dirección URL o el texto del vínculo. Si desea que Solicitar justificaciónbloquee archivos cuando no se proporcione justificación, deberá seleccionartambién Bloquear. Si desea que Solicitar justificación cifre archivos cuando no seproporcione justificación, deberá seleccionar también Cifrar. Haga clic enSiguiente.

8 de 8(opcional)






Creación y definición de una regla de protección contra capturas depantallaLas reglas de protección contra capturas de pantalla controlan los datos que se copian y pegan de unapantalla.

Antes de empezarEl módulo de capturas de pantalla debe activarse en la configuración del agente. En la fichaVarios, seleccione Captura de pantalla y como mínimo una de las opciones: La opción Controlador dela tecla Imprimir pantalla permite el bloqueo de capturas de pantalla con el teclado; la opciónControlador de aplicaciones permite el bloqueo de programas de capturas de pantalla deterceros. Si selecciona la opción Administrador de aplicaciones, especifique qué aplicacionesestán bloqueadas en la ficha Configuración avanzada con Aplicaciones de capturas de pantalla |Configuración.

La función de capturas de pantalla solo es compatible con el bloqueo de API de interfacesde dispositivo gráfico (GDI). Las aplicaciones que realizan capturas de pantalla medianteDirectX o la API del Reproductor de Windows Media no se bloquean.




2 En el panel Reglas de protección, haga clic con el botón derecho del ratón y seleccione Nuevo | Regla deprotección contra capturas de pantalla.





1 de 5(opcional)


Los procesos de confianza no forman parte de la lógica de las reglas decapturas de pantalla. Las aplicaciones con estrategia De confianza no están,por lo tanto, exentas de las reglas de capturas de pantalla y se bloquearáncomo cualquier otra aplicación.

2 de 5 Introduzca el título de una determinada ventana de aplicaciones y haga clic enAgregar. Repita la acción según corresponda. Haga clic en Siguiente.

3 de 5(opcional)

Seleccione las marcas que se van a incluir o excluir de la regla. Debe incluir almenos una marca para usar la opción de exclusión de marcas. Haga clic enAgregar elemento para crear una marca. Haga clic en Siguiente.

4 de 5 Seleccione acciones de la lista de acciones disponibles. De formapredeterminada, al elegir una acción se seleccionan Online y Offline. Desactive laopción que no necesite. Si selecciona Supervisar, haga clic en Gravedad paramodificar el valor. Si selecciona Notificar al usuario, haga clic en Cambiar alertapredeterminada para modificar el mensaje de alerta, la dirección URL o el textodel vínculo. Haga clic en Siguiente.

5 de 5(opcional)




Creación y definición de una regla de protección de la publicación webLas reglas de protección de la publicación web supervisan o bloquean la publicación de los datos ensitios web, incluidos los sitios de correo electrónico web.

La regla de protección de la publicación web es compatible con Microsoft Internet Explorer 6 y posteriory Firefox 3.6 y posterior. Con otros navegadores, utilice las reglas de protección de comunicaciones dela red.

Las reglas de protección de la publicación web pueden bloquear o supervisar el contenido cargado ensitios web basados en las tecnologías AJAX o Flash. Esto incluye los sitios siguientes:

• Microsoft Outlook Web Access • Yahoo

• Gmail • Hotmail

• Google Docs

Cuando una regla de protección de la publicación web está activada, las cargas de archivo depublicación web continúan ejecutándose en segundo plano a pesar de que la barra de carga indica quela carga ha terminado.






2 En el panel Reglas de protección, haga clic con el botón derecho del ratón y seleccione Nuevo | Regla deprotección de la publicación web.





1 de 8(opcional)

Seleccione la opción Seleccionar de la lista y, a continuación, seleccione un destinoweb o un grupo de destinos web disponible para esta regla. Haga clic en Agregarelemento para crear una definición de destino web. Haga clic en Agregar grupo paracrear un grupo de destinos web. Haga clic en Siguiente.

Si no se define ningún destino web determinado, se bloqueará todo el contenidoHTTP saliente.

2 de 8(opcional)


3 de 8(opcional)


4 de 8(opcional)


5 de 8(opcional)


6 de 8(opcional)

Para aplicar la regla a tipos de cifrado específicos, seleccione la opción Seleccionarde la lista y, después, seleccione uno o más tipos de cifrado.

7 de 8 Seleccione acciones de la lista de acciones disponibles. De formapredeterminada, al elegir una acción se seleccionan Online y Offline. Desactive laopción que no necesite. Si selecciona Supervisar, haga clic en Gravedad paramodificar el valor. Si selecciona Notificar al usuario, haga clic en Cambiar alertapredeterminada para modificar el mensaje de alerta, la dirección URL o el texto delvínculo. Si desea que Solicitar justificación bloquee las publicaciones web cuando nose proporcione justificación, deberá seleccionar también Bloquear. Haga clic enSiguiente.

8 de 8(opcional)


Se pueden incluir o excluir marcas y extensiones de archivo.




Eliminación de reglas, definiciones, clases de dispositivos ogrupos de usuariosSe pueden eliminar reglas, clases de dispositivos o definiciones de las directivas, siempre que no esténen uso.

No puede eliminar una definición o una clase de dispositivos que se esté utilizando. Antes de procedera la eliminación, debe anular su selección en todas las reglas y grupos en los que se encuentre. Paraeliminar las marcas, debe eliminar las reglas que las usan o bien eliminar las marcas de las reglasantes de continuar.

Si no sabe si se está utilizando ese elemento o dónde se está utilizando, intente eliminarlo. Si se estáutilizando, un mensaje indica las reglas o los grupos en los que se encuentra.

Procedimiento1 En el panel de navegación de la consola de directivas de McAfee DLP Endpoint, seleccione la

categoría (por ejemplo, definición de red) del elemento que desee eliminar.

Los grupos y elementos disponibles aparecen en el panel principal.

2 Seleccione el elemento o el grupo que desee eliminar, haga clic con el botón derecho del ratón yseleccione Eliminar.


Utilización de definiciones predefinidasLas plantillas son definiciones del sistema preestablecidas, como definiciones de aplicaciones opatrones de texto.

Mediante el asistente Sincronizador de plantillas, puede copiar plantillas en una directiva existente ocrear plantillas a partir de las definiciones creadas para la directiva del sistema actual. Las definicionesde directivas almacenadas en el directorio de plantillas se pueden compartir o utilizar más tarde.

Cuando distribuya una plantilla para crear una definición de dispositivos Plug‑and‑Play, asegúrese deque todas las clases de dispositivos utilizadas en las definiciones se incluyan en los valorespredeterminados del sistema. Si utiliza una clase de dispositivo que no está en la configuraciónpredeterminada del sistema, la definición se elimina y se muestra un mensaje de notificación.

Sincronización de plantillasLas plantillas son definiciones del sistema preestablecidas, como definiciones de aplicaciones opatrones de texto.

Utilice esta tarea para sincronizar plantillas con la directiva actual.


1 En la consola de directivas de McAfee DLP Endpoint, en el menú Archivo, seleccione Sincronizarplantillas.

Aparecerá el asistente Sincronización de plantillas.



2 Seleccione el tipo de plantilla correspondiente en las fichas.

Si no hay correspondencia entre la carpeta de plantillas y la directiva del sistema actual, ladefinición aparecerá como Falta.

Figura 10-4 Asistente Sincronización de plantillas

3 Para ver las propiedades de la definición seleccionada, haga clic en Vista ( ). Para eliminar la

definición seleccionada, haga clic en Eliminar ( ).

4 Para copiar una plantilla en la directiva actual o crear una plantilla nueva a partir de una definiciónde directiva actual, seleccione la definición y haga clic en uno de los iconos de desplazamiento, o

.

La entrada de la definición cambia de Falta al nombre de la definición.


Limitación de reglas con grupos de asignaciónA excepción de que la regla especifique lo contrario, las reglas de dispositivos y de protección seaplican por igual a todos los equipos y usuarios que reciben una directiva. Sin embargo, cuando esnecesario, las reglas se pueden aplicar a usuarios, grupos, unidades organizativas o equiposconcretos.La definición de grupos de asignación se puede realizar con Microsoft Active Directory o conOpenLDAP. La flexibilidad para definir usuarios o grupos específicos permite a los administradoresaplicar reglas apropiadas para la función de un usuario. Las personas o los equipos que no debentener acceso a la información confidencial tendrán grupos de reglas restrictivas, mientras que elconjunto de reglas de un administrador será mucho más amplio. Cuando se crean reglas deprotección, se pueden aplicar a un usuario o a un grupo específicos a través del grupo de asignación, obien a determinados equipos mediante un despliegue con ePolicy Orchestrator.

Contenido Asignación de usuarios Grupos de asignación de equipos

Aplicación de la protección de McAfee DLPLimitación de reglas con grupos de asignación 10


Asignación de usuariosA excepción de que la regla especifique lo contrario, las reglas de dispositivos y de protección seaplican por igual a todos los equipos y usuarios que reciben una directiva. Sin embargo, cuando esnecesario, las reglas se pueden aplicar a usuarios, grupos, unidades organizativas o equiposconcretos.

Se puede utilizar la opción Usuarios con permisos para omitir la aplicación de las reglas de bloqueo o desupervisión a determinados usuarios. Hay dos estrategias disponibles para los usuarios con permisos:Sólo supervisar y Reemplazar todo. El procedimiento para crear la lista es similar al utilizado para crear losgrupos de asignación: se analiza la lista de usuarios y se seleccionan los nombres.

Además, se puede incluir o excluir usuarios de la regla a la que está asignado el grupo o agregarusuarios locales a un grupo de asignación.

Los usuarios excluidos son similares a los usuarios con permisos, ya que están exentos dedeterminadas reglas. La diferencia entre ellos radica en que los usuarios excluidos se definen en elgrupo de asignación, por lo que sólo es necesario asignar ese grupo a una regla. Por otro lado, nopodrá supervisar a esos usuarios si el grupo es bloqueado. La elección entre utilizar usuarios excluidoso usuarios con permisos ofrece al administrador una considerable flexibilidad a la hora de determinarcómo aplicar las reglas.

Los usuarios locales se definen como usuarios que han iniciado sesión de forma remota conautenticación local.

Creación de un grupo de asignación de usuariosLos grupos de asignación de usuarios definen grupos de usuarios que se van a incluir o excluir de lasreglas.


1 En el panel de navegación de la consola de directivas de McAfee DLP Endpoint, en Asignación dedirectivas, seleccione Grupos de asignación de usuarios.

Los grupos de asignación disponibles aparecerán el panel de la derecha.

2 En el panel Grupos de asignación de usuarios, haga clic con el botón derecho y seleccione Nuevo | Grupo deasignación de usuarios.

Aparecerá el icono del nuevo Grupo de asignación de usuarios.

3 Asigne un nombre al nuevo grupo de asignación de usuarios y haga doble clic en el icono.

Aparecerá la ventana de edición con la ficha Asignación de directiva.

4 Haga clic en Agregar para seleccionar los objetos de este grupo (dominios, unidades organizativas,grupos y usuarios).

Aparecerá una ventana de búsqueda.

5 Seleccione los Tipos de objeto que vaya a buscar y especifique un filtro; a continuación, haga clic enBuscar para buscar usuarios y grupos.

6 Seleccione los usuarios y grupos que vaya a agregar al grupo de asignación y haga clic en Aceptar.

10 Aplicación de la protección de McAfee DLPLimitación de reglas con grupos de asignación


7 Los usuarios y grupos se incluyen de forma predeterminada. Para excluir uno de ellos de las reglasdel grupo al que está asignado, debe seleccionarlo.

Figura 10-5 Inclusión y exclusión de usuarios

8 Para agregar usuarios locales al grupo, haga clic en Agregar usuarios locales.

9 Si ha creado reglas a las que desea asignar el grupo, haga clic en la ficha Reglas de protección a fin deseleccionar las reglas de protección para este grupo de asignación. Cuando haya terminado deseleccionar las opciones necesarias, haga clic en Aceptar.

El orden no importa. Puede crear las reglas primero y asignárselas a un grupo en este paso, o biencrear antes los grupos y asignárselos a las reglas una vez que las haya creado.

Creación de un grupo de usuarios con permisosSe puede utilizar la configuración de Usuarios con permisos para omitir la aplicación de las reglas debloqueo o de supervisión para determinados usuarios.


1 En el panel de navegación de la consola de directivas de McAfee DLP Endpoint, en Asignación dedirectivas, seleccione Usuarios con permisos.

Los grupos disponibles aparecerán en el panel de la derecha.

2 En el panel Usuarios con permisos, haga clic con el botón derecho y seleccione Buscar usuarios y grupos.

Se abrirá una ventana de búsqueda.

3 Seleccione los Tipos de objeto que vaya a buscar y especifique un filtro; a continuación, haga clic enBuscar para buscar usuarios y grupos.

Aplicación de la protección de McAfee DLPLimitación de reglas con grupos de asignación 10


4 Seleccione los usuarios y grupos que vaya a agregar al grupo de usuarios con permisos y haga clicen Aceptar.

El nuevo icono de Usuarios con permisos aparecerá en la ventana.

5 La estrategia predeterminada para los usuarios con permisos es Reemplazar todo. Para cambiarla,haga clic con el botón derecho en el icono del grupo y seleccione Definir estrategia | Sólo supervisar.

Grupos de asignación de equiposLos grupos de asignación de equipos especifican las directivas que se asignan a cada equipo. Puedeutilizar esta función para aplicar diferentes directivas a los grupos de equipos de la red. Cuando seasignan directivas específicas a un grupo de equipos, estas directivas se aplican en dichos equipos ylos grupos de asignación del usuario de las reglas de McAfee DLP Endpoint se pierden.

Los grupos de asignación de equipos constituyen una función de ePolicy Orchestrator. Se describenaquí por el efecto que tienen en las reglas de McAfee DLP Endpoint. A los grupos de asignación deequipos se accede a partir del catálogo de directivas especificando la categoría del grupo de asignaciónde equipos.

Asignación de directivas con grupos de asignación de equipos

La función de grupo de asignación de equipos permite elegir las reglas de McAfee DLP Endpoint quedesea asignar a un grupo concreto de equipos.

Figura 10-6 Asignación de reglas con grupos de asignación de equipos de ePO

Si, por ejemplo, ha asignado equipos de marketing a un grupo y después selecciona una regla deprotección del correo electrónico y una regla de protección de la publicación web en la definición delgrupo de asignación de equipos, estas reglas de DLP se aplicarán a todos los usuarios del grupo deequipos de marketing, no de acuerdo al grupo de asignación de usuarios definido en la regla deprotección de DLP. Todas las reglas que no estén incluidas en el grupo de asignación del equipo (porejemplo, una regla de protección de almacenamiento extraíble) se aplicarán de acuerdo a la definicióndel grupo de asignación de usuarios de la regla.

10 Aplicación de la protección de McAfee DLPLimitación de reglas con grupos de asignación


Supervisión y generación deinformesEn esta sección se describe el Administrador de incidentes de DLP y cómodebe usarlo para realizar un seguimiento de las infracciones de directivas yrevisarlas, y Eventos operativos de DLP, que se utiliza para realizar unseguimiento de los eventos administrativos como, por ejemplo, el desplieguede agentes, la actualización de directivas, etc.

Capítulo 11 Supervisión y generación de informesCapítulo 12 Conjuntos de permisos y usuarios


Supervisión y generación de informes


11 Supervisión y generación de informes

Los administradores pueden ver los eventos de seguridad en Administrador de incidentes de DLP.

McAfee DLP Endpoint versión 9.3 divide los eventos en dos clases: incidentes (es decir, infracciones dedirectivas) y eventos administrativos. Dichos eventos se ven en las dos consolas, Administrador deincidentes de DLP y Eventos operativos de DLP.

Cuando el software McAfee DLP Endpoint de un equipo gestionado determina que se ha producido unainfracción de directiva, genera un evento y lo envía al Analizador de eventos de ePolicy Orchestrator.Estos eventos se pueden ver, filtrar y clasificar en la consola de Administrador de incidentes de DLP, loque permite a los responsables de la seguridad o a los administradores ver los eventos y responderinmediatamente. En caso necesario, se adjunta el contenido sospechoso como prueba del evento.

Ya que McAfee DLP Endpoint es fundamental en la estrategia de una empresa para cumplir lasnormativas y la legislación que protege los datos confidenciales, Administrador de incidentes de DLPpresenta la información sobre la transmisión de datos confidenciales de forma precisa y flexible. Losauditores, responsables de firmas, administradores de información confidencial y otros empleadosrelevantes pueden utilizar el Administrador de incidentes de DLP para observar actividadessospechosas o no autorizadas y actuar conforme a la política de privacidad de la empresa, a lanormativa correspondiente y a otras leyes aplicables. El administrador del sistema o el responsable dela seguridad pueden seguir los eventos administrativos relativos a los agentes y al estado dedistribución de directivas.

La consola de Eventos operativos de DLP muestra detalles sobre el despliegue del cliente, cambios enlas directivas, despliegue de directivas, inicios de sesión en modo seguro, omisiones de agentes yotros eventos administrativos.

Contenido Recopilación y administración de datos Redacción y control de acceso según funciones

Recopilación y administración de datosLos datos de las tablas DLP en la base de datos de ePolicy Orchestrator se pueden ver en las páginasAdministrador de incidentes de DLP y Eventos operativos de DLP o se pueden intercalar en losinformes y paneles.

La supervisión del sistema consiste en la recopilación y revisión de pruebas y eventos, así como en lageneración de informes. Puede utilizar las herramientas de administración de la base de datos paragestionarla y ver sus estadísticas.

La revisión de los eventos y las pruebas registradas permite a los administradores determinar si lasreglas son demasiado restrictivas, lo que provoca retrasos innecesarios en el trabajo, o si son pocoestrictas, lo que facilita la fuga de datos.

11


Contenido Administrador de incidentes de DLP/Eventos operativos de DLP Tareas de incidentes Edición del ejecutor de tareas Creación de informes Funcionamiento con la base de datos Documentación de eventos mediante pruebas

Administrador de incidentes de DLP/Eventos operativos de DLPLos administradores usan la página Administrador de incidentes de DLP en ePolicy Orchestrator para ver loseventos de seguridad de las infracciones de directivas, junto con las pruebas y el resaltado decoincidencias especificado en la configuración de los agentes, así como los recuentos de referencias yotros detalles. también define las Tareas de incidentes. Los administradores usan la página Eventosoperativos de DLP para ver los eventos administrativos como, por ejemplo, los despliegues deagentes.

Con el fin de mejorar la seguridad, el software McAfee DLP Endpoint versión 9.3 ha eliminado elvínculo de conexión del servicio WCF que previamente se usaba para conectar la base de datos deePolicy Orchestrator al McAfee DLP Monitor. La nueva interfaz del supervisor forma parte integral deePolicy Orchestrator y consta de dos páginas de ePolicy Orchestrator:

• Administrador de incidentes de DLP: para mostrar eventos de seguridad

• Eventos operativos de DLP: para mostrar eventos administrativos

Se incluye la nueva función Tareas de incidentes como una ficha en el Administrador de incidentes. En laversión 9.3, hay tres tareas disponibles: notificaciones por correo electrónico sobre infracciones dedirectivas, purgado según los criterios predeterminados y definición de un revisor.

Cómo funciona

La ficha Lista de incidentes del Administrador de incidentes de DLP dispone de toda la funcionalidad delanterior McAfee DLP Monitor. Los detalles del evento se pueden ver al hacer clic en el evento encuestión. Puede crear y guardar filtros para modificar la vista. También puede modificar la vista alseleccionar y ordenar las columnas. Puede etiquetar eventos individuales (para el filtrado por etiqueta)y configurar propiedades para el estado, resolución y revisor asignado. La página Eventos operativosde DLP funciona del mismo modo con los eventos administrativos.

Figura 11-1 Administrador de incidentes de DLP

Use la ficha Tareas de incidentes para configurar los criterios de las tareas planificadas. Para las tareas decorreo electrónico debe configurar el correo electrónico (destinatarios, asunto, cuerpo) y definir loscriterios que las activarán al ser enviados.

11 Supervisión y generación de informesRecopilación y administración de datos


La pestaña Tareas de incidentes funciona con las tareas servidor de ePolicy Orchestrator para planificarlas tareas. Se instala una nueva tarea servidor, Ejecutor de tareas de DLP, con el softwareMcAfee DLPEndpoint para este propósito. La pestaña Lista de incidentes funciona con las consultas e informes deePolicy Orchestrator para crear informes y mostrar los datos en los paneles de ePolicy Orchestrator.

Caso práctico: configuración de propiedadesLas propiedades son datos que se añaden a un incidente que requiere un seguimiento.Puede agregar las propiedades desde Acciones | Definir propiedades o desde el panel Detallesdel incidente. Las propiedades son: Gravedad, Estado, Solución y Revisor. El revisor puedeser cualquier usuario de ePolicy Orchestrator. El motivo por el cual es posible cambiar lagravedad es porque, en caso de que el administrador determine que el estado es un falsopositivo, la gravedad original dejará de ser importante.

Caso práctico: cambio de la vistaAdemás de utilizar los filtros para modificar la vista, también puede personalizar loscampos y el orden de visualización. Las vistas personalizadas se pueden guardar y utilizarde nuevo.

Crear un filtro implica las siguientes tareas:

1 Haga clic en Acciones | Vista | Elegir columnas para abrir la ventana de edición de la vista.

2 Utilice el icono x para eliminar columnas y los iconos de flechas para desplazar lascolumnas desde la izquierda hacia la derecha.

3 Haga clic en Actualizar vista para aplicar la vista personalizada y Acciones | Vista | Guardarvista para guardar y usar en un futuro. Al guardar la vista también puede guardar lahora y los filtros personalizados. En el menú desplegable de la parte superior de lapágina puede seleccionar las vistas guardadas.

Visualización de los detalles del eventoPuede ver los detalles del evento y las pruebas en la página Administrador de incidentes de DLP.También puede asignar un revisor, así como editar la gravedad, el estado y la solución del incidente.

Procedimiento1 Dentro deEn ePolicy Orchestrator, seleccione Menú | Protección de datos | Administrador de incidentes de DLP.

2 En el panel Lista de incidentes, ordene la lista haciendo clic en cualquier columna. Puede ordenar porgravedad, hora, usuario, etc.

3 Haga clic en un evento de la lista para ver todos los detalles. La información del evento aparece enel panel Información sobre incidentes de DLP.

Supervisión y generación de informesRecopilación y administración de datos 11


4 Para ver los campos redactados, seleccione Acciones | Publicar redacción. En el cuadro de diálogo queaparece, introduzca el nombre de usuario y la contraseña de un administrador con permiso paraacceder a información confidencial. La prueba redactada se visualiza de modo similar.

Según como estén configurados los permisos basados en funciones, podrán ser necesarios dosadministradores: uno con permiso para ver la pantalla Administrador de incidentes de DLP (exceptotexto confidencial) y otro con permiso para ver el texto confidencial. Consulte Creación y definiciónde conjuntos de permisos en esta guía para obtener información sobre la configuración de conjuntosde permisos.

5 Si la opción Almacenar pruebas forma parte de la regla de protección o descubrimiento que provoca elevento, el número de archivos de pruebas se mostrará en la ficha Pruebas en la sección inferior delpanel Información sobre incidentes de DLP. Para ver el archivo de pruebas, seleccione la ficha para mostrarla lista de archivos. Haga clic en un vínculo para mostrar el archivo de pruebas.

Figura 11-2 Detalles de la Lista de incidentes

Definición de filtrosCuando se visualizan eventos en las páginas Administrador de incidentes de DLP o Eventos operativosde DLP, es posible que sea conveniente reducir la cantidad de información visible de forma que puedaconcentrarse rápidamente en los detalles relevantes. Puede aplicar un filtro con el fin de definircriterios específicos que reduzcan la lista de eventos a los datos que le interesan. Puede utilizar unfiltro de tiempo predefinido (por ejemplo las últimas 24 horas) o crear un filtro personalizado.

Las funciones de supervisión de McAfee DLP Endpoint versión 9.3 (Administrador de incidentes de DLPy Eventos operativos de DLP) no disponen de filtros predefinidos (excepto filtros temporales), solofiltros definidos por el usuario. Para Administrador de incidentes de DLP, los filtros se crean a partir deuna lista de propiedades en la que se incluyen propiedades de ePolicy Orchestrator y del equipo,además de propiedades de DLP.

Con la excepción de las marcas de ePolicy Orchestrator y de la ruta de acceso del árbol de sistemas deePolicy Orchestrator, estas propiedades adicionales no son relevantes para los filtros de Administradorde incidentes de DLP.

Para Eventos operativos de DLP, solamente las propiedades de eventos operativos de DLP y lasetiquetas de DLP se muestran como opciones de filtro.

Cuando crea un filtro nuevo, se muestra como unsaved en la ventana Filtro y se guarda para esa sesiónde usuario. Es decir, puede alternar entre unsaved y no custom filter sin perder el filtro. Debeguardar el filtro antes de cerrar la sesión de usuario (es decir, cerrar la sesión de ePolicy Orchestrator)o si desea trabajar con más de un filtro.



Los parámetros del filtro pueden definir eventos (ID de evento, tipo de evento), aspectos de ladirectiva (tipos de archivo, reacciones), o propiedades (resolución, estado). Si ha creado Etiquetas deDLP, puede utilizarlas para definir filtros.


1 Seleccione la lista de eventos que desee filtrar:

• Seleccione Menú | Protección de datos | Administrador de incidentes de DLP para la página Lista de incidentes.

• Seleccione Menú | Protección de datos | Eventos operativos de DLP para la página Lista de eventos operativos.

2 Seleccione Acciones | Filtro | Editar Filtro o haga clic en Editar al lado de la ventana Filtro. .

Aparece la página Editar criterios de filtrado.

3 Agregue propiedades de la lista Propiedades disponibles; para ello, haga clic en la flecha situada a laderecha del nombre de la propiedad. Rellene los campos Comparación y Valor mediante las listasdesplegables o, cuando el campo sea un cuadro de texto, escriba el valor.

Puede eliminar una propiedad; para ello, haga clic en la flecha situada a la izquierda del campoPropiedad. También puede agregar más valores a una propiedad si hace clic en +.

Use la propiedad Producido (UTC) para agregar horas y Producido (Endpoint) para agregar fechas. Lapropiedad Producido hace referencia al estado online/offline.

4 Haga clic en Actualizar filtro para aplicar el filtro.

El mensaje (sin guardar) aparece en la ventana de la lista desplegable Filtro. Los filtros que no sehayan guardado permanecerán disponibles hasta que cierre la sesión de ePolicy Orchestrator.

5 Para guardar el filtro para usarlo en el futuro, seleccione Acciones | Filtro | Guardar filtro.

Se le solicitará un nombre y que defina el filtro como Privado o Público. Haga clic en Aceptar cuandohaya terminado.

6 Para eliminar un filtro, selecciónelo en la lista desplegable Filtro y, a continuación, seleccione Acciones| Filtro | Eliminar filtro.

Ejemplo: filtrar por versión de agenteSi utiliza McAfee DLP Endpoint en modo de compatibilidad con versiones anteriores y hadesplegado varias versiones de cliente, quizá le interese examinar los resultadoscorrespondientes a una versión de cliente en particular. Para ello, haga lo siguiente:

1 En la sección Incidentes de DLP de la lista de propiedades, seleccione Versión del agente.

Esta propiedad hace referencia a la versión del cliente de McAfee DLP Endpoint, no a laversión de McAfee Agent. Esa propiedad se muestra como Versión del producto (agente).

2 Seleccione la Comparación para incluir o excluir la versión del agente que se desee. El Valorse debe introducir desde una lista. El software analiza todos los incidentes y solo muestralos valores existentes.

Véase también Utilización de etiquetas para marcar eventos en la página 176



Utilización de etiquetas para marcar eventosLas etiquetas personalizadas permiten asignar a los eventos una marca exclusiva. Gracias al uso deestas etiquetas personalizadas, los eventos se pueden clasificar y personalizar fácilmente.

Procedimiento1 En ePolicy Orchestrator, seleccione Menú | Protección de datos | Administrador de incidentes de DLP.

Las etiquetas también se pueden usar con Eventos operativos de DLP de forma similar.

2 Para agregar una etiqueta, seleccione uno o varios eventos. Seleccione Acciones | Administrar etiquetas |Definir.• Seleccione Agregar y escriba el nombre de la etiqueta nueva. Haga clic en Aceptar.

• Seleccione Sustituir todo y, a continuación, seleccione una o varias etiquetas existentes. Haga clicen Aceptar.

La(s) etiqueta(s) se asocian a los eventos. Ahora ya puede usar estas etiquetas para filtrar uordenar la lista.

3 Para eliminar una etiqueta de eventos específicos, seleccione el evento o eventos y, acto seguido,seleccione Acciones | Administrar etiquetas | Separar. En el cuadro de diálogo, seleccione la(s) etiqueta(s)que desee eliminar del evento. Haga clic en Aceptar.

4 Para eliminar una etiqueta de todos los eventos, seleccione Acciones | Administrar etiquetas | Eliminar. Enel cuadro de diálogo, seleccione la(s) etiqueta(s) que desee eliminar de la lista. Haga clic en Aceptar.

Véase también Definición de filtros en la página 174

Tareas de incidentesLa ficha Tareas de incidentes de Administrador de incidentes de DLP usa las Tareas servidorde ePolicyOrchestrator para llevar a cabo operaciones cuando se cumplen determinados criterios.

En la versión actual, se admiten tres tareas de incidentes:

• Notificación por correo electrónico: se usa para informar a usuarios, administradores u otraspersonas en función de los criterios especificados.

• Definir revisor: se utiliza para limitar el acceso de visualización al asignar incidentes a un revisoro grupo.

• Purga: se usa para purgar los incidentes de la base de datos. Los criterios pueden incluir cualquiercampo de incidentes, así como las marcas de ePolicy Orchestrator o la ruta de acceso del árbol desistemas.

La tarea servidor de ejecutor de tareas de DLP ejecuta las tareas.

Caso práctico: creación de una nueva tarea de incidentesHaga clic en Acciones | Nuevo y seleccione uno de los tres tipos de tareas. Rellene los camposobligatorios y opcionales en el panel Propiedades de tarea. Agregue y defina laspropiedades en el panel de propiedades de incidentes. Guarde la tarea.

Los valores de las propiedades de incidentes solo se pueden agregar a partir de los valoresque ya existen en la base de datos. No puede crear una tarea basándose en los resultadosesperados teóricos.



Caso práctico: cambio de la vistaLa vista Tareas de incidentes es personalizable. Seleccione Acciones | Elegir columnas para ver lapágina Seleccionar las columnas que se van a mostrar. Puede agregar o eliminar columnas y cambiarel orden. Haga clic en Guardar para activar la vista personalizado o Usar predeterminada paravolver a la vista estándar.

Caso práctico: activación/desactivación, edición y eliminaciónEn la vista predeterminada se muestra la columna Acciones, lo que le permite poder Editar,Activar/Desactivar o Eliminar la tarea directamente en la página Tareas de incidentes. Si no semuestra la columna, seleccione Acciones | Establecer para activar/desactivar, Acciones | Editarpara editar o Acciones | Eliminar para eliminar la tarea.

Edición del ejecutor de tareasLa tarea servidor de ejecutor de tareas de DLP de ePolicy Orchestrator planifica y ejecuta las tareasdefinidas en Tareas de incidentes de Administrador de incidentes de DLP.

Antes de empezarDefina una o más tareas en Tareas de incidentes de Administrador de incidentes de DLP.

La planificación predeterminada del ejecutor de tareas de DLP es de una vez al día, sin embargo, lastareas no se activan de forma predeterminada. Debe editar los parámetros predeterminados parapoder ejecutar cualquier tarea o crear un nuevo ejecutor de tareas.


1 En la página Tareas servidor de ePolicy Orchestrator, haga clic en Nueva tarea.

Aparece el Generador de tareas servidor.

2 En la página Descripción, escriba el nombre de la tarea. Haga clic en Siguiente.

3 En la página Acciones, seleccione Ejecutor de tareas de incidentes de DLP de la lista desplegable Acciones.Haga clic en Seleccionar tareas y seleccione las tareas de la lista.

Figura 11-3 Edición del ejecutor de tareas

Las tareas se muestran en la página Acciones.



4 Use las flechas para establecer el orden de las tareas o para borrar aquellas que no desee ejecutar,para ello haga clic en X.

5 En la página Planificación, ajuste la planificación según sea necesario. Haga clic en Siguiente.

6 Revise los parámetros y haga clic en Guardar.

Creación de informesEl software McAfee DLP Endpoint utiliza funciones de generación de informes de ePolicy Orchestrator.hay disponibles varios informes preprogramados, así como la opción para diseñar informespersonalizados.

Consulte el capítulo Consultas de la base de datos de la Guía del producto de McAfee ePolicyOrchestrator para obtener más información.

Se admiten dos tipos de informes:

• Informes de propiedades de DLP

• Informes de eventos de DLP

Nueve informes de propiedades de DLP se muestran en los paneles DLP: Resumen de estado. Se facilitandoce consultas de eventos predefinidas. Las veintiuna consultas se encuentran en la consola de ePolicyOrchestrator en Menú | Informes | Consultas e informes | Grupos compartidos.

ePolicy Orchestrator incluye una función de datos acumulados, la cual ejecuta consultas que informansobre datos de resumen de varias bases de datos de ePolicy Orchestrator. Todos los informes deMcAfee DLP Endpoint están configurados para admitir consultas de datos acumulados.

Opciones de informesEl software McAfee DLP Endpoint utiliza los informes de ePolicy Orchestrator para revisar los eventos.Asimismo, puede ver información sobre las propiedades del producto en el panel de ePolicyOrchestrator.

Informes de ePolicy Orchestrator

El software McAfee DLP Endpoint integra las funciones de generación de informes con el servicio degeneración de informes de ePolicy Orchestrator. Para obtener información sobre el uso del servicio degeneración de informes de ePolicy Orchestrator, consulte la Guía del producto de McAfee ePolicyOrchestrator.

Se admiten las consultas y los informes de datos acumulados de ePolicy Orchestrator, que resumenlos datos procedentes de varias bases de datos de McAfee ePO.

Se admiten las notificaciones de ePolicy Orchestrator. Consulte el tema Envío de notificaciones de laGuía del producto deMcAfee ePolicy Orchestrator para obtener más información.

Panel de ePO/informes de ePO

Puede ver información sobre las propiedades del producto DLP en la página Menú | Generación de informes |Paneles de ePolicy Orchestrator. Seleccione DLP: Resumen de estado para ver los paneles de McAfee DLPEndpoint.

• En McAfee ePolicy Orchestrator 4.5, seleccione la ficha DLP: Resumen de estado de la consola de panelesde ePO.

• En McAfee ePolicy Orchestrator 4.6 y 5.0, seleccione la ficha DLP: Resumen de estado en la listadesplegable Panel.



Se muestran nueve supervisores predefinidos. Los supervisores se pueden editar y personalizar.Asimismo, se pueden crear nuevos supervisores. Consulte la documentación de McAfee ePolicyOrchestrator para obtener instrucciones.

Los nueve informes de panel y los doce otros informes predefinidos están disponibles en Menú | Informes| Consultas e informes. Aparecen bajo Grupos compartidos | Data Loss Prevention. Los seis informes estándartambién disponibles como informes de datos acumulados se indican en las tablas.

Paneles predefinidosEn la siguiente tabla se detallan los paneles predefinidos de McAfee DLP Endpoint.

Tabla 11-1 Paneles predefinidos de DLP (Consultas públicas)

Nombre Descripción

modo de operación deagente

Muestra un gráfico circular de agentes por modos de funcionamiento deDLP. Los modos de funcionamiento son:• Modo de solo control de dispositivos

• Modo de protección de contenido completo y control de dispositivos

• Modo de protección de almacenamiento extraíble basada en contenido ycontrol de dispositivos

• Desconocido

Estado del agente Muestra todos los agentes y su estado.

Versión del agente Muestra la distribución de los endpoints en la empresa. Se utiliza parasupervisar el progreso del despliegue de los agentes.

Agentes omitidos Muestra el número de nodos de DLP que están en modo de omisión de ladirectiva. Se trata de una visualización en tiempo real que se actualizacuando empieza o caduca una omisión.

Reglas implementadas Muestra el número de sesiones de usuario que implementan de cadaregla, agrupadas por tipo de regla. Este panel sustituye a los panelesseparados de reglas implementadas de dispositivo, protección ydescubrimiento de versiones anteriores.

Distribución de lasdirectivas

Muestra la distribución de las directivas de DLP en la empresa. Se utilizapara supervisar el progreso al desplegar una nueva directiva.

Informes de eventos predefinidosEn la siguiente tabla se detallan los informes de eventos predefinidos de McAfee DLP Endpoint.

Tabla 11-2 Informes de eventos de DLP predefinidos (Mis consultas)

Nombre Descripción

modo de operación de agente Muestra los agentes por modo de funcionamiento.

Estado del agente(también informe de datosacumulados)

Muestra todos los agentes y su estado. Este informe cuenta convalores nuevos para los clientes de la versión 9.3:• Error al instalar el

controlador• Error al instalar el agente

• Agente instalado:pendiente de reiniciar

• El agente se estáejecutando

• Agente activo: no haydirectiva

• El agente no se estáejecutando

• Agente no instalado



Tabla 11-2 Informes de eventos de DLP predefinidos (Mis consultas) (continuación)

Nombre Descripción

Distribución de comunicación delagente a ePO(también informe de datosacumulados)

Muestra los endpoints conforme a la fecha de su últimacomunicación con ePolicy Orchestrator.

Versión del agente(también informe de datosacumulados)

Muestra la distribución de los endpoints en la empresa. Se utilizapara supervisar el progreso del despliegue de los agentes.

Eventos de dispositivos debloqueo de escritura y bloqueo

Muestra los eventos del dispositivo que se han bloqueado o que sehan bloqueado contra escritura.

Agentes omitidos(también informe de datosacumulados)

Muestra el número de nodos de DLP que están en modo de omisiónde la directiva. Se trata de una visualización en tiempo real que seactualiza cuando empieza o caduca una omisión.

Distribución de eventos diariossegún gravedad

Muestra los eventos de un día ordenados por gravedad.

Reglas implementadas(también informe de datosacumulados)

Muestra el número de sesiones de usuario que implementan decada regla, agrupadas por tipo de regla.

Eventos según tipo de evento(también informe de datosacumulados)

Muestra el número de eventos de cada tipo de evento.

Eventos por regla de protección Muestra el número de eventos de cada regla.

Eventos según regla deprotección/descubrimiento porfecha

Muestra el número de eventos de cada regla en distintas fechas.

Eventos según gravedad(también informe de datosacumulados)

Muestra el número de eventos para cada nivel de gravedad.

Eventos por marca y categoría(también informe de datosacumulados)

Muestra el número de eventos de cada marca y la categoría decontenido que reconocen.

Distribución de las rutas de laspruebas

Muestra los distintos recursos compartidos de prueba que utilizanlos agentes. Resulta útil cuando hay varias configuraciones deagente diferentes.

Distribución de las directivas(también informe de datosacumulados)

Muestra la distribución de las directivas de DLP en la empresa. Seutiliza para supervisar el progreso al desplegar una nuevadirectiva.

Permisos con privilegios Muestra los usuarios de DLP con privilegios actualmente. Lepermite desglosar la información para ver los usuarios de DLPnormales, así como los usuarios con permisos sólo supervisar y losusuarios a los que se les permite omitir todos los eventos de DLP.

Clases de dispositivos nodefinidas

Presenta una lista y un gráfico de barras de aquellos dispositivoscuya clase no puede ser determinada.



Tabla 11-2 Informes de eventos de DLP predefinidos (Mis consultas) (continuación)

Nombre Descripción

Impresoras no gestionadas Presenta una lista y un gráfico de barras de las impresoras nogestionadas (en lista blanca) y del número de nodos asociados acada una de ellas. Si hace clic en una impresora de la lista o enuna barra del gráfico, se desglosará una lista de los equiposconectados a ella. Si hace clic en un equipo, se desglosan laspropiedades del equipo.

Impresoras no admitidas Presenta una lista y un gráfico de barras de las impresoras noadmitidas (es decir, impresoras detectadas por DLP Endpoint queno estaban en la lista blanca pero que no pudieron instalar uncontrolador proxy de DLP), así como el número de nodos asociadosa cada una. Si hace clic en una impresora de la lista o en una barradel gráfico, se desglosará una lista de los equipos conectados aella. Si hace clic en una estación de trabajo, se desglosan laspropiedades del equipo.

Compatibilidad con los paneles e informes de los clientes de versiones anteriores ala 9.3

Los clientes de McAfee DLP Endpoint de la versión anterior a la 9.3 no admiten sesiones de variosusuarios. Los clientes más antiguos siguen proporcionando información sobre las propiedades como lohacían anteriormente, y dichas propiedades se muestran en la página Detalles del producto del árbolde sistemas de ePolicy Orchestrator. Estos clientes se marcan para indicar que no admiten sesiones devarios usuarios.

Para hacer que la tarea de generación de informes de propiedades DLP MA sea compatible conversiones anteriores, algunas propiedades (Estado del agente, Distribución de comunicaciones delagente a ePO, Agentes omitidos y Distribución de las directivas) se han hecho obsoletas, es decir, hayuna versión de la propiedad para los clientes nuevos y otra versión para los clientes antiguos. En unaampliación, en las consultas definidas y modificadas por el usuario se agregar la nota "Obsoleto,consulte las notas de la versión". Los informes que no se han modificado se sustituyen por la nuevafuncionalidad.

Configuración de informes de datos acumulados de Data Loss PreventionLos informes de datos acumulados son una función de ePolicy Orchestrator que se puede utilizar condatos de McAfee DLP Endpoint.


1 En ePolicy Orchestrator seleccione Menú | Automatización | Tareas servidor.

2 Seleccione Nueva tarea (o Acciones | Nueva Tarea).

3 Escriba un nombre para la tarea y notas (opcionales) y, acto seguido, haga clic en Siguiente.

4 En la lista desplegable Acciones, seleccione Acumular datos. En la lista desplegable Tipo de datos,seleccione uno de los tipos de informe de McAfee DLP Endpoint: Reglas implementadas de DLP, Eventos deDLP, Propiedades DLP MA o Contraseñas de DLP.

5 Continúe con la configuración según sea necesario. Haga clic en Siguiente.

6 Defina el tipo de planificación, la fecha y la hora. Haga clic en Siguiente.

7 Revise la información de configuración y haga clic en Guardar.



Funcionamiento con la base de datosEl software McAfee DLP Endpoint incluye dos herramientas para trabajar con la base de datos.

Administración de la base de datosEs posible eliminar los eventos no deseados de la base de datos de eventos.

Antes de empezarAl eliminar eventos de la base de datos, asegúrese de que se haya informado de ellos y sehayan analizado debidamente. Se recomienda crear una copia de seguridad de la base dedatos antes de eliminar eventos. La eliminación de todos los eventos del sistema podríaeliminar las infracciones antes de que los responsables de seguridad o los administradoreslas hayan detectado.


1 En el panel de navegación de la consola de directivas de McAfee DLP Endpoint, en Administración de labase de datos, seleccione Administración de la base de datos.

Las acciones administrativas aparecerán en el panel de la derecha.

2 Seleccione una acción de la lista disponible. Aparecerá la ventana de confirmación.

Preste atención a la descripción de cada opción. En particular, la opción Fecha elimina los eventosanteriores a la fecha especificada.

3 Haga clic en Ejecutar para continuar con la operación o en Cerrar para cancelarla.

Aparecerá la ventana de la barra de progreso.

Visualización de las estadísticas de la base de datosLas estadísticas de la base de datos se pueden ver directamente en la consola de directivas.


1 En el panel de navegación de la consola de directivas de McAfee DLP Endpoint, en Administración de labase de datos, seleccione Estadísticas de la base de datos.

La lista de valores estadísticos disponibles aparece en el panel derecho.

2 En la barra de herramientas, seleccione Actualizar estadísticas de la base de datos para actualizar lainformación.

3 Seleccione cualquier valor de la lista disponible para ver los detalles.

Documentación de eventos mediante pruebasLa prueba es una copia del archivo o del correo electrónico que ha provocado la publicación de unevento de seguridad enAdministrador de incidentes de DLP.

Algunas reglas permiten la opción de almacenar pruebas. Cuando esta opción está seleccionada, sealmacena una copia cifrada del contenido bloqueado o supervisado en la carpeta de pruebaspredefinida en el equipo del endpoint. Cuando McAfee DLP Endpoint pasa información al servidor, la



carpeta se purga y la prueba se almacena en la carpeta de pruebas del servidor. Las opciones de laficha Prueba de Configuración de los agentes pueden usarse para controlar el tamaño y la antigüedadmáximos del almacenamiento de pruebas local cuando el equipo está sin conexión.

Requisitos previos para almacenamiento de pruebas

Debe habilitarse el almacenamiento de pruebas antes de poder usarse. Éste es el estadopredeterminado de McAfee Data Loss Prevention. Si no desea guardar pruebas, puede aumentar elrendimiento deshabilitando el servicio de pruebas. A continuación se indican las opciones obligatoriaso los valores predeterminados a la hora de configurar el software:

• Carpeta de almacenamiento de pruebas: la especificación de la ruta UNC a la carpeta dealmacenamiento de pruebas es un requisito para aplicar una directiva a McAfee ePolicyOrchestrator. Consulte Creación y configuración de carpetas de repositorio en esta guía paraobtener información sobre la configuración de la carpeta y de los permisos de acceso (también seconoce comorecurso compartido de red de pruebas).

• Servicio de pruebas: el servicio de pruebas se activa en la ficha Configuración de los agentes | Varios.Es una entrada secundaria situada debajo de Servicio de generación de informes, que también debe estaractivado para la recopilación de pruebas.

• Configuración de replicación de pruebas: una opción de la ficha Configuración de los agentes | Pruebale permite seleccionar la recopilación de pruebas, el resaltado de coincidencias o ambas.

Almacenamiento de pruebas y memoria

El número de archivos de pruebas almacenados por evento tiene sus implicaciones en cuanto avolumen de almacenamiento, rendimiento del analizador de eventos y la generación en pantalla (y,por tanto, la experiencia de usuario) de las páginas Administrador de incidentes de DLP y Eventosoperativos de DLP. Para gestionar los distintos requisitos en materia de pruebas, el software McAfeeDLP Endpoint hace lo siguiente:

• El número máximo de archivos de pruebas que se debe almacenar por evento se define en la fichaConfiguración de los agentes | Prueba. El valor predeterminado es 1000; las entradas permitidas oscilanentre 1 y 10 000.

• Cuando un gran número de archivos de pruebas se vinculan a un solo evento, solo los primeros100 nombres de archivo se almacenan en la base de datos y se muestran en la página de detallesdeAdministrador de incidentes de DLP. Los archivos de pruebas restantes (hasta el máximodefinido) se almacenan en recurso compartido de almacenamiento de pruebas, pero no se asocianal evento. Los informes y consultas que filtren las pruebas en función del nombre de archivo solotienen acceso a estos 100 primeros nombres de archivo.

• En el campo Recuento de pruebas original de Administrador de incidentes de DLP se muestra el númerototal de pruebas.

• Para todos los eventos que almacenan pruebas y los eventos de liberación de la cuarentena, elsoftware cliente de McAfee DLP Endpoint crea un archivo all_evidences.csv que se almacena en labase de datos con las pruebas. El archivo se puede enviar a los usuarios finales para laautocorrección. Esto se puede hacer automáticamente si selecciona la opción Adjuntar CSV de pruebasen una tarea de notificación por correo electrónico.

El archivo CSV está codificado en UTF‑16 para permitir los nombres de archivos localizados ycontiene el nombre de archivo, la ubicación de la ruta de acceso completa de la carpeta quecontiene el archivo, el tamaño, el número de coincidencias y vínculos https:// a las pruebas y alresaltado de coincidencias en la base de datos.

Cuando trabaje en modo de compatibilidad con versiones anteriores con versiones anteriores delcliente, los archivos de pruebas por encima de los 100 almacenados en la base de datos no se puedenmostrar porque los clientes anteriores no crean el archivo all_evidences.csv.



Subrayado de coincidencias

La opción de subrayado de coincidencias permite a los administradores identificar exactamente elcontenido de carácter confidencial que ha provocado un evento. Cuando se selecciona, guarda unarchivo HTML cifrado que contiene el texto extraído. Para marcas y categorías de contenido, el textoconsta de una palabra o frase resaltada que va precedida y seguida de cien caracteres (comoreferencia de contexto) que organiza la marca o la categoría de contenido desencadenante del eventoy que incluye el número de eventos que contiene cada marca o categoría de contenido. Para patronesde texto protegido y diccionarios, se extrae el texto exacto. Las palabras clave de expresionesregulares y coincidencias exactas muestran hasta 100 coincidencias por expresión; los diccionariospueden mostrar un máximo de 250 coincidencias por entrada de diccionario. Las opciones devisualización se configuran en la ficha Configuración de los agentes | Prueba:• Mostrar coincidencias abreviadas (opción predeterminada): se muestran 1.500 caracteres (5‑7

coincidencias) por sección.

• Mostrar todas las coincidencias: se muestran todas las coincidencias, con las limitaciones descritasanteriormente.

Reglas que permiten almacenamiento de pruebas

Las siguientes reglas tienen la opción de almacenamiento de pruebas.

Tabla 11-3 Pruebas guardadas por las reglas

Regla Qué guarda

Reglas de protección de correo electrónico Copia del correo electrónico

Reglas de protección del sistema de archivos Copia del archivo

Reglas de protección contra impresión Copia del archivo

Reglas de protección de almacenamiento extraíble Copia del archivo

Reglas de protección contra capturas de pantalla JPEG de la pantalla

Reglas de protección de la publicación web Copia de la publicación web

Reglas de descubrimiento del sistema de archivos Copia del archivo

Reglas de descubrimiento de almacenamiento de correo electrónico Copia del archivo .msg

Supervisión de la actividad mediante recuentos de referenciasUn recuento de referencias es el número de marcas y categorías de contenido que activa un evento.Un único evento puede generar varias referencias.

El Administrador de incidentes de DLP mantiene recuento de referencias, es decir, el número decategorías de contenido y marcas que activaron cada evento. En el panel de detalles de evento, elnúmero total de referencias está concatenado con cada ruta de archivo de pruebas. Los recuentos dereferencias se registran en dos campos de McAfee DLP Monitor:

• Número de referencias: la suma de referencias de categoría de contenido. Las múltiples referencias dediccionario se agregan al total. Las marcas no se cuentan.

• Número de marcas y categorías: la suma de todas las categorías de contenido y marcas encontradas.

• Tamaño del contenido: tamaño total del archivo en KB.

Un único evento puede generar varias referencias. Por ejemplo, si se bloquea un mensaje de correoelectrónico con dos archivos de datos adjuntos, el primero porque activó un diccionario y el segundoporque activó un patrón de texto y contenía contenido marcado, esta circunstancia aparecería enforma de dos referencias y tres marcas y categorías.



Redacción y control de acceso según funcionesEl software McAfee DLP Endpoint limita la visualización de los incidentes de dos modos.

Para cumplir las exigencias legales de algunos mercados y proteger la información confidencial entodas las circunstancias, el software, McAfee DLP Endpoint ofrece una función de redacción de datos.Al utilizar la redacción de datos, los campos específicos en las pantallas Administrador de incidentes deDLP y Eventos operativos de DLP que contienen información confidencial, se cifran para evitar lavisualización no autorizada y se ocultan los vínculos a las pruebas.

Además de poder designar determinados campos como confidenciales, también se puede limitar a losrevisores de modo que solo puedan ver los incidentes asignados a ellos o a los grupos de usuariosespecíficos.

Protección de la confidencialidad con la redacciónLa redacción de datos consiste en el cifrado de la información confidencial para impedir visualizacionesno autorizadas. Algunos países requieren aplicar prácticas de redacción y se considera una prácticarecomendada (incluso cuando no es un requisito legal) separar los permisos de revisión de loseventos operativos e incidentes y bloquear los datos confidenciales de aquellas personas que noprecisen verlos.

La información redactada está cifrada en:

• la pantalla Administrador de incidentes de DLP

• la pantalla Eventos operativos de DLP

Actualmente, los campos nombre del equipo y nombre de usuario están predefinidos como confidenciales.

Hay dos modos de ver los datos confidenciales:

• Otorgar a los administradores permisos para ver todos los campos de los incidentes que estánautorizados a ver.

• Crear un "revisor de redacción", un revisor que no puede ver los incidentes pero que puede accedera los campos cifrados cuando otro revisor ve dicho incidente.

(Este es el modelo de doble revisión y era la única opción en las versiones anteriores de McAfee DLPEndpoint.)

Permisos de DLP en ePolicy Orchestrator

La tabla siguiente muestra de qué modo los permisos de DLP afectan al acceso a las funciones einformes de ePolicy Orchestrator:

Supervisión y generación de informesRedacción y control de acceso según funciones 11


Tabla 11-4 Resumen de los permisos de los eventos operativos e incidentes de DLP y susefectos

Sección Permiso Descripción Efecto en elAdministradorde directivasde DLP

Efecto enAdministradorde incidentesde DLP

Efecto enEventosoperativosde DLP

Efecto eninformesde ePO

Directiva El usuario nopuede verdirectivas.

El usuario noestá autorizadoa ver o creardirectivas deDLP.

La fichaAdministradorde directivas deDLP no estádisponible.

No esimportante.Depende de lospermisos deacceso aincidentes.

No esimportante.Dependede lospermisosde acceso aeventosoperativos.

No esimportante.

El usuariosolo puedeverdirectivas.

El usuario estáautorizado aver lasdirectivas perono puedecrearlas nieditarlas.

La fichaAdministradorde directivas deDLP estádisponible.

El usuariopuede ver yguardardirectivas.

El usuario estáautorizado acrear y editardirectivas.

Control deacceso deincidentes

El usuario nopuede ver losincidentes deDLP.

El usuario noestá autorizadoa ver elAdministradorde incidentesde DLP.

No esimportante.Depende de lospermisos deacceso adirectivas.

La fichaAdministradorde incidentesde DLP no estádisponible.

No esimportante.Dependede lospermisosde acceso aeventosoperativos.

Se filtrantodos losincidentesde DLPpara queno semuestren.

El usuariopuede ver losincidentesque se le hanasignado.

Los usuariospueden vertodos los datosde losincidentes deDLP asignadospersonalmente.

La fichaAdministradorde incidentesde DLP estádisponible.

Losincidentesse filtranpor losderechosde accesodel usuario.

El usuariopuede ver losincidentesasignados alos miembrosde lossiguientesconjuntos depermisos:

El usuariopuede ver losincidentes deDLP asignadosa los grupos delos cuales esmiembro asícomo losincidentesasignados acualquiermiembro dedichos grupos.

El usuariopuede vertodos losincidentes.

El usuariopuede vertodos los datosde incidentesde DLP.

Semuestrantodos losincidentes.

Redacciónde datosdeincidentes

Los datosconfidencialesestánredactados.

El usuario noestá autorizadoa ver loscamposconfidenciales.

No esimportante.Depende de los

La pantalla está disponible pero loscampos confidenciales están redactados.Las pruebas no son accesibles.

11 Supervisión y generación de informesRedacción y control de acceso según funciones


Tabla 11-4 Resumen de los permisos de los eventos operativos e incidentes de DLP y susefectos (continuación)

Sección Permiso Descripción Efecto en elAdministradorde directivasde DLP

Efecto enAdministradorde incidentesde DLP

Efecto enEventosoperativosde DLP

Efecto eninformesde ePO

Los datosconfidencialesaparecen entexto nocifrado.

permisos deacceso adirectivas.

El usuariopuede vertodos loscampos.

Se muestran todos los campos y laspruebas son accesibles.

El usuariopuedeacceder a losdatosconfidencialesredactados.

El usuario noestá autorizadoa verincidentes deDLP, peropuede descifrarcamposconfidencialesen presenciade un usuarioque sí puedever incidentesde DLP.

No esimportante.

No esimportante.

Ningúninforme deDLP estáautorizado.

Creaciónde tareadeincidente

El usuariopuede crearuna tarea denotificaciónde correoelectrónico.

El usuariopuede crear lastareasseleccionadas.


Solo disponiblepara losusuarios conacceso parcialcomo mínimo.

No esimportante.Dependede lospermisosde acceso aincidentes.

No esimportante.

El usuariopuede crearuna tarea depurga.

El usuariopuede crearuna tarea dedefinición derevisor.

Eventosoperativos

El usuario nopuede ver loseventosoperativos.

El usuario noestá autorizadoa ver lapantallaEventosoperativos deDLP.


No esimportante.Depende de lospermisos deacceso aincidentes.

La fichaEventosoperativosde DLP noestádisponible.

Loseventosoperativosse filtranpor losderechosde accesodel usuario.

El usuariopuede vertodos loseventosoperativos.

El usuariopuede vertodos los datosde eventosoperativos deDLP.

La fichaEventosoperativosde DLP estádisponible.

Semuestrantodos loseventosoperativos.

Véase también Creación y definición de conjuntos de permisos en la página 191

Supervisión y generación de informesRedacción y control de acceso según funciones 11


Control de acceso según funcionesLos incidentes de las consolas de Administrador de incidentes de DLP o Eventos operativos de DLP sepueden asignar a usuarios o a grupos de usuarios específicos.

El control de acceso según funciones ofrece un control pormenorizado de la visualización de los datosde Administrador de incidentes de DLP y Eventos operativos de DLP. Mediante la asignación deincidentes a administradores o grupos específicos y la definición de permisos en los conjuntos depermisos de ePolicy Orchestrator, puede controlar los incidentes que puede ver cada revisor.

Flujo de trabajo

Para usar la función de control de acceso según funciones, utilice el flujo de trabajo siguiente:

• Crear un revisor: puede utilizar un usuario o un grupo de usuarios existente, o crear un usuarionuevo en ePolicy Orchestrator Menú | Administración de usuarios | Usuarios.

• Crear un conjunto de permisos: en ePolicy Orchestrator Menú | Administración de usuarios | Conjuntosde permisos, cree un conjunto de permisos nuevo y, a continuación, asigne el permiso de Data LossPrevention a su usuario.

• Cree una tarea Definir revisor en Administrador de incidentes de DLP | Tareas de incidentes para asignar revisoressegún las condiciones predefinidas.

Caso práctico: reglas de protección de correo electrónicoComo ejemplo, imaginemos que desea asignar un administrador para que revise todas lasinfracciones de reglas de protección de correo electrónico. El orden exacto no esimportante, pero debe realizar las acciones siguientes:

1 Crear un revisor de directivas de correo electrónico de DLP. En ePolicy Orchestrator, enAdministración de usuarios | Usuarios, cree un usuario con un nombre adecuado, por ejemplo"DLP email reviewer".

2 Cree un nuevo conjunto de permisos, que podemos denominar "Review DLP email",asígnele el nuevo revisor y defina los permisos de Data Loss Prevention. Para activar lospermisos basados en funciones, debe permitir que su usuario "vea" o "veaparcialmente" los incidentes y eventos. Si selecciona "ver parcialmente", el revisor nopodrá ver los campos privados (redactados).

3 Puede asignar a revisores de forma manual (desde el panel de detalles de losincidentes) o automática. Para asignar todos los incidentes de correo electrónicoautomáticamente a su revisor, vaya a Administrador de incidentes de DLP | Tareas de incidentes ycree una nueva tarea de definición de revisor. Seleccione la propiedad Producto del proceso yconfigúrela como en Microsoft Outlook. Si es posible que vea incidentes de Lotus Notes,agregue también dicha propiedad.

El nuevo revisor se asignará la próxima vez que se ejecute la tarea servidor de ePolicyOrchestrator Ejecutor de tareas de incidentes de DLP.

11 Supervisión y generación de informesRedacción y control de acceso según funciones


12 Conjuntos de permisos y usuarios

Recomendamos crear funciones y permisos de administrador específicos en ePolicy Orchestrator parala consola de directivas de McAfee DLP Endpoint y Administrador de incidentes de DLP. Entre estasfunciones se incluye la creación y el almacenamiento de directivas; la visualización de las directivas(sin opción de cambiarlas); la creación de claves de desbloqueo para omisión, desinstalación y puestaen cuarentena; la visualización de Administrador de incidentes de DLP; y la revelación de camposconfidenciales.

Redacción de datos confidenciales y los conjuntos de permisos de ePolicyOrchestrator

Para cumplir las exigencias legales de algunos mercados sobre la protección de informaciónconfidencial bajo cualquier circunstancia, el software McAfee DLP Endpoint ofrece una función deredacción de datos. Los campos de Administrador de incidentes de DLP y Eventos operativos de DLPque contienen información confidencial se cifran para impedir visualizaciones no autorizadas y seocultan los vínculos a pruebas confidenciales. La función se ha diseñado con una "clave doble" dedesbloqueo. Esto quiere decir que, para utilizar la función, debe crear dos conjuntos de permisos: unopara ver los incidentes y los eventos y otro para ver los campos cifrados. Para utilizar la característica,son necesarias ambas funciones.

Contenido Conjuntos de permisos sobre DLP Creación y definición de administradores de McAfee DLP Creación y definición de conjuntos de permisos

Conjuntos de permisos sobre DLPLos conjuntos de permisos sobre DLP asignan permisos para ver y guardar las directivas y para ver loscampos redactados. También se utilizan para asignar el control de acceso según funciones (RBAC,role‑based access control).

Los conjuntos de permisos de Data Loss Prevention se dividen en cinco secciones:

• Directiva • Creación de tarea de incidente

• Control de acceso de incidentes • Eventos operativos

• Redacción de datos de incidentes

12


Ello le permite diferenciar entre los administradores de directivas de DLP, los administradores deincidentes y eventos operativos, y los revisores de incidentes. La opción El usuario no puede ver los incidentesde DLP de la sección Control de acceso de incidentes hace que las demás secciones de incidentes no esténdisponibles (con la excepción de la opción de acceso a datos redactados). Por lo demás, las opcionesson independientes y las funciones administrativas y de revisión se pueden asignar como se desee.

Los permisos para configurar las claves de desbloqueo de omisión y desinstalación del agente y paradesbloquear correos electrónicos y archivos en cuarentena se han trasladado al conjunto de permisosAcciones del servicio de asistencia.

Caso práctico: administrador de DLPUtilice las selecciones siguientes para un administrador de DLP que solo cree directivas yque no tenga responsabilidades de revisión de eventos.

• En la sección Directiva, seleccione El usuario puede ver y guardar directivas.

• En la sección Control de acceso de incidentes, seleccione El usuario no puede ver los incidentesde DLP.

De forma opcional, se puede permitir que el administrador de DLP vea eventos operativos.

Caso práctico: revisor de campos redactadosEn este ejemplo es necesario configurar permisos para dos revisores: uno que revisa loseventos e incidentes y otro que visualiza los campos redactados. Suponiendo que lasfunciones del revisor estén separadas de las funciones del administrador de directivas,realice las selecciones siguientes:

• Para ambos revisores: en la sección Directiva, seleccione El usuario no puede ver y guardardirectivas.

• Para el revisor de incidentes: en la sección Control de acceso de incidentes, seleccioneuna de las opciones de vista parcial: El usuario puede ver los incidentes asignados a él o El usuariopuede ver los incidentes asignados a los miembros de los siguientes conjuntos de permisos:. En la secciónRedacción de datos de incidentes, seleccione Los datos confidenciales están redactados.

• Para el revisor de redacción: en la sección Control de acceso de incidentes, seleccione Elusuario no puede ver los incidentes de DLP. En la sección Redacción de datos de incidentes,seleccione El usuario puede acceder a datos confidenciales redactados (principio de doble revisión).

Creación y definición de administradores de McAfee DLPPueden crearse usuarios administrativos antes o después de los conjuntos de permisos asignados aellos.


1 En McAfee ePolicy Orchestrator, seleccione Menú | Administración de usuarios | Usuarios.

2 Haga clic en Nuevo usuario.

12 Conjuntos de permisos y usuariosCreación y definición de administradores de McAfee DLP


3 Escriba un nombre de usuario y especifique el estado de inicio de sesión, el tipo de autenticación ylos conjuntos de permisos.

Recomendamos crear grupos de usuarios relacionados con la función, por ejemplo Administradorde cuarentena de DLP.

El orden de creación de los conjuntos de permisos y usuarios no es crítico. Si crea primero usuarios,los nombres de usuario aparecen en el formulario de conjuntos de permisos y puede adjuntarlos alconjunto. Si crea primero conjuntos de permisos, los nombres de los conjuntos de permisosaparecen en el formulario de usuario y puede adjuntar el usuario.

4 Haga clic en Guardar.

Creación y definición de conjuntos de permisosLos conjuntos de permisos resultan útiles para definir distintas funciones administrativas en elsoftware McAfee DLP Endpoint.


1 En McAfee ePolicy Orchestrator, seleccione Menú | Administración de usuarios | Conjuntos de permisos.

2 Seleccione un conjunto de permisos predefinido o haga clic en Acciones | Nuevo conjunto de permisos paracrear un nuevo conjunto.

a Escriba un nombre para el conjunto y seleccione los usuarios.

El orden de creación de los conjuntos de permisos y usuarios no es crítico. Si crea primerousuarios, los nombres de usuario aparecen en el formulario de conjuntos de permisos y puedeadjuntarlos al conjunto. Si crea primero conjuntos de permisos, los nombres de los conjuntos depermisos aparecen en el formulario de usuario y puede adjuntar el usuario.

b Haga clic en Guardar.

3 En el campo Data Loss Prevention (Prevención de fuga de datos) del conjunto de permisos, haga clic enEditar.

4 Para definir el control de acceso según funciones (RBAC, role‑based access control) para esteusuario o grupo, seleccione los permisos deseados y, a continuación, haga clic en Guardar.

Conjuntos de permisos y usuariosCreación y definición de conjuntos de permisos 12


Los permisos se pueden configurar por separado para cinco categorías:

• directivas • creación de tarea de incidente

• control de acceso de incidente • eventos operativos

• redacción de datos de incidentes

Figura 12-1 Edición de un conjunto de permisos para McAfee DLP Endpoint

12 Conjuntos de permisos y usuariosCreación y definición de conjuntos de permisos


Solución de problemasEn este apartado se tratan los procedimientos operativos no estándar comola omisión del agente.

Capítulo 13 Solución de problemas y operaciones no estándar


Solución de problemas


13 Solución de problemas y operaciones noestándar

Durante el funcionamiento normal, ePolicy Orchestrator se utiliza para realizar todos los cambios en elsistema. No obstante, se pueden producir situaciones en la que sea necesario llevar a cabodeterminadas acciones, como ampliar las directivas o desinstalar el software cliente, de forma manual.

Contenido Herramientas del sistema Omisión de agente y funciones relacionadas Despliegue manual de los productos de software del endpoint de McAfee Temas avanzados: Ejecución del robot de rastreo (crawler) de PST desde la línea de comandos

Herramientas del sistemaLas herramientas del sistema del software McAfee DLP Endpoint permiten rastrear las alertas sobre elmantenimiento del sistema y configurar las funciones avanzadas.

Las herramientas del sistema están concebidas para ser el primer paso en la solución de problemas. Aellas se accede mediante el menú Herramientas. Existen herramientas para:

• Análisis de la directiva

• Visualización del registro del sistema

• Nueva ejecución del asistente de Inicialización

• Configuración de las opciones de herramientas

Caso práctico: análisis de una directivaLas directivas que contienen errores no pueden aplicarse a la base de datos de ePolicyOrchestrator. Antes de intentar aplicar una nueva directiva, compruebe la directiva con elanalizador de directivas y corrija los errores. El analizador de directivas también muestraadvertencias que indican si una regla o definición están incompletas o desactivadas. Lasdirectivas incompletas se pueden aplicar a la base de datos, lo que le permite probardirectivas parciales durante la creación de nuevas directivas.

Para ver el analizador de directivas, seleccione Herramientas | Ejecutar Analizador de directivas en laconsola de directivas de McAfee DLP Endpoint (o pulse F8). Las entradas del analizador dedirectivas se muestran en la parte inferior de la ventana.

13


Caso práctico: visualización del registro del sistemaUtilice el registro del sistema para observar y recibir alertas sobre el mantenimiento delsistema y otros eventos relacionados. El registro del sistema es fundamental para lasolución de problemas.

Para ver el registro del sistema, seleccione Herramientas | Ver registro en la consola dedirectivas deMcAfee DLP Endpoint (o pulse F7). Las entradas del registro del sistema semuestran en la parte inferior de la ventana.

Omisión de agente y funciones relacionadasLa omisión de agente es una suspensión temporal de las reglas de bloqueo. Se aplica cuando unusuario necesita un permiso temporal para enviar información que normalmente se consideraconfidencial.El modo de omisión de agente suspende de forma temporal el bloqueo que realiza el software delendpoint durante un tiempo determinado. En este modo, el software del endpoint sigue recopilando yenviando información sobre eventos al Analizador de eventos de ePolicy Orchestrator. Los eventos semarcan con la etiqueta de omisión. El usuario no recibe notificaciones visuales de los eventos mientrasestá activo el modo de omisión.

El mecanismo de omisión se conoce como "desafío/respuesta". El usuario abre una ventana emergentedel cliente McAfee DLP Endpoint que muestra un Código de identificación y un ID de revisión. El código y el IDse envían al administrador de DLP para solicitar un código de autorización. El administrador acepta lasolicitud mediante la creación de un código de autorización que enviará al usuario y, quien a su vez, lointroducirá en el cuadro de texto emergente Código de autorización. Por motivos de seguridad, cada vezque abre la ventana emergente, se genera un nuevo código ID a partir del cual se genera el código deautorización. Por lo tanto, el usuario debe dejar la ventana emergente abierta hasta que se introduzcael correspondiente código de autorización.

La omisión de agente ya no finaliza al cerrar la sesión o al reiniciar el equipo sino que permanece activadurante todo el período de tiempo establecido en la directiva (el intervalo de duración de la omisiónpuede ser de 5 minutos a 30 días).

Para crear el código de autorización de omisión de agente se requiere la utilidad McAfee Help Desk,que está incluida en el instalador de McAfee DLP Endpoint. Consulte la documentación de McAfee HelpDesk si desea más información sobre los códigos de autorización.

Funciones relacionadasDesinstalación del agente

El software cliente de McAfee DLP Endpoint está protegido frente a la eliminación no autorizada.Existen dos métodos de eliminación autorizada:

• La desinstalación en red desde ePolicy Orchestrator, realizada por el administrador de McAfee ePO.

• La desinstalación local mediante la función Agregar o quitar programas de Windows. Este método utilizael mecanismo de desafío/respuesta.

Liberar de la cuarentena

Cuando el robot de rastreo (crawler) de McAfee DLP Discover pone en cuarentena mensajes de correoelectrónico o archivos de carácter confidencial, se utiliza el mecanismo de desafío/respuesta paraliberar la información de la cuarentena. Para liberar de la cuarentena solo se utiliza el Código deautorización y no el ID de revisión.

13 Solución de problemas y operaciones no estándarOmisión de agente y funciones relacionadas


Caso práctico: códigos de autorización maestrosNormalmente, los códigos de autorización se generan a partir de códigos de identificación yson exclusivos para los usuarios que los solicitan. Sin embargo, en algunos casos, eladministrador puede desear publicar un código de autorización para varios equipos. Eltípico caso es cuando ocurre un problema con una compilación específica del softwarecliente de McAfee DLP Endpoint y se debe desinstalar desde varios endpoints. En dichocaso, el administrador crea un código de autorización maestro que se puede usar encualquier cliente deMcAfee DLP Endpoint. El código maestro está basado en el tiempo ycaduca tras un tiempo especificado.

Para obtener más información acerca de los códigos de autorización maestros, consulte laGuía del producto de McAfee Help Desk.

Solicitud de una clave de omisiónEn algunas ocasiones el usuario necesita copiar algo que está bloqueado por una regla. En estoscasos, el usuario solicita una clave de omisión que omite las acciones normales de McAfee DLPEndpoint durante un período de tiempo preestablecido.

Antes de empezarLa opción Mostrar la tarea "Solicitar omisión de DLP" en la consola de DLP Endpoint debe seleccionarse enla ficha Configuración de los agentes | Servicio de interfaz de usuario.

Cuando está en modo de omisión, el software de endpoints sigue recopilando y enviando informaciónal Analizador de eventos de ePolicy Orchestrator y los marca con una etiqueta de omisión. El usuariono recibe notificaciones visuales de los eventos mientras está activo el modo de omisión.

Procedimiento1 En la bandeja del sistema del equipo gestionado, haga clic en el icono de McAfee Agent y, a

continuación, seleccione Administrar funciones | Consola de DLP Endpoint.

Aparece la consola de DLP Endpoint.

Solución de problemas y operaciones no estándarOmisión de agente y funciones relacionadas 13


2 Haga clic en la ficha Tareas.

Figura 13-1 Solicitud de omisión de la consola de DLP Endpoint

3 Envíe el Código de identificación y el ID de revisión al administrador, junto con el nombre de usuario y ladirección de correo electrónico. También puede incluir como información opcional el nombre delequipo y la justificación empresarial para la omisión. Cuando está aprobado, el administradorgenera el Código de autorización y se lo envía al usuario. El administrador del sistema define durantecuánto tiempo se aplicará la omisión antes de la generación del código.

Cada vez que se selecciona la opción Solicitar omisión de agente en el menú, se genera un nuevo códigode identificación. Debe dejar la ventana de solicitud de omisión abierta hasta que reciba elcorrespondiente código de autorización.

4 Introduzca o pegue el Código de autorización en el cuadro de texto y haga clic en Aceptar.

El código de autorización es un código alfanumérico de 8 o 16 dígitos. Si el código contiene guiones(para facilitar su lectura), debe eliminarlos antes de copiar el número en el cuadro de texto. Siintroduce un código incorrecto tres veces y la directiva de bloqueo de código de autorización se haactivado en la ficha Configuración de los agentes | Servicio de notificación, la ventana emergente deja deaparecer durante 30 minutos (configuración predeterminada).

La ventana emergente del agente muestra una verificación.

Despliegue manual de los productos de software del endpointde McAfee

El método preferido de despliegue de los productos de software del endpoint de McAfee es mediante elePolicy Orchestrator. Sin embargo, existen varios métodos de despliegue manual para aquellos casosen que no sea posible o no se desee realizar el despliegue con ePolicy Orchestrator.

El despliegue manual se puede usar para desplegar el software cliente de McAfee DLP Endpoint o paraactualizar las directivas en equipos offline. Cuando se utiliza para actualizar las directivas, este métodose conoce como inyección de directivas.

13 Solución de problemas y operaciones no estándarDespliegue manual de los productos de software del endpoint de McAfee


Como ejemplo, en este apartado se describe el despliegue con Microsoft Systems Management Server(SMS) 2003. SMS ofrece una solución integral para desplegar y gestionar aplicaciones y sistemasoperativos en servidores y equipos basados en Windows. Cuando utilice SMS para el despliegue enlugar del ePolicy Orchestrator, también deberá instalar manualmente el archivo(.opg) de la directiva.

En los sistemas Windows Vista, Windows 7 y Windows Server 2008, si se ejecuta el instalador delsoftware cliente de McAfee DLP Endpoint independiente mientras que el UAC (Control de cuentas deusuario) está activo, deberá usar la opción Ejecutar como administrador.

Creación de un paquete de instalaciónCree un paquete para instalar un producto de software del endpoint de McAfee con Microsoft SystemsManagement Server. En este procedimiento no se requiere ePolicy Orchestrator.

Instale Microsoft Visual C++ 2005 SP1 Redistributable Package (x86). El paquete se puede descargaren:

http://www.microsoft.com/downloads/details.aspx?familyid=200B2FD9‑AE1A‑4A14‑984D‑389C36F85647

Procedimiento1 En la consola de Systems Management Server, haga clic con el botón derecho en Paquetes y

seleccione Nuevo | Paquete.

2 En la ficha General, escriba el Nombre del paquete (obligatorio), así como la Versión, el Editor y el Idioma(opcional).

3 En la ficha Origen de datos, seleccione Este paquete contiene archivos de origen y, a continuación, haga clic enEstablecer.

4 En la ventana Establecer directorio de origen de Ubicación del directorio de origen, seleccione el tipo de conexióncon los archivos de instalación en el directorio de origen. Escriba la ruta del directorio de origen enel campo y haga clic en Aceptar.

5 En la ficha Configuración de distribución, seleccione Alta en la lista desplegable Prioridad de envío, y haga clicen Aceptar.

El paquete aparece en el nodo Paquetes del árbol del sitio.

6 Expanda el nuevo paquete en el nodo Paquetes.

7 Haga clic con el botón derecho en Puntos de distribución y seleccione Nuevo | Punto de distribución.Seleccione el servidor o los servidores que desee convertir en puntos de distribución para estepaquete y haga clic en Finalizar.

8 Haga clic con el botón derecho del ratón en Programas y seleccione Nuevo | Programa. Escriba elnombre de la aplicación.

Solución de problemas y operaciones no estándarDespliegue manual de los productos de software del endpoint de McAfee 13


http://www.microsoft.com/downloads/details.aspx?familyid=200B2FD9-AE1A-4A14-984D-389C36F85647

http://www.microsoft.com/downloads/details.aspx?familyid=200B2FD9-AE1A-4A14-984D-389C36F85647

9 En el campo Línea de comandos, escriba el ejecutable de línea de comandos de McAfee DLP, porejemplo:

msiexec /I DLPAgentInstaller.msi /qn /forcerestart

El nombre del archivo .msi se extrae manualmente del archivo DLPAgentInstaller.x86.exe.

Recomendamos reiniciar el equipo gestionado después de instalar el paquete del endpoint. Paraactivar esta opción, use el parámetro

/forcerestart

. Para activar el registro de instalación, use

/log <LogFile>

10 En la ficha Entorno, seleccione Si un usuario ha iniciado sesión o no en la lista desplegable El programa se puedeejecutar. Haga clic en Aceptar.

Compruebe que la opción Ejecutar con derechos de administrador esté seleccionada. La configuración delsoftware McAfee Data Loss Prevention Endpoint requiere derechos de administrador para que lainstalación se lleve a cabo correctamente.

Creación de un anuncioLos paquetes de SMS se deben "anunciar". Así se crea el anuncio de un paquete de SMS.

Procedimiento1 En la consola de Systems Management Server, haga clic con el botón derecho del ratón en Anuncios

y seleccione Nuevo | Anuncio. Escriba el nombre para el anuncio.

2 En la lista desplegable Paquete, seleccione el nombre del paquete de McAfee DLP.

3 En la lista desplegable Programa, seleccione el nombre de la aplicación de McAfee DLP.

4 Haga clic en Examinar y seleccione la colección a la que se debe aplicar el paquete de instalación deMcAfee DLP; a continuación, haga clic en Aceptar.

5 En la ficha Planificación, confirme la hora a la que se debe ofrecer el anuncio y especifique si elanuncio debe caducar y cuándo. Haga clic en Aceptar.

Creación del paquete de desinstalación de SMSCree un paquete para desinstalar el software McAfee Data Loss Prevention Endpoint con MicrosoftSystems Management Server. En este procedimiento no se requiere ePolicy Orchestrator.




3 En la ficha Origen de datos, seleccione Este paquete contiene archivos de origen y, a continuación, haga clic enEstablecer.

13 Solución de problemas y operaciones no estándarDespliegue manual de los productos de software del endpoint de McAfee


4 En la ventana Establecer directorio de origen de Ubicación del directorio de origen, seleccione el tipo de conexióncon los archivos de instalación en el directorio de origen. Escriba la ruta del directorio de origen enel campo y haga clic en Aceptar.

5 En la ficha Configuración de distribución, seleccione Alta en la lista desplegable Prioridad de envío, y haga clicen Aceptar.

El paquete aparece en el nodo Paquetes del árbol del sitio.

6 Expanda el nuevo paquete en el nodo Paquetes.

7 Haga clic con el botón derecho en Puntos de distribución y seleccione Nuevo | Punto de distribución.Seleccione el servidor o los servidores que desee convertir en puntos de distribución para estepaquete y haga clic en Finalizar.

8 Haga clic con el botón derecho del ratón en Programas y seleccione Nuevo | Programa. Escriba unnombre para el programa.

9 En el campo Línea de comandos, escriba el ejecutable de línea de comandos del producto del enpoint,por ejemplo:

msiexec /x DLPAgentInstaller.msi /qn /forcerestart

El nombre del archivo .msi se extrae manualmente del archivo .exe del instalador del producto deendpoint.

10 En la ficha Entorno, seleccione Si un usuario ha iniciado sesión o no en la lista desplegable El programa se puedeejecutar. Haga clic en Aceptar.

Creación de un paquete de desinstalación de SMS para suejecución desde una línea de comandoCree un paquete para la desinstalación de productos de software de endpoint McAfee que se ejecutedesde una línea de comandos.




3 En la ficha Origen de datos, desactive la casilla Este paquete contiene archivos de origen y haga clic enEstablecer.

4 Localice la cadena de desinstalación correspondiente al agente de McAfee DLP.

a En el editor del registro, vaya a HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall.

b Haga clic en las entradas hasta encontrar DisplayName: McAfee DLP Endpoint.

c Copie la UninstallString, por ejemplo:

MsiExec.exe /X{287AAE25‑B0F4‑4E9E‑A7FD‑8EA81FF635E1}

5 Para desinstalar, use la línea de comando:

<cadena de desinstalación>/qn/forcestart

Solución de problemas y operaciones no estándarDespliegue manual de los productos de software del endpoint de McAfee 13


Temas avanzados: Ejecución del robot de rastreo (crawler) dePST desde la línea de comandos

El descubrimiento de almacenamiento de correo electrónico se puede ejecutar desde la línea decomandos.

La separación de la función del robot de rastreo (crawler) de PST a un ejecutable distinto (fcpst.exe)ofrece la posibilidad de ejecutar análisis de almacenamiento de correo electrónico desde la línea decomandos. De forma predeterminada, el robot de rastreo (crawler) solo realiza enumeraciones de loselementos existentes e impresiones en un archivo de registro. Se pueden utilizar los siguientesparámetros de la línea de comandos:

Parámetro Definición

‑t1 Analiza los archivos PST que se encuentran en los discos duros locales

‑t2 Analiza el archivo OST

‑t4 Analiza los archivos PST asignados

Si se combinan valores se combinan las operaciones. Por ejemplo:

Comando Definición

fcpst.exe ‑t3 Analiza los archivos PST en las unidades locales Y analiza el archivo OST

fcpst.exe ‑t7 Se analizan todos los elementos: todos los archivos PST que se encuentran en lasunidades locales, los archivos PST asignados y el archivo OST

13 Solución de problemas y operaciones no estándarTemas avanzados: Ejecución del robot de rastreo (crawler) de PST desde la línea de comandos


Índice

Aacciones/matriz de reglas (gráfico) 142

acerca de esta guía 7administrador de incidentes 172

Administrador de incidentes de DLP 172

eventos y alertas del sistema 173

responder a eventos 171

administradores de DLP, definición 190

administradores, definición 190

Adobe LiveCycle Rights Management, véase gestión dederechos

agente de DLP, véase DLP Endpoint agregación de mensajes emergentes 142

almacenamiento extraíblereglas de protección 158

ampliación (descripción de tarea) 43

ampliación por fases 44

ampliación, elementos no admitidos 41

ampliación, por fases 44

Analizador de eventos de ePO 14

analizador de eventos, al ampliar 41

anuncios de SMS 200

aplicaciones, en reglas 93

archivador, estrategia de aplicaciones 93

archivo all_evidences.csv 182

archivo, accesoreglas, acerca de 124

reglas, dispositivos de almacenamiento extraíbles 131

archivos asignados a la memoria, análisis 93

asignaciones de equipos, al ampliar 41

asistentesGenerador de tareas cliente 104

Sincronización de plantillas 164

asistentes, Data Loss PreventionSincronización de plantillas 164

Bbase de datos

eliminar eventos 182

estadísticas, ver 182

Ccarpeta de la lista blanca, configuración en Windows Server

2003 30

carpeta de la lista blanca, configuración en Windows Server2008 29

carpeta de lista blanca 28

carpeta de pruebas 28

carpeta de pruebas, configuración en Windows Server 2003 30

carpeta de pruebas, configuración en Windows Server 2008 29

catálogo de categorías 109

categorías de contenido 101, 107, 109

clase de dispositivoscrear nuevos 118

eliminar 164

tipos 116

Clasificación de mensajes de Titus, integración 68

clústerescomprobación de la instalación 28

preparación del entorno 27

uso de software DLP en un entorno de clúster 27

Compatibilidad con Citrix 14

Compatibilidad con RDP 14

Compatibilidad con VDI 14

compatibilidad con versiones anteriores 20, 36, 41

compatibilidad con versiones anteriores, errores 51

Compatibilidad con VMware 14

componentes, Data Loss Prevention (diagrama) 21

componentes, descripción 14

comportamiento de evento agregado 93

configuración de endpointacerca de 57

modo seguro 58

configuración de los agentesasignar con ePolicy Orchestrator 52

global 58

configuración del servidor 26

configuración del sistema 57

configuración global de los agentes 58

configuración, servidor 26

conjuntos de permisos, definición 191

consola de directivasconsola, ilustración 10

consola de directivas de DLP, instalación 35

consultas de datos acumulados 178


consultas, al ampliar 41

control de acceso según funciones 185, 188, 191

convenciones tipográficas e iconos utilizados en esta guía 7correo electrónico

envío de eventos de DLP 176

cuarentena 196

liberar de 182

restaurar archivos o elementos de correo electrónico 78

Ddatos

clasificación 61

datos en tránsito 85, 90

datos en uso 99

datos de DLP, clasificación 63

datos en reposo 71

de confianza, estrategia de aplicaciones 93

definicionesaplicación 93

destino de correo electrónico 85

destino web 90

diccionarios 61

dispositivo, véase definiciones de dispositivosdocumentos registrados 84

eliminar 164

extensión de archivo 63, 82, 99

impresora 87

lista blanca 69

lista de servidores de archivos 79

marcas 107

patrón de texto 63

propiedades de documento 63

propiedades de documentos 82

red 80

repositorio de documentos registrados 82

tabla 146

definiciones de aplicacionesacerca de 93

aplicaciones web 97

crear 96

crear desde la lista de aplicaciones empresariales 97

eliminar 164

estrategia 92

plantillas 164

usar 93

definiciones de dispositivosalmacenamiento extraíble 122

gestión de parámetros 120

grupos 124

importación 123

importar a existente 123

Plug and Play 121

definiciones de red(tabla) 146

definiciones de redacerca de 80

eliminar 164

grupo de intervalos de direcciones 81

intervalo de direcciones 80

intervalo de puertos 82

regla de protección 155

desafío/respuesta 78

descubrimientoacerca de 71

configurar 76

crear regla de descubrimiento de almacenamiento decorreo electrónico 75

crear una regla de descubrimiento de sistema de archivos73

planificar 77

descubrimiento de almacenamiento de correo electrónico 202

desinstalación del agente 196

desinstalación desde línea de comando 201

despliegue manual 198

destinos de correo electrónicoacerca de 85

crear 85

definiciones (tabla) 146

eliminar 164

grupos 86

destinos webacerca de 90

crear 90


eliminar 164

grupos 91

diccionariosacerca de 61

crear 62

importar entradas 62

directiva de DLPconsola, ilustración 10

directiva, restauración tras ampliación 45

directivasactualización 53

aplicar 51

asignación de usuarios 166

asignar 50, 52

definición 12

editar una descripción 53

omisión 196

directivas, inicialización 36

dispositivosalmacenamiento extraíble 119

de lista blanca 119

gestión 116

listas, agregar definiciones de dispositivos Plug and Play122

parámetros, lista 134

Plug and Play 119

Índice


dispositivos de almacenamiento extraíbles 119

dispositivos Plug and Play de la lista blanca 119

DLP Discover 71

DLP Endpointdefinición 14

desinstalación con SMS 200

despliegue 48

incorporación en ePolicy Orchestrator 39

llamada de activación 53

verificación del despliegue 50

documentaciónconvenciones tipográficas e iconos 7destinatarios de esta guía 7específica de producto, buscar 8

documento, definiciones de propiedades 63

Eeditor, estrategia de aplicaciones 93

ePolicy Orchestratordirectiva del sistema, asignar 51

grupos de asignación de equipos 168

sincronización de plantillas de directiva, asistente 50

escritor de PDF, reglas de protección contra impresión 156

escritura de imágenes, en reglas de protección contra impresión157

estrategia, véase definiciones de aplicaciones estrategia de aplicaciones 93

estrategia, para aplicaciones 93

etiquetas, marcado de eventos con 176

eventoseliminar 182

marcar con etiquetas 176

supervisión 171

visualización 173

Eventos de DLPver las estadísticas de la base de datos 182

explorador, estrategia de aplicaciones 93

extensiones de archivosacerca de 99

creación de grupos 100

crear 100

definiciones 63


eliminar 164

FFileSecure 140

filtro de eventos 174

filtro de incidentes 174

filtrosdefiniciones de red 80

funcionamiento con conexión/sin conexión 14

funciones y permisos 28

Ggeneración de informes 178

generador de claves 196

gestión de derechos 138, 140

configuración del servidor 139

configurar el servidor 139

funcionamiento con Data Loss Prevention 137

sincronización de directivas 139

sincronizar plantillas 139

usuarios 138

gruposcorreo electrónico 86

definiciones de dispositivos 124

intervalo de direcciones de red 81

patrones de texto 64, 67

grupos de asignacióncrear 166

definición 12

equipo 168

usuarios con permisos 167

usuarios, inclusión y exclusión 166

grupos de asignación de equipos 168

grupos de asignación de usuarioscrear 166

grupos de documentosregistrados, crear 84

GUID, véase GUID del dispositivo GUID del dispositivo 117

Hherramientas del sistema 195

Iimpresoras

acerca de 87

de lista blanca 87, 89, 90

incompatibles 87

no gestionadas 87, 89

impresoras no gestionadas, véase impresoras de la lista blanca informes de datos acumulados 178

informes de ePO 178

inyección de directivas 198

Jjustificación, véase justificación empresarial justificación empresarial 150, 161

Llicencia, Device Control y DLP 38

lista blancaagregar contenido 69

definición (tabla) 146

eliminación de contenido 70

impresora 87

Índice


lista de aplicaciones empresarialesacerca de 93

eliminar aplicaciones 99

importación 98

importación mediante análisis 99

lista de impresorasagregar impresoras 88

crear 88


lista de servidores de archivosacerca de 79

agregar un servidor 80

crear 79


listas blancas 12

acerca de 69

definiciones de aplicaciones 133

definiciones Plug and Play, crear 122

impresoras 90

impresoras no gestionadas 89

llamada de activación 53

Lotus Notes, regla de protección de correo electrónico 150

Mmarcas

acerca de 107

contenido, véase categorías de contenidocrear 108


eliminar 164

grupos de marcas 110

manuales 113, 114

vincular marcas a contenido 110

marcas manuales 113

McAfee Endpoint Encryption for Files and Folders 119

McAfee Endpoint Encryption for Removable Media 119

McAfee ServicePortal, acceso 8modo de omisión, véase directivas, omisión modo seguro 58

Nnotificaciones de ePO 178

notificaciones, ePolicy Orchestrator 178

números de revisión 50

números de revisión de directivas 50

Oomisión

clave, solicitud 197

omisión de agente 196

omisión de correo electrónico 150

omisión de la directiva 197

OpenLDAP 166

Ppaneles, opciones de informes 179

paquete de desinstalación de SMS, creación 200

paquete de desinstalación de SMS, línea de comando 201

paquete de instalación de SMS, creación 199

parámetros, dispositivo 134

patrones de textoacerca de 63

crear 64


eliminar 164

grupos 67

para la integración de clasificación de mensajes de Titus 68

prueba 66

permisos del usuario 185

plantillas 164

plantillas, Data Loss Prevention 164

Plug and Play, dispositivosde lista blanca 119

definición de la lista blanca, crear 122

definiciones de dispositivos 121

protección del Portapapelesreglas, crear 148

pruebaAdministrador de incidentes de DLP 173

almacenamiento para contenido cifrado 182

eventos de endpoint 171

Rrecuento de referencias 184

redacción 185, 189

acerca de 185

ver texto redactado 173

registro del sistema, ver 195

regla de protección de impresora 157

regla de protección del sistema de archivos 153

regla predeterminada, definición 47

reglasCitrix 124

clasificación 101

eliminar 164

marcado 11, 110

reglas de clasificación 10, 101

reglas de descubrimiento 11

reglas de dispositivosacerca de 124

almacenamiento extraíble 130

Citrix 133

definición 12

disco fijo 132

Plug and Play 129

Reglas de dispositivos Citrix 124

Reglas de dispositivos TrueCrypt 124, 130

Índice


reglas de DLPacceso a archivos de dispositivos de almacenamiento

extraíbles 131

clasificación 10

dispositivo 12, 129, 130

marcado 11

protección 12

reglas de marcadobasadas en aplicaciones 111

basadas en el contenido 102

basadas en la ubicación 112

crear 111

definición 11

diccionario 103

vínculos al contenido 110

reglas de protecciónacceso a archivos de la aplicación 147

almacenamiento extraíble 158

captura de pantalla 160

comunicaciones de la red 155

correo electrónico 150

definición 12

funcionamiento 142, 146

impresora 157

Portapapeles 142, 148

publicación web 161

sistema de archivos 153

reglas de protección contra capturas de pantalla 160

reglas de protección de correo electrónico 150

reglas de protección de la publicación web 161

Reglas de protección del Portapapeles 142

reglas de protección, Data Loss Preventionfuncionamiento 142

repositorios de DLP, documento registrado 82

repositorios de documentos registrados 82, 83, 104

repositorios de documentos registrados, uso 83

repositorios, documento registrado 83

requisitos de hardware 24

requisitos de software del servidor 24

requisitos del sistema 24

resaltado de referencias, eventos 182

SSeclore FileSecure 140

ServicePortal, buscar documentación del producto 8servicio de protección de vigilancia, acerca de 57

sesiones de usuarios 124

sistemas operativos compatibles 24

software Data Loss Prevention, descripción 19

Soporte técnico, buscar información del producto 8supervisión 14, 172

Ttarea de definición de revisor 176

tarea de notificación por correo electrónico 176

tarea de purga 176

tarea servidor de ejecutor de tareas de DLP 176

tareas de incidentes 172, 176, 177

títulos de ventanas en reglas de protección contra capturas depantalla 160

TrueCrypt 141

Uusuarios

exclusión de un grupo de asignación de usuarios 166

grupos de asignación 166

locales 166

usuarios con permisos, grupos de asignación 167

usuarios locales 166

Vvalidadores 63, 66

verificación de la instalación 50

vigilancia del servicio del agente de DLP 57

Índice


TP000036-A02

Documents

McAfee Data Loss Prevention Endpoint 9.3.0 Guía del …³n de un servidor Seclore y sincronización de directivas.....140 Control del contenido de carácter confidencial con reglas