COPYRIGHTCopyright © 2017 McAfee LLC
ATRIBUCIONES DE MARCAS COMERCIALESMcAfee y el logotipo de McAfee, McAfee Active Protection, ePolicy Orchestrator, McAfee ePO, Foundstone, McAfee LiveSafe, McAfee QuickClean, McAfee SECURE,SecureOS, McAfee Shredder, SiteAdvisor, McAfee Stinger, TrustedSource y VirusScan son marcas comerciales de McAfee LLC o sus filiales en EE. UU. y otros países.Otros nombres y marcas pueden ser reclamados como propiedad de terceros.
INFORMACIÓN DE LICENCIA
Acuerdo de licenciaAVISO A TODOS LOS USUARIOS: LEA ATENTAMENTE EL ACUERDO LEGAL PERTINENTE CORRESPONDIENTE A LA LICENCIA QUE HAYA ADQUIRIDO, EN EL QUE SEESTABLECEN LOS TÉRMINOS Y LAS CONDICIONES GENERALES DE APLICACIÓN AL USO DEL SOFTWARE CUYA LICENCIA SE CONCEDE. SI NO SABE QUÉ TIPO DELICENCIA HA ADQUIRIDO, CONSULTE LOS DOCUMENTOS RELATIVOS A LA VENTA, ASÍ COMO OTROS DOCUMENTOS RELACIONADOS CON LA CONCESIÓN DE LALICENCIA O CON LA ORDEN DE COMPRA QUE ACOMPAÑEN AL PAQUETE DE SOFTWARE O QUE HAYA RECIBIDO POR SEPARADO COMO PARTE DE LA COMPRA (TALESCOMO UN FOLLETO, UN ARCHIVO DEL CD DEL PRODUCTO O UN ARCHIVO DISPONIBLE EN EL SITIO WEB DESDE EL QUE HAYA DESCARGADO EL PAQUETE DESOFTWARE). SI NO ACEPTA TODOS LOS TÉRMINOS ESTABLECIDOS EN EL ACUERDO, NO INSTALE EL SOFTWARE. SI PROCEDE, PUEDE DEVOLVER EL PRODUCTO AMCAFEE O AL PUNTO DE VENTA PARA OBTENER EL REEMBOLSO ÍNTEGRO DE SU IMPORTE.
2 McAfee Data Loss Prevention 10.x and 11.0 Guía de migración
Contenido
1 Introducción 5Descripción general de la migración . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
Flujo de trabajo de migración . . . . . . . . . . . . . . . . . . . . . . . . . . . 5Diferencias entre versiones . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7Funciones no compatibles . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
2 Instalación 9Migración de dispositivos físicos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9Instalación de appliances de McAfee DLP Prevent . . . . . . . . . . . . . . . . . . . . . . . 9
Planificación de la configuración . . . . . . . . . . . . . . . . . . . . . . . . . . 9Identificar puertos de red . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10Instalación de las extensiones . . . . . . . . . . . . . . . . . . . . . . . . . . . 11Configuración de la información de red . . . . . . . . . . . . . . . . . . . . . . . 12Configuración del appliance . . . . . . . . . . . . . . . . . . . . . . . . . . . 12Instalar el appliance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13Tareas posteriores a la instalación . . . . . . . . . . . . . . . . . . . . . . . . . 14
3 Configuración de los componentes del sistema 15Registro de un servidor LDAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
Cree definiciones de usuarios finales . . . . . . . . . . . . . . . . . . . . . . . . 16Usuarios, grupos y conjuntos de permisos . . . . . . . . . . . . . . . . . . . . . . . . . 17
Creación de un usuario . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17Creación de un conjunto de permisos . . . . . . . . . . . . . . . . . . . . . . . . 18Creación de un conjunto de permisos de McAfee DLP . . . . . . . . . . . . . . . . . . 18
Directiva de Ajustes generales de administración de appliances . . . . . . . . . . . . . . . . . 19Adición de un servidor de pruebas para almacenar los incidentes . . . . . . . . . . . . . . . . 19
4 Clasificación de contenido de carácter confidencial 21Crear una clasificación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21Creación de los criterios de clasificación . . . . . . . . . . . . . . . . . . . . . . . . . . 22Creación de propiedades de documentos . . . . . . . . . . . . . . . . . . . . . . . . . 22Cargar documentos registrados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23De los conceptos a las definiciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
Definiciones de diccionario . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24Definiciones de patrones avanzados . . . . . . . . . . . . . . . . . . . . . . . . 26Crear una definición de clasificación general . . . . . . . . . . . . . . . . . . . . . 29
5 Protección con reglas, conjuntos de reglas y directivas 31Definiciones y reacciones de reglas de McAfee DLP Prevent . . . . . . . . . . . . . . . . . . . 32Creación de una regla . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33Creación de un conjunto de reglas . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33Crear una definición de lista de direcciones de correo electrónico . . . . . . . . . . . . . . . . . 34Creación de un intervalo de direcciones de red . . . . . . . . . . . . . . . . . . . . . . . 34Crear una definición de lista de URL . . . . . . . . . . . . . . . . . . . . . . . . . . . 35Crear un nuevo intervalo de puertos de red . . . . . . . . . . . . . . . . . . . . . . . . . 36
McAfee Data Loss Prevention 10.x and 11.0 Guía de migración 3
Creación de una directiva . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36Asignación de una directiva a un appliance de McAfee DLP Prevent . . . . . . . . . . . . . . . . 36Caso práctico: Bloqueo de mensajes salientes con contenido de carácter confidencial a menos que se envíen aun dominio especificado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37Caso de uso: rastrear las infracciones de derechos de propiedad intelectual . . . . . . . . . . . . 38Caso práctico: Identificación por huellas digitales basada en la aplicación . . . . . . . . . . . . . . 39
6 Análisis de datos con McAfee DLP Discover 10.x 41Tipos de repositorios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41Tipos de análisis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42Creación de definiciones de análisis . . . . . . . . . . . . . . . . . . . . . . . . . . . 42Creación de un análisis de clasificación . . . . . . . . . . . . . . . . . . . . . . . . . . 43Creación de reglas para análisis de corrección . . . . . . . . . . . . . . . . . . . . . . . . 44Caso de uso: planificar un análisis y filtrar los resultados . . . . . . . . . . . . . . . . . . . . 45Caso de uso: crear un análisis de un solo uso que se ejecute hasta que se complete . . . . . . . . . . 45
7 Supervisión y generación de informes 47Incidentes y casos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47
Ordenar y filtrar incidentes . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48Ver detalles del incidente . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49Actualizar un solo incidente . . . . . . . . . . . . . . . . . . . . . . . . . . . 50Actualizar varios incidentes . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50Creación de notificaciones de correo electrónico . . . . . . . . . . . . . . . . . . . . 51Creación de casos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52Asignación de un revisor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52Visualización de información del caso . . . . . . . . . . . . . . . . . . . . . . . . 53Actualización de casos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53Asignación de incidentes a un caso . . . . . . . . . . . . . . . . . . . . . . . . . 54Caso de uso: buscar infracciones de directiva por usuario . . . . . . . . . . . . . . . . 55Caso de uso: buscar incidencias de alto riesgo . . . . . . . . . . . . . . . . . . . . . 55Caso de uso: establecer las propiedades de los incidentes . . . . . . . . . . . . . . . . 56Caso de uso: filtrar incidentes por fecha, destino y usuario . . . . . . . . . . . . . . . . 56Asignación de permisos de visualización de incidentes a los usuarios en Active Directory . . . . . 57Asignación de permisos de visualización de administración de casos a un usuario . . . . . . . 57
Supervisión del mantenimiento y el estado del sistema . . . . . . . . . . . . . . . . . . . . 58Paneles de McAfee DLP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58Panel de Administración de appliances . . . . . . . . . . . . . . . . . . . . . . . 58Eventos de appliances de McAfee DLP . . . . . . . . . . . . . . . . . . . . . . . . 58
8 Mantenimiento y solución de problemas 61Sugerencias para la solución de problemas . . . . . . . . . . . . . . . . . . . . . . . . . 61Administración con la consola del appliance de McAfee DLP . . . . . . . . . . . . . . . . . . 64Acceso a la consola del appliance . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65Sustitución del certificado por defecto . . . . . . . . . . . . . . . . . . . . . . . . . . 65Mensajes de error . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66Copias de seguridad de la configuración . . . . . . . . . . . . . . . . . . . . . . . . . . 68
Índice 69
Contenido
4 McAfee Data Loss Prevention 10.x and 11.0 Guía de migración
1 Introducción
Esta guía de migración ofrece información que le ayudará a pasar de McAfee®
Network Data Loss Prevention(McAfee Network DLP) 9.3.x a McAfee
®
Data Loss Prevention (McAfee DLP) 10.x.
Abarca las siguientes versiones de los productos de McAfee DLP:
• De McAfee® Data Loss Prevention Discover (McAfee DLP Discover) 9.3.x a las versiones 10.0.0 y posteriores
• De McAfee® Data Loss Prevention Prevent (McAfee DLP Prevent) 9.3.x a las versiones 10.0.100 y posteriores
• McAfee® Data Loss Prevention Monitor (McAfee DLP Monitor) 9.3.x a la versión 11.0
También proporciona información para ayudarle a empezar a trabajar con la nueva versión de McAfee DLP.
Para obtener más información, consulte la Guía del producto de McAfee Data Loss Prevention para la versión 11.0.
Descripción general de la migraciónNo hay ninguna ruta de ampliación automática para pasar de McAfee Network DLP 9.3.x a McAfee DLP 10.x yversiones posteriores. Esta guía le ayudará a configurar las nuevas versiones de McAfee DLP con unaconfiguración que se comporte de forma parecida a su instalación de McAfee Network DLP 9.3.x.
Flujo de trabajo de migraciónUtilice el diagrama de flujo de trabajo para instalar el appliance y, después, vuelva a establecer las opciones deconfiguración, las reglas, las directivas y la configuración de administración de incidentes y casos mediante lasherramientas de McAfee ePO.
McAfee DLP Monitor no existe en McAfee DLP 10.x.
Escenarios de instalación
Desde A Véase
McAfee Network DLP9.3.x físico
McAfee DLP 10.x o 11.0físico
McAfee DLP Hardware Migration Guide (Guía demigración de hardware de McAfee DLP)McAfee DLP Hardware Guide (Guía del hardware deMcAfee DLP)
McAfee Network DLP9.3.x físico
McAfee DLP 10.x o 11.0virtual
McAfee DLP Hardware Migration Guide (Guía demigración de hardware de McAfee DLP)Guía del producto de McAfee DLP
McAfee Network DLP9.3.x virtual
McAfee DLP 10.x o 11.0virtual
Esta guía
Para obtener una lista de las plataformas virtuales admitidas por McAfee DLP 10.x o posterior, véanse las notasde la versión correspondientes a su versión.
1
McAfee Data Loss Prevention 10.x and 11.0 Guía de migración 5
Escenario: Uso de la administración de incidentes y casos unificada o McAfee DLP Manager
Realice los pasos de este diagrama de flujo de trabajo si:
• Sus incidentes y casos existentes ya están disponibles en McAfee ePO.
• Utiliza McAfee DLP Manager para administrar los incidentes y casos.
Los incidentes y los casos de McAfee DLP Manager no se pueden migrar a las herramientas de McAfee DLP10.x y posteriores.
McAfee Network DLP 9.3.x customers and McAfee DLP Endpoint 9.4 customers who chose to retain their McAfeeDLP Manager box can keep it available until the incidents and cases are no longer needed.
Escenario: Uso de la función de búsqueda de capturas
McAfee DLP 10.x o posterior no incluye funcionalidad relacionada con las capturas.
1 IntroducciónDescripción general de la migración
6 McAfee Data Loss Prevention 10.x and 11.0 Guía de migración
Diferencias entre versionesDebido a que la arquitectura del producto en las versiones 9.3.x, 10.x y posteriores es diferente, los valores deconfiguración y los datos presentes en McAfee DLP Manager no se pueden migrar directamente a lasherramientas de McAfee DLP en McAfee ePO.
Nombres de productos
La versión 9.3.x del producto se llamaba McAfee Network Data Loss Prevention (McAfee Network DLP). En laversión 10.x y posteriores, se ha eliminado la palabra Network (Red) del nombre del producto para convertirseen McAfee Data Loss Prevention.
Administración de productos
En la versión 10.x y posteriores, los productos se administran ahora con McAfee ePO.
Las opciones de configuración, las reglas, los conceptos y las directivas utilizados en McAfee DLP Manager sedeben volver a crear en McAfee ePO.
Mantenga McAfee DLP Manager disponible hasta que los incidentes y los casos ya no sean necesarios.
Diferencias en términos
La mayoría de las funciones tienen el mismo nombre en la nueva versión, con algunas excepciones.
Tabla 1-1 Diferencias de terminología
McAfee Network DLP 9.3.x McAfee DLP 10.x y posteriores
Concepto • Definición de diccionario
• Definiciones de patrones avanzados (expresiones regulares)
Regla de acción Reacción
Plantilla • Clasificación
• Definición
Directiva Conjunto de reglas
Validador Algoritmo
Grupo Conjunto de permisos
Incidentes y casos
Los incidentes y los casos de McAfee DLP Manager no se pueden migrar a las herramientas de McAfee DLP 10.xy posteriores.
Funciones no compatiblesEstas funciones no son compatibles con McAfee DLP versión 10.x y posteriores.
• Captura de datos
• Creación de definiciones mediante los siguientes parámetros de configuración:
• Number of lines from the beginning (Número de líneas desde el principio)
• Percentage match (Coincidencia de porcentaje)
IntroducciónDescripción general de la migración 1
McAfee Data Loss Prevention 10.x and 11.0 Guía de migración 7
• Proximidad
• Number of byes from the beginning (Número de bytes desde el principio)
1 IntroducciónDescripción general de la migración
8 McAfee Data Loss Prevention 10.x and 11.0 Guía de migración
2 Instalación
Para utilizar McAfee DLP 10.x, debe realizar una instalación completa.
Para obtener instrucciones sobre la instalación de McAfee DLP Discover 10.x, véase la Guía del producto deMcAfee Data Loss Prevention.
Práctica recomendada: Antes de comenzar a instalar la nueva versión, cree una copia de seguridad completa dela instalación actual para que pueda volver a ella si fuera necesario.
Contenido Migración de dispositivos físicos Instalación de appliances de McAfee DLP Prevent
Migración de dispositivos físicosSi dispone de un appliance de los modelos 4400, 5500 o 6600, puede instalar McAfee DLP Prevent 10.x oMcAfee DLP Monitor 11.0.
Los equipos de McAfee DLP Manager pueden utilizarse para otro fin después de haber instalado McAfee DLPPrevent 10.x o McAfee DLP Monitor 11.0 en los appliances existentes. Para obtener más información, consulteMcAfee Network DLP 9.3.x to McAfee DLP 10.x Hardware Migration Guide (Guía de migración de hardware deMcAfee Network DLP 9.3.x a McAfee DLP 10.x), disponible en el sitio de descargas de McAfee.
Los appliances de los modelos 1650 y 3650 no son compatibles con McAfee DLP Prevent 10.x o McAfee DLPMonitor 11.0.
Instalación de appliances de McAfee DLP PreventPara obtener instrucciones de instalación más detalladas, véase la Guía del producto de McAfee Data LossPrevention correspondiente a su versión.
Planificación de la configuraciónUse la información sobre el despliegue contenida en la guía del producto para planificar la integración de losproductos de McAfee DLP en su red.
Procedimiento1 Familiarícese con las opciones de despliegue de McAfee DLP.
2 Complete la lista de comprobación de despliegue.
2
McAfee Data Loss Prevention 10.x and 11.0 Guía de migración 9
Identificar puertos de redBusque los puertos de red de su appliance. No se utilizan los puertos sin etiqueta.
Figura 2-1 Configuración de puerto del appliance modelo 4400
1 Puerto serie
2 Puerto OOB
3 Puerto LAN1
4 Puerto de acceso remoto (RMM)
5 Puerto Ethernet o de fibra *
• McAfee DLP Prevent: sin uso
• McAfee DLP Monitor: puerto 1 de captura
6 Puerto Ethernet: sin uso
* Si el appliance tiene una tarjeta de interfaz de red de fibra:
• En el caso de McAfee DLP Prevent, el puerto de fibra se convierte en LAN1.
• En el caso de McAfee DLP Monitor, el puerto de fibra se convierte en el puerto 1 de captura.
En algunos modelos 4400, los puertos de captura podrían estar en una tarjeta de interfaz de red con ranuras enlugar de en la placa base. En tal caso, estos dos puertos se intercambian.
Figura 2-2 Configuración de puerto del appliance modelo 5500
1 Puerto Ethernet o puerto de fibra: sin uso
2 Puerto Ethernet o de fibra *
• McAfee DLP Prevent: sin uso
• McAfee DLP Monitor: puerto 1 de captura
3 Puerto OOB
4 LAN1 *
2 InstalaciónInstalación de appliances de McAfee DLP Prevent
10 McAfee Data Loss Prevention 10.x and 11.0 Guía de migración
5 Puerto serie
6 Puerto de acceso remoto (RMM)
* Si el appliance tiene una tarjeta de interfaz de red de fibra:
• En el caso de McAfee DLP Prevent, este puerto de fibra (llamada 2) se convierte en el puerto LAN1.
• En el caso de McAfee DLP Monitor, este puerto de fibra (llamada 2) se convierte en el puerto 1 de captura.
Figura 2-3 Configuración de puertos del appliance modelo 6600
1 LAN1
2 McAfee DLP Prevent: sin uso
McAfee DLP Monitor: puerto 1 de captura
3 Puerto OOB
4 Puerto serie
5 Puerto de acceso remoto (RMM)
Instalación de las extensionesPrepare el servidor de McAfee ePO para su integración con Administración de appliances de McAfee DLP.
Consulte la guía del producto para obtener información sobre cómo instalar las extensiones manualmente.
ProcedimientoPara obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ?o en Ayuda.
1 En McAfee ePO, seleccione Menú | Software | Administrador de software.
2 En el panel izquierdo, expanda Software (por etiqueta) y seleccione Data Loss Prevention.
3 Seleccione la entrada correspondiente a McAfee Network Data Loss Prevention.
Se incluyen las extensiones siguientes:
• McAfee DLP
• Common UI
• Extensión de administración de appliances
• Administración de appliances de McAfee DLP
4 Haga clic en Incorporar.
5 Seleccione la casilla de verificación para aceptar el acuerdo y, a continuación, haga clic en Aceptar.
InstalaciónInstalación de appliances de McAfee DLP Prevent 2
McAfee Data Loss Prevention 10.x and 11.0 Guía de migración 11
Configuración de la información de redEn el caso de los appliances de McAfee DLP, configure el servidor DNS y el servidor NTP. En el caso de McAfeeDLP Prevent, también debe configurar un host inteligente.
ProcedimientoPara obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ?o en Ayuda.
1 En McAfee ePO, seleccione Menú | Directiva | Catálogo de directivas.
2 En la lista desplegable Producto, seleccione Ajustes generales de administración de appliances.
3 Seleccione la directiva My Default.
4 Agregue el servidor DNS y el servidor NTP y, a continuación, haga clic en Guardar.
5 En la lista desplegable Producto, seleccione DLP Appliance Management (Administración de appliances de DLP).
6 Seleccione la directiva My Default correspondiente a McAfee DLP Prevent Email Settings (Configuración de correoelectrónico de McAfee DLP Prevent).
7 Introduzca la dirección IP del Host inteligente y, a continuación, haga clic en Guardar.
Configuración del appliancePrepare el appliance para la integración con la red.
Es posible reemplazar las unidades de fuente de alimentación y el disco duro del appliance. Las instruccionesestán disponibles en la guía del hardware.
De forma predeterminada, se configura cada appliance con estas direcciones IP tras la instalación:
• LAN1 de McAfee DLP Prevent — 10.1.1.108/24
Utilice la red LAN1 para el tráfico SMTP o ICAP. También se puede utilizar para el tráfico de administración.
• LAN1 de McAfee DLP Monitor — 10.1.1.108/24
Utilice la red LAN1 para el tráfico de administración.
• OOB — 10.1.3.108/24
(Opcional) Utilice la red fuera de banda (OOB) para el tráfico de administración, incluida la comunicación conMcAfee ePO.
El puerto 1 de captura de McAfee DLP Monitor se utiliza para el tráfico de análisis. No se configura con unadirección IP.
Si la red emplea DHCP, se utilizará en su lugar la primera dirección IP que el servidor DHCP asigne al appliance deMcAfee DLP. Puede configurar la dirección IP de forma manual con el Asistente de instalación. El appliance noadmite el uso de una configuración de DHCP continua.
El gateway predeterminado del appliance debe encontrarse en la subred LAN1. Configure cualquierenrutamiento necesario en la interfaz OOB mediante rutas estáticas.
Procedimiento1 Instale el appliance en un bastidor.
2 Conecte al appliance un monitor, un teclado y un ratón.
2 InstalaciónInstalación de appliances de McAfee DLP Prevent
12 McAfee Data Loss Prevention 10.x and 11.0 Guía de migración
3 Conecte el appliance a la red.
• McAfee DLP Prevent y McAfee DLP Monitor: conecte la interfaz de LAN1 del appliance a su red.
• McAfee DLP Monitor: conecte la interfaz del puerto 1 de captura al puerto SPAN o el dispositivo dederivación de red.
4 (Opcional) Conecte la interfaz OOB a otra red.
Esto es necesario en el caso de McAfee DLP Monitor si no utiliza LAN1 para el tráfico de administración.
Instalar el applianceInstale el software y ejecute el Asistente de instalación.
Procedimiento1 Prepare el appliance para la instalación.
• Appliances 6600: encienda el appliance.
• Appliances 4400 y 5500
1 Mediante el archivo ISO de instalación, cree o configure los medios de imagen externos. Puederealizar la instalación inicial mediante los siguientes métodos:
• Unidad USB
Utilizar software de escritura de imagen, como Image Writer de Launchpad, para escribir laimagen en la unidad USB. Para obtener más información, consulte el artículo KB87321.
• Unidad de CD con USB
• (solo dispositivos 4400) Unidad de CD integrada
• Unidad de CD virtual que utiliza el módulo de administración remota (RMM)
2 Inserte o conecte el medio en el appliance.
3 Encienda el appliance.
4 Antes de que se inicie el sistema operativo, pulse F6 para acceder al menú de arranque y seleccioneel medio externo.
La contraseña del BIOS para los appliances 4400 es R3c0n3x.
2 Siga las instrucciones que aparecerán en la pantalla.
Una vez completada la instalación, se reiniciará el appliance.
3 Complete el Asistente de instalación mediante la información de la Ayuda en pantalla.
InstalaciónInstalación de appliances de McAfee DLP Prevent 2
McAfee Data Loss Prevention 10.x and 11.0 Guía de migración 13
4 Si no se puede realizar la instalación:
1 Verifique que la conexión de red esté en funcionamiento y que las rutas estáticas configuradas seancorrectas.
2 Haga ping en el gateway predeterminado y en McAfee ePO desde la consola del appliance.
3 Si el problema persiste, póngase en contacto con el servicio de soporte técnico para obtener asistencia.No intente realizar la instalación de nuevo.
Cuando se ponga en contacto con el soporte técnico, asegúrese de que conoce el número de serieprincipal del appliance. Encontrará el número de serie en la etiqueta del nombre del producto en elembalaje de entrega, en la etiqueta situada en la parte inferior izquierda del panel superior o en laetiqueta de la bandeja extraíble del panel frontal.
El appliance de McAfee DLP se instalará y se registrará en McAfee ePO.
Tareas posteriores a la instalaciónPara obtener más información sobre estas tareas, consulte la guía del producto.
Appliances de McAfee DLP
1 Configure un servidor de pruebas para almacenar los archivos que activan una regla.
2 Configure uno o más servidores de syslog en caso necesario.
3 Active las reglas y las directivas predefinidas relevantes.
4 Cree clasificaciones, directivas y reglas adicionales para detectar posibles incidentes de fuga de datos.
5 Confirme que los incidentes se registren en el Administrador de incidentes de DLP.
Appliances de McAfee DLP Prevent
En el caso de los appliances de McAfee DLP Prevent que analizan el tráfico de correo electrónico:
1 Verifique la conectividad y el flujo de correo entre el servidor del agente de transferencia de mensajes (MTA)y el appliance de McAfee DLP Prevent.
2 Confirme que el encabezado X-RCIS-Action: Permitir se haya agregado al correo electrónico recibido.
En el caso de los appliances de McAfee DLP Prevent que analizan el tráfico web, verifique la conectividad entreel servidor proxy web y el appliance.
Appliances de McAfee DLP Monitor
• Genere algún tráfico que se pueda detectar mediante el dispositivo de derivación de red o SPANconfigurado.
2 InstalaciónInstalación de appliances de McAfee DLP Prevent
14 McAfee Data Loss Prevention 10.x and 11.0 Guía de migración
3 Configuración de los componentes del sistema
Registre los servidores LDAP, defina permisos de usuarios y grupos, y especifique los servidores de pruebas enMcAfee ePO. Puede administrar los appliances con una nueva función de McAfee ePO denominadaAdministración de appliances, la cual permite especificar directivas y ver el estado de mantenimiento del sistemapara todos los appliances de McAfee DLP Prevent y McAfee DLP Monitor.
Contenido Registro de un servidor LDAP Usuarios, grupos y conjuntos de permisos Directiva de Ajustes generales de administración de appliances Adición de un servidor de pruebas para almacenar los incidentes
Registro de un servidor LDAPPara utilizar las reglas de asignación de directivas, activar los conjuntos de permisos asignados de formadinámica y activar el inicio de sesión de usuario de Active Directory, debe disponer de un servidor LDAPregistrado.
ProcedimientoPara obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ?o en Ayuda.
1 Seleccione Menú | Configuración | Servidores registrados y haga clic en Nuevo servidor.
2 Seleccione Servidor LDAP en el menú Tipo de servidor y, después, especifique un nombre exclusivo y unadescripción opcional y haga clic en Siguiente.
3 Seleccione un servidor de Active Directory u OpenLDAP en la lista Tipo de servidor LDAP.
4 Especifique un nombre de dominio o un nombre de servidor concreto.
Utilice nombres de dominio DNS (por ejemplo, dominiointerno.com), o bien nombres de dominio completoso direcciones IP para los servidores (por ejemplo, servidor1.dominiointerno.com o 192.168.75.101). Losservidores OpenLDAP solo pueden utilizar nombres de servidor. No pueden especificarse mediantedominios.
5 Especifique si desea usar el Catálogo global (no disponible para los servidores OpenLDAP).
Selecciónelo solo si el dominio registrado es el principal de varios dominios locales únicamente para evitarel tráfico de red potencial, lo que puede afectar al rendimiento.
6 En caso de no utilizar el Catálogo global, seleccione si desea obtener las referencias.
La obtención de referencias puede generar tráfico de red no local.
7 Elija si se debe utilizar SSL para comunicarse con este servidor.
3
McAfee Data Loss Prevention 10.x and 11.0 Guía de migración 15
8 Si va a configurar un servidor OpenLDAP, introduzca el puerto.
9 Introduzca un nombre de usuario y una contraseña de una cuenta de administrador en el servidor.
• Servidores de Active Directory: utilice el formato dominio\nombre de usuario
• Servidores OpenLDAP: utilice el formato cn=Usuario,dc=ámbito,dc=com
10 Introduzca un nombre de Sitio para el servidor y haga clic en Probar conexión a fin de comprobar la conexión;a continuación, haga clic en Guardar para completar el registro.
Procedimientos• Cree definiciones de usuarios finales en la página 16
McAfee DLP tiene acceso a los servidores de Active Directory (AD) o de protocolo ligero de acceso adirectorios (LDAP) para crear definiciones de usuarios finales.
Cree definiciones de usuarios finalesMcAfee DLP tiene acceso a los servidores de Active Directory (AD) o de protocolo ligero de acceso a directorios(LDAP) para crear definiciones de usuarios finales.
Los grupos de usuarios finales se utilizan para los permisos y asignaciones de administrador, así como en lasreglas de dispositivos y protección. Pueden componerse de usuarios, grupos de usuarios o unidadesorganizativas (OU). Por tanto, permiten al administrador elegir un modelo adecuado. Las empresas organizadascon un modelo de OU pueden continuar utilizando ese modelo, mientras otras pueden emplear grupos ousuarios individuales, según se requiera.
Los objetos LDAP se identifican por el nombre o ID de seguridad (SID). Los SID son más seguros y los permisospueden conservarse incluso si se les asigna un nuevo nombre a las cuentas. No obstante, se almacenan enformato hexadecimal y deben codificarse para convertirlos a un formato legible.
ProcedimientoPara obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ?o en Ayuda.
1 En McAfee ePO, seleccione Menú | Protección de datos | Administrador de directivas de DLP.
2 Haga clic en la ficha Definiciones.
3 Seleccione Origen/destino | Grupo de usuarios finales y, a continuación, Acciones | Nuevo.
4 En la página Nuevo grupo de usuarios finales, introduzca un nombre único y, si lo desea, una descripción.
5 Seleccione el método para identificar objetos (mediante el SID o el nombre).
6 Haga clic en uno de los botones Agregar: Agregar usuarios, Agregar grupos o Agregar OU.
La ventana de selección muestra el tipo de información seleccionado.
Si la lista es larga, es posible que tarde unos segundos en mostrarse. Si no aparece ninguna información,seleccione Contenedor y elementos secundarios en la lista desplegable Valor predefinido.
7 Seleccione los nombres y haga clic en Aceptar para agregarlos a la definición.
Repita la operación según sea necesario para agregar usuarios, grupos o usuarios organizativos.
8 Haga clic en Guardar.
3 Configuración de los componentes del sistemaRegistro de un servidor LDAP
16 McAfee Data Loss Prevention 10.x and 11.0 Guía de migración
Usuarios, grupos y conjuntos de permisosLa creación de usuarios y grupos se administra en McAfee DLP 10.x y posteriores en las secciones Usuarios yConjuntos de permisos de McAfee ePO. También puede crear grupos de usuarios LDAP en el Administrador dedirectivas de DLP de McAfee ePO.
Los conjuntos de permisos de McAfee ePO se conocen como grupos en McAfee DLP Manager.
Práctica recomendada: Cree conjuntos de permisos, usuarios y grupos específicos de McAfee DLP. Creedistintas funciones mediante la asignación de permisos de administrador y revisor diferentes para los diversosmódulos de McAfee DLP en McAfee ePO.
Para obtener más información sobre los usuarios y los conjuntos de permisos en McAfee DLP 10.x yposteriores, consulte la Guía del producto de McAfee Data Loss Prevention correspondiente a su versión.
Derechos de administrador en McAfee ePO
Cuando se instala McAfee ePO, se crea automáticamente una cuenta de administrador. Los administradorestienen permisos de lectura y escritura, así como derechos para realizar todas las operaciones. De manerapredeterminada, el nombre de usuario para esta cuenta es admin. Si se cambia el valor predeterminadodurante la instalación, esta cuenta tendrá el nombre correspondiente.
Es posible crear otras cuentas de administrador para personas que necesiten derechos de administrador. Paraello, siga las instrucciones que aparecen en Creación de un usuario.
Entre los derechos de administrador se cuentan los siguientes:
• Crear, editar y eliminar sitios de origen y de respaldo
• Cambiar la configuración del servidor
• Agregar y eliminar cuentas de usuario
• Agregar, eliminar y asignar conjuntos de permisos
• Importar eventos a las bases de datos de McAfee ePO y limitar el número de eventos almacenados
Creación de un usuarioLos usuarios de McAfee DLP 10.x se conocen como usuarios locales en McAfee Network DLP 9.3.x.
ProcedimientoPara obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ?o en Ayuda.
1 En McAfee ePO, seleccione Menú | Administración de usuarios | Usuarios.
2 Haga clic en Nuevo usuario y escriba un nombre de usuario.
3 Seleccione si desea activar o desactivar el estado de inicio de sesión de esta cuenta.
Práctica recomendada: Desactive esta cuenta si es para alguien que aún no forma parte de la organización.
4 Seleccione un método de autenticación para esta cuenta y proporcione las credenciales necesarias.
• Autenticación de Windows
• Autenticación basada en certificados
5 (Opcional) Proporcione el nombre completo, la dirección de correo electrónico, el número de teléfono y unadescripción del usuario en el cuadro de texto Notas.
Configuración de los componentes del sistemaUsuarios, grupos y conjuntos de permisos 3
McAfee Data Loss Prevention 10.x and 11.0 Guía de migración 17
6 Decida si el usuario será administrador o seleccione los conjuntos de permisos adecuados.
7 Haga clic en Guardar para volver a la ficha Usuarios.
El nuevo usuario aparece en la lista Usuarios de la página Administración de usuarios.
Creación de un conjunto de permisosUn conjunto de permisos en McAfee DLP es equivalente a un grupo local en McAfee Network DLP 9.3.x.
ProcedimientoPara obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ?o en Ayuda.
1 En McAfee ePO, seleccione Menú | Administración de usuarios | Conjuntos de permisos.
2 Seleccione un conjunto de permisos predefinido o haga clic en Nuevo para crear uno.
3 Escriba un nombre, seleccione los usuarios que desee agregar y, a continuación, haga clic en Guardar.
4 Haga clic en Guardar.
Creación de un conjunto de permisos de McAfee DLPLos conjuntos de permisos definen diferentes funciones de administrador y revisor en el software de McAfeeDLP.
ProcedimientoPara obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ?o en Ayuda.
1 En McAfee ePO, seleccione Menú | Administración de usuarios | Conjuntos de permisos.
2 Seleccione un conjunto de permisos predefinido o haga clic en Nuevo para crear uno nuevo.
a Escriba un nombre para el conjunto y seleccione los usuarios.
b Haga clic en Guardar.
3 Seleccione un conjunto de permisos y haga clic en la opción Editar de la sección Data Loss Prevention.
a En el panel de la izquierda, seleccione un módulo de protección de datos.
Administración de incidentes, Eventos operativos y Administración de casos se pueden seleccionar por separado.Otras opciones crean automáticamente los grupos predefinidos.
b Edite las opciones y omita permisos según precise.
El Catálogo de directivas no dispone de opciones que se puedan editar. Si va a asignar el Catálogo dedirectivas a un conjunto de permisos, puede editar los módulos secundarios del grupo Catálogo dedirectivas.
c Haga clic en Guardar.
3 Configuración de los componentes del sistemaUsuarios, grupos y conjuntos de permisos
18 McAfee Data Loss Prevention 10.x and 11.0 Guía de migración
Directiva de Ajustes generales de administración de appliancesLa categoría de directivas Ajustes generales de administración de appliances se instala como parte de la extensión deadministración de appliances. Los ajustes generales se aplican a appliances nuevos o en los que se harestablecido la imagen inicial.
• Información sobre fecha y hora, y zona horaria
• Listas de servidores DNS
• Información de enrutamiento estático
• Configuración de inicio de sesión remoto de Secure Shell (SSH)
• Configuración de registro remoto
• Supervisión y alertas de SNMP
En la Ayuda de Administración de appliances encontrará disponible información acerca de estas opciones.
Adición de un servidor de pruebas para almacenar los incidentesAlgunos incidentes disponen de elementos de pruebas asociados. Puede almacenar las pruebas en un servidorde pruebas.
Antes de empezarEl servidor de pruebas debe ser un recurso compartido CIFS con permisos de lectura/escritura.
ProcedimientoPara obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ?o en Ayuda.
1 En McAfee ePO, seleccione Menú | Configuración de DLP | General.
2 Introduzca la ruta de acceso al servidor de pruebas en Almacenamiento de pruebas predeterminado para guardarla configuración y activar el software.
La ruta de almacenamiento de pruebas debe ser una ruta de red, es decir, \\[servidor]\[recursocompartido].
3 Proporcione el nombre de usuario y la contraseña para acceder al servidor y haga clic en Guardar.
Configuración de los componentes del sistemaDirectiva de Ajustes generales de administración de appliances 3
McAfee Data Loss Prevention 10.x and 11.0 Guía de migración 19
3 Configuración de los componentes del sistemaAdición de un servidor de pruebas para almacenar los incidentes
20 McAfee Data Loss Prevention 10.x and 11.0 Guía de migración
4 Clasificación de contenido de carácterconfidencial
En McAfee DLP 10.x y posteriores, el contenido se define mediante clasificaciones. Las clasificaciones utilizadaspara McAfee DLP Prevent y McAfee DLP Monitor pueden contener combinaciones de definiciones, propiedadesde documentos y documentos registrados.
Para McAfee DLP 10.x y posteriores, la clasificación de contenido se configura en dos ubicaciones de McAfeeePO.
• Menú | Clasificación | Definiciones | Diccionario: crear definiciones en función de palabras clave.
• Menú | Clasificación | Definiciones | Patrón avanzado: crear definiciones en función de expresiones regulares(regex).
Puede asociar las definiciones predefinidas tal cual para crear reglas o bien crear duplicados de las reglaspredefinidas que se pueden personalizar.
Contenido Crear una clasificación Creación de los criterios de clasificación Creación de propiedades de documentos Cargar documentos registrados De los conceptos a las definiciones
Crear una clasificaciónLas reglas de protección de datos y de descubrimiento requieren definiciones de clasificación en suconfiguración.
ProcedimientoPara obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ?o en Ayuda.
1 En McAfee ePO, seleccione Menú | Protección de datos | Clasificación.
2 Haga clic en Nueva clasificación.
3 Introduzca un nombre y, si lo desea, una descripción.
4 Haga clic en Aceptar.
4
McAfee Data Loss Prevention 10.x and 11.0 Guía de migración 21
5 Agregue grupos de usuarios finales a la clasificación manual o documentos registrados a la clasificación,haciendo clic en Editar para el componente correspondiente.
6 Agregue criterios de identificación por huellas digitales o clasificación de contenido con el control Acciones.
Creación de los criterios de clasificaciónAplique los criterios de clasificación a los archivos en función del contenido y las propiedades del archivo.
Los criterios de clasificación de contenido se crean a partir de las definiciones de archivos y datos. Si no existeuna definición requerida, puede crearla cuando defina los criterios.
ProcedimientoPara obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ?o en Ayuda.
1 En McAfee ePO, seleccione Menú | Protección de datos | Clasificación.
2 Seleccione la clasificación a la que quiere agregar los criterios y haga clic en Acciones | New ContentClassification Criteria (Nuevos criterios de clasificación de contenido).
3 Introduzca el nombre.
4 Seleccione las propiedades y configure las entradas de comparación y valor.
• Para eliminar una propiedad, haga clic en <.
• En el caso de algunas propiedades, tendrá que hacer clic en ... para seleccionar una propiedad existenteo crear una nueva.
• Para agregar valores adicionales a una propiedad, haga clic en +.
• Para eliminar valores, haga clic en -.
5 Haga clic en Guardar.
Creación de propiedades de documentosEs posible crear una clasificación basándose en las propiedades de los documentos.
ProcedimientoPara obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ?o en Ayuda.
1 En McAfee ePO, seleccione Menú | Protección de datos | Clasificación.
2 Haga clic en Nueva clasificación y especifique un nombre exclusivo y una descripción opcional.
3 Haga clic en Acciones y seleccione Nuevo criterio de clasificación de contenido o haga clic en el vínculo Editar paracambiar un criterio de clasificación existente.
4 Haga clic en Propiedades del documento, después en ... y seleccione Nuevo elemento.
5 Seleccione la propiedad que desee y haga clic en Guardar.
4 Clasificación de contenido de carácter confidencialCreación de los criterios de clasificación
22 McAfee Data Loss Prevention 10.x and 11.0 Guía de migración
Cargar documentos registradosSeleccione y clasifique documentos para distribuir en los equipos Endpoint.
Antes de empezarLa carga de documentos registrados requiere una licencia para McAfee DLP Endpoint, McAfee DLPPrevent o McAfee DLP Monitor.
ProcedimientoPara obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ?o en Ayuda.
1 En McAfee ePO, seleccione Menú | Protección de datos | Clasificación.
2 Haga clic en la ficha Registrar documentos.
3 Haga clic en Carga de archivo.
4 Busque el archivo, seleccione si desea sobrescribir un archivo (si ya existe el nombre de archivo) y seleccioneuna clasificación.
Carga de archivo procesa un solo archivo. Para cargar varios documentos, cree un archivo .zip.
5 Haga clic en Aceptar.
El archivo se carga y procesa, y las estadísticas aparecen en la página.
6 Haga clic en Crear paquete cuando se haya completado la lista de archivos.
Cuando se eliminen los archivos, quítelos de la lista y cree un nuevo paquete para aplicar los cambios.
7 Puede crear un paquete solo de documentos registrados o en lista blanca dejando una lista vacía.
Se carga un paquete de firma de todos los documentos registrados y todos los documentos en lista blanca enla base de datos de McAfee ePO para la distribución en equipos endpoint. McAfee DLP Prevent y McAfee DLPMonitor pueden acceder a la base de datos de McAfee ePO para utilizar documentos registrados endefiniciones de reglas.
De los conceptos a las definicionesMcAfee Network DLP 9.3.x utiliza conceptos tomando como base expresiones de McAfee para crear criterios declasificación. Un concepto puede contener palabras clave o expresiones regulares (regex). En McAfee DLP 10.x yposteriores, los conceptos se convierten en definiciones. McAfee DLP 10.x y posteriores utilizan expresiones desintaxis RE2 de Google para crear las definiciones.
McAfee Network DLP 9.3.x contenía algunos conceptos predefinidos (por ejemplo, una selección de númerosde tarjetas de crédito, HIPAA y apuestas) que coinciden con las definiciones disponibles en McAfee DLP 10.x yposteriores. En caso de que no exista coincidencia, será necesaria la creación manual.
A fin de conseguir una funcionalidad similar con McAfee DLP 10.x y versiones posteriores, cree definicionesindependientes para las definiciones de Diccionario (palabras clave) y para las definiciones de Patrón avanzado(expresiones regulares).
Clasificación de contenido de carácter confidencialCargar documentos registrados 4
McAfee Data Loss Prevention 10.x and 11.0 Guía de migración 23
Tabla 4-1 Expresiones regulares
Expresión DLP 9.3.x DLP 10.x
\s cualquier carácter [\ \f \n \r \t < >;] carácter de espacio en blanco
\w cualquier carácter alfanumérico y subrayado cualquier carácter alfanumérico ysubrayado
. cualquier carácter
\D cualquier carácter distinto de un dígito
\c cualquier carácter alfabético [A–Z] o [a–z]
\i distinción de mayúsculas y minúsculasdesactivada
$ final de una cadena
(flecha hacia arriba) inicio de una cadena
Si desea obtener información adicional acerca de Google RE2, consulte https://support.google.com/a/answer/1371417?hl=en.
Práctica recomendada: Antes de comenzar a crear definiciones en McAfee DLP 10.x y posteriores, revise laconfiguración existente para los conceptos a fin de asegurarse de que sigan siendo relevantes para susnecesidades y de que proporcionan los resultados esperados.
Definiciones de diccionarioUn diccionario es una recopilación de palabras o frases clave en la que cada entrada tiene asignada unacalificación.
Los criterios de clasificación e identificación por huellas digitales de contenido utilizan los diccionariosespecificados para clasificar un documento si se supera un umbral definido (calificación total), es decir, siaparecen en el documento suficientes palabras del diccionario. Las calificaciones asignadas pueden sernegativas o positivas, lo que permite buscar palabras o expresiones en presencia de otras palabras oexpresiones.
La diferencia entre un diccionario y una cadena en una definición de palabra clave es la calificación asignada.
• La clasificación de una palabra clave siempre marca el documento si la expresión está presente.
• Una clasificación de diccionario ofrece más flexibilidad, ya que permite establecer un umbral al aplicar ladefinición, lo que hace que la clasificación sea relativa. El umbral puede llegar hasta 1000. También puedeelegir cómo se cuentan las coincidencias: Count multiple occurrences (Contar varias repeticiones) aumenta elrecuento con cada coincidencia, mientras que Contar cada cadena coincidente una sola vez cuenta cuántasentradas del diccionario coinciden con el documento.
El software de McAfee DLP incluye varios diccionarios integrados con términos utilizados habitualmente en losámbitos de la sanidad, la banca, las finanzas y otros sectores. También puede crear sus propios diccionarios.Los diccionarios se pueden crear y editar de forma manual, o bien mediante la función de copiar y pegar desdeotros documentos.
Limitaciones
Existen ciertas limitaciones para utilizarlos. Los diccionarios se guardan en formato Unicode (UTF-8) y sepueden escribir en cualquier idioma. Las siguientes descripciones se aplican a los diccionarios escritos eninglés. Las descripciones generalmente se aplican a otros idiomas, pero pueden ocurrir problemas imprevistosen algunos.
4 Clasificación de contenido de carácter confidencialDe los conceptos a las definiciones
24 McAfee Data Loss Prevention 10.x and 11.0 Guía de migración
La coincidencia de diccionarios tiene tres características:
• Solo distingue entre mayúsculas y minúsculas cuando crea entradas de diccionario que distinguen entremayúsculas y minúsculas. Los diccionarios integrados, creados antes de que esta función estuvieradisponible, no distinguen entre mayúsculas y minúsculas.
• Puede buscar coincidencias con subcadenas o frases completas.
• Hace coincidir las frases, incluidos los espacios.
Si se especifica la coincidencia con subcadenas, tenga cuidado al introducir palabras cortas debido a la posibleaparición de falsos positivos. Por ejemplo, la entrada de "sal" en el diccionario indicaría "saltar" y "asalto". A finde evitar falsos positivos de este tipo, utilice la opción de coincidencia con toda la frase o use frases improbablesdesde el punto de vista estadístico a fin de obtener los mejores resultados. Otra fuente de falsos positivos son lasentradas similares. Por ejemplo, en algunos listados de enfermedades de HIPAA (Health Insurance Portabilityand Accountability Act), "celíaco" y "enfermedad celíaca" aparecen como entradas independientes. Si el segundotérmino aparece en un documento y se especifica la coincidencia con subcadenas, se producen dos resultados(uno para cada entrada) y se sesga la calificación total.
Crear o importar una definición de diccionarioUn diccionario es una recopilación de palabras o frases clave en la que cada entrada tiene asignada unacalificación. Las calificaciones tienen en cuenta definiciones de reglas más detalladas.
Es posible crear una definición de diccionario mediante la importación de un archivo de diccionario en formatoCSV. También se pueden importar elementos con un script que contenga llamadas a API REST. El administradorque ejecute el script debe ser un usuario válido de McAfee ePO con permisos en los Conjuntos de permisos deMcAfee ePO para realizar las acciones invocadas por las API.
Práctica recomendada: Los archivos CSV de diccionario pueden emplear varias columnas. Exporte undiccionario a fin de comprender cómo se rellenan las columnas antes de crear un archivo para la importación.
ProcedimientoPara obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ?o en Ayuda.
1 En McAfee ePO, seleccione Menú | Protección de datos | Clasificación.
2 Haga clic en la ficha Definiciones.
3 En el panel de la izquierda, seleccione Diccionario.
4 Seleccione Acciones | Nuevo.
5 Introduzca un nombre y, si lo desea, una descripción.
6 Agregue entradas al diccionario.
Para importar entradas:
a Haga clic en Importar entradas.
b Introduzca palabras o expresiones, o bien cópielas y péguelas desde otro documento.
La ventana de texto está limitada a 20 000 líneas de 50 caracteres cada una.
c Haga clic en Aceptar.
Todas las entradas se asignan a una calificación predeterminada de 1.
Clasificación de contenido de carácter confidencialDe los conceptos a las definiciones 4
McAfee Data Loss Prevention 10.x and 11.0 Guía de migración 25
d Si es necesario, actualice la calificación predeterminada de 1 haciendo clic en Editar en la entrada.
e Seleccione las columnas Empieza por, Termina por y Distinción de mayúsculas y minúsculas según sea necesario.
Empieza por y Termina por ofrecen coincidencia con subcadenas.
Para crear entradas manualmente:
a Introduzca la expresión o la calificación.
b Seleccione las columnas Empieza por, Termina por y Distinción de mayúsculas y minúsculas según sea necesario.
c Haga clic en Agregar.
7 Haga clic en Guardar.
Creación de una definición de diccionario basada en palabras claveEs posible crear una definición de diccionario basada en palabras clave.
Procedimiento1 En McAfee ePO, vaya a Clasificación | Definiciones | Diccionario y haga clic en Acción | Nuevo.
2 Asigne un nombre al diccionario y una descripción opcional y, a continuación, haga clic en Acción | Agregar.
3 En Expresión, escriba la palabra seguridad y, a continuación, establezca la Calificación como 1 y seleccioneDistinción mayúsculas/minúsculas para que se produzca la coincidencia con la palabra clave cuando esté enminúsculas.
4 Haga clic en Agregar y, a continuación, en Guardar.
5 Seleccione Clasificación | Nueva clasificación. Asigne un nombre a la clasificación, agregue una descripciónopcional y haga clic en Aceptar.
6 Seleccione la clasificación recién creada y haga clic en Acción | Nuevo criterio de clasificación de contenido.
7 Seleccione el diccionario y utilice la comparación (O/Y/NO).
8 Haga clic en (…). Seleccione el diccionario recién creado, asígnele un umbral de 10 y haga clic en Aceptar.
9 Asigne la clasificación a una regla para activar la clasificación.
Definiciones de patrones avanzadosLos patrones avanzados utilizan expresiones regulares (regex) que permiten una coincidencia con patrones máscomplejos, como números de la Seguridad Social o de tarjetas de crédito. Las definiciones utilizan la sintaxis deexpresiones regulares de Google RE2.
Las definiciones de patrones avanzados incluyen una calificación (obligatoria), como con las definiciones dediccionario. Además, pueden incluir un validador opcional: un algoritmo utilizado para probar las expresionesregulares. El uso del validador adecuado también puede reducir los falsos positivos de manera significativa. Ladefinición puede incluir una sección Expresiones ignoradas opcional para continuar reduciendo los falsospositivos. Las expresiones ignoradas pueden ser expresiones regex o palabras clave. Puede importar variaspalabras clave para agilizar la creación de expresiones.
4 Clasificación de contenido de carácter confidencialDe los conceptos a las definiciones
26 McAfee Data Loss Prevention 10.x and 11.0 Guía de migración
A la hora de definir un patrón avanzado, se puede elegir cómo se contarán las coincidencias: Contar variasrepeticiones aumenta el recuento con cada coincidencia, mientras que Contar cada cadena coincidente una sola vezcuenta cuántos patrones definidos tienen una coincidencia exacta en el documento.
Los patrones avanzados indican la presencia de texto confidencial. Los patrones de texto confidencial seredactan en pruebas con resaltado de coincidencias.
Si se especifica un patrón de coincidencia y otro que se ignora, tiene prioridad el patrón ignorado. De esta forma,es posible especificar una regla general y agregar excepciones sin tener que volver a escribir la regla general.
Creación de una definición basada en un patrón avanzadoLos patrones avanzados se utilizan para definir clasificaciones. La definición de un patrón avanzado puedeincluir una expresión sencilla o una combinación de expresiones y definiciones de falsos positivos.
Los patrones avanzados se definen con expresiones regulares (regex).
No hay ningún equivalente para las opciones Percentage match (Coincidencia de porcentaje), Proximidad y Number ofbytes from the beginning (Número de bytes desde el principio) de McAfee DLP 10.x.
ProcedimientoPara obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ?o en Ayuda.
1 En McAfee ePO, seleccione Menú | Protección de datos | Clasificación.
2 Seleccione la ficha Definiciones y, a continuación, seleccione Patrón avanzado en el panel de la izquierda.
Para ver solo los patrones avanzados definidos por el usuario, anule la selección de la casilla de verificaciónIncluir elementos incorporados. Los patrones definidos por el usuario son los únicos que pueden editarse.
Los patrones disponibles aparecerán en el panel de la derecha.
3 Seleccione Acciones | Nuevo.
4 Introduzca un nombre y, si lo desea, una descripción.
5 En Expresiones coincidentes:
a Introduzca una expresión en el cuadro de texto y agregue una descripción opcional.
b Seleccione un validador en la lista desplegable o, si la validación no es adecuada para la expresión,seleccione Sin validaciones.
Un validador es lo mismo que un algoritmo en McAfee DLP 9.3.x. Puede utilizarlo para minimizar losfalsos positivos.
c Introduzca un número en el campo Calificación para indicar la ponderación de la expresión en lacoincidencia de umbral.
d Haga clic en Agregar.
6 En Expresiones ignoradas:
a Introduzca una expresión en el cuadro de texto.
Si dispone de patrones de texto almacenados en un documento externo, puede copiarlos en ladefinición mediante Importar entradas.
Clasificación de contenido de carácter confidencialDe los conceptos a las definiciones 4
McAfee Data Loss Prevention 10.x and 11.0 Guía de migración 27
b En el campo Tipo, seleccione Regex en la lista desplegable si la cadena es una expresión regular o Palabraclave si es texto.
También se pueden agregar expresiones de palabras clave mediante Importar palabras clave, escribiendo laspalabras clave separadas por una línea nueva.
c Haga clic en Agregar.
7 Agregue el recuento al concepto:
a Asigne a todas las expresiones una calificación de 1.
b Cuando asigne el diccionario a la clasificación, proporcione al umbral el mismo valor que tuviera laconfiguración de recuento en McAfee DLP 9.3.x.
c Seleccione Contar varias repeticiones de cada cadena coincidente si la calificación debe agregarse en caso deexistir varias apariciones de una misma expresión en un documento.
d Seleccione Contar cada cadena coincidente solo una vez si la calificación no debe agregarse y debe ser únicaaunque existan varias apariciones de una misma expresión en un documento.
e Seleccione Empieza por y Termina por para ver si el documento comienza o termina con la expresión, o bienseleccione ambas opciones para buscar la expresión en cualquier parte del documento.
f Para que la coincidencia se produzca según el número de líneas desde el principio del documento,puede crear una nueva expresión regular mediante condiciones como menor que, igual a o mayor que.
8 Haga clic en Guardar.
Creación de una definición basada en expresiones regularesEs posible bloquear un documento que tenga un número de tarjeta de crédito con el formatoxxxx-xxxx-xxxx-xxxx, donde x es cualquier dígito (0-9), que aparezca más de diez veces.
ProcedimientoPara obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ?o en Ayuda.
1 En McAfee ePO, vaya a Clasificación | Definiciones | Patrón avanzado y haga clic en Acciones | Nuevo.
2 Escriba un nombre para el patrón avanzado y agregue una descripción opcional.
3 Introduzca la expresión como \d{4}(-|\s)\d{4}(-|\s)\d{4}(-|\s)\d{4}\D, seleccione Luhn10 comovalidador y asígnele una calificación de 1.
4 Especifique los números de tarjetas de crédito que desee omitir.
5 Haga clic en Agregar y, a continuación, en Guardar.
6 Seleccione Clasificación | Nueva clasificación, escriba un nombre para la clasificación y agregue una descripciónopcional; a continuación, haga clic en Aceptar.
7 Seleccione la clasificación y seleccione Acción | Nuevo criterio de clasificación de contenido; a continuación, hagaclic en Patrón avanzado y seleccione la comparación (O/Y/NO).
8 Haga clic en (…), seleccione el patrón que acaba de crear y asígnele un umbral de 10; a continuación, hagaclic en Aceptar.
9 Asigne la clasificación a una regla.
4 Clasificación de contenido de carácter confidencialDe los conceptos a las definiciones
28 McAfee Data Loss Prevention 10.x and 11.0 Guía de migración
Crear una definición de clasificación generalCree y configure definiciones para su uso en las clasificaciones y las reglas.
ProcedimientoPara obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ?o en Ayuda.
1 En McAfee ePO, seleccione Menú | Protección de datos | Clasificación.
2 Seleccione el tipo de definición que configurar y, a continuación, seleccione Acciones | Nuevo.
3 Introduzca un nombre y configure las opciones y las propiedades de la definición.
Las opciones y las propiedades disponibles varían según el tipo de definición.
4 Haga clic en Guardar.
Clasificación de contenido de carácter confidencialDe los conceptos a las definiciones 4
McAfee Data Loss Prevention 10.x and 11.0 Guía de migración 29
4 Clasificación de contenido de carácter confidencialDe los conceptos a las definiciones
30 McAfee Data Loss Prevention 10.x and 11.0 Guía de migración
5 Protección con reglas, conjuntos de reglas ydirectivas
McAfee DLP 10.x y posteriores utilizan reglas para inspeccionar los datos y el tráfico y lleva a cabo acciones deprotección cuando detecta infracciones de reglas. Las reglas se agrupan en conjuntos de reglas.
Reglas
Las condiciones de la regla definen lo que hace que la regla se active. Según el tipo de regla, las condicionesincluyen clasificaciones, definiciones de reglas y otros criterios. Por ejemplo, puede crear una regla quesupervise el hecho de que un grupo específico de usuarios envíe determinados documentos confidenciales dela empresa como datos adjuntos de correo electrónico.
Las excepciones definen los parámetros excluidos de la regla. Podría interesarle bloquear la visita por parte dela mayoría de los usuarios a un determinado sitio web, pero permitir que un grupo de usuarios determinadoacceda como una excepción.
Conjuntos de reglas
Para volver a crear las directivas utilizadas en DLP Manager, es necesario crear conjuntos de reglas en McAfee DLP10.x y posteriores. Las reglas se agrupan en los conjuntos de reglas. Si dispone de varios productos de McAfeeDLP, puede combinar todos los tipos de reglas en un único conjunto de reglas.
Directiva
Las directivas de McAfee DLP 10.x y posteriores son conjuntos de definiciones, clasificaciones y reglas quedefinen cómo los productos de McAfee DLP protegen sus datos.
Contenido Definiciones y reacciones de reglas de McAfee DLP Prevent Creación de una regla Creación de un conjunto de reglas Crear una definición de lista de direcciones de correo electrónico Creación de un intervalo de direcciones de red Crear una definición de lista de URL Crear un nuevo intervalo de puertos de red Creación de una directiva Asignación de una directiva a un appliance de McAfee DLP Prevent Caso práctico: Bloqueo de mensajes salientes con contenido de carácter confidencial a menos que se envíen a un
dominio especificado Caso de uso: rastrear las infracciones de derechos de propiedad intelectual Caso práctico: Identificación por huellas digitales basada en la aplicación
5
McAfee Data Loss Prevention 10.x and 11.0 Guía de migración 31
Definiciones y reacciones de reglas de McAfee DLP PreventMcAfee DLP Prevent funciona con reglas de Protección de correo electrónico y reglas de Protección web de McAfeeDLP.
Reacciones
McAfee DLP Prevent puede llevar a cabo estas acciones cuando se activan las reglas.
Tipo de regla Reacción Descripción
Cualquiera Sin acción Permite el tráfico o la acción.
Notificar incidente Genera un incidente para informar de la infracción.
Protección web Almacenar archivooriginal como prueba
Almacena el archivo que ha activado la regla en el recursocompartido de pruebas. Puede ver la prueba en los detalles delincidente.
Notificación deusuario
Se notifica al usuario la infracción.
Bloquear Impide que el usuario acceda el sitio web.
Protección de correoelectrónico
Acción AgregarencabezadoX-RCIS-Action
Estas son las acciones disponibles.• SCANFAIL: mensajes que no se pueden analizar.
• BLOCK: bloquea el mensaje.
• QUART: pone en cuarentena el mensaje.
• ENCRYPT: cifra el mensaje.
• BOUNCE: emite un mensaje Non-Delivery Receipt (NDR) para elremitente.
• REDIR: redirige el mensaje.
• NOTIFY: se notifica al personal de supervisión.
• ALLOW: se permite que pase el mensaje. El valor ALLOW seagrega automáticamente a todos los mensajes que no incluyencontenido coincidente.
Almacenar correoelectrónico originalcomo prueba
Almacena el correo electrónico que ha activado la regla en elrecurso compartido de pruebas. Puede ver la prueba en losdetalles del incidente.
La reacciones de reglas no se aplican a McAfee DLP Monitor.
Definiciones de reglas
De forma similar a las clasificaciones, las definiciones de reglas especifican una condición en la regla. McAfeeDLP Prevent utiliza estas definiciones de reglas:
• Lista de direcciones de correo electrónico • Puerto de red
• Grupo de usuarios finales • Extensión del archivo
• Lista de URL • Plantilla de aplicación
• Notificación de usuario • Lista de nombre de archivo
• Dirección de red
5 Protección con reglas, conjuntos de reglas y directivasDefiniciones y reacciones de reglas de McAfee DLP Prevent
32 McAfee Data Loss Prevention 10.x and 11.0 Guía de migración
Creación de una reglaEl proceso para crear una regla es similar para todos los tipos de regla.
ProcedimientoPara obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ?o en Ayuda.
1 En McAfee ePO, seleccione Menú | Protección de datos | Administrador de directivas de DLP.
2 Haga clic en la ficha Conjuntos de reglas.
3 Haga clic en el nombre de un conjunto de reglas y, si fuera necesario, seleccione la ficha apropiada para lasreglas de Protección de datos, Control de dispositivos o Descubrimiento.
4 Seleccione Acciones | Nueva regla y, a continuación, elija el tipo de regla.
5 En la ficha Condición, introduzca la información.
• En el caso de algunas condiciones, como las clasificaciones o los elementos de plantillas de dispositivo,haga clic en ... para seleccionar un elemento existente o crear uno nuevo.
• Para agregar criterios adicionales, haga clic en +.
• Para eliminar criterios, haga clic en -.
6 (Opcional) Para agregar excepciones a la regla, haga clic en la ficha Excepciones.
a Seleccione Acciones | Agregar excepción de regla.
No se muestra ningún botón Acciones para las reglas de dispositivos. Para agregar excepciones a reglasde dispositivos, seleccione una entrada de la lista que se muestra.
b Rellene los campos según proceda.
7 En la ficha Reacción, configure las opciones Acción, Notificación de usuario y Notificar incidente.
Las reglas pueden tener diferentes acciones, en función de si el equipo endpoint se encuentra en la redcorporativa o no. Algunas reglas también pueden tener una acción diferente cuando existe conexión con lared corporativa mediante VPN.
8 Haga clic en Guardar.
Creación de un conjunto de reglasLos conjuntos de reglas combinan la protección de varios dispositivos, la protección de datos y las reglas deanálisis de descubrimiento.
ProcedimientoPara obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ?o en Ayuda.
1 En McAfee ePO, seleccione Menú | Protección de datos | Administrador de directivas de DLP.
2 Haga clic en la ficha Conjuntos de reglas.
3 Seleccione Acciones | Nuevo conjunto de reglas.
4 Introduzca el nombre y una nota opcional y, a continuación, haga clic en Aceptar.
Protección con reglas, conjuntos de reglas y directivasCreación de una regla 5
McAfee Data Loss Prevention 10.x and 11.0 Guía de migración 33
Crear una definición de lista de direcciones de correo electrónicoLas definiciones de lista de direcciones de correo electrónico son dominios de correo electrónico predefinidos odirecciones de correo electrónico específicas que pueden incluirse en las reglas de protección de correoelectrónico.
Para conseguir granularidad en las reglas de protección de correo electrónico, incluya algunas direcciones decorreo electrónico y excluya otras. Asegúrese de crear ambos tipos de definiciones.
Práctica recomendada: Para combinaciones de operadores que utilice con frecuencia, agregue varias entradaspara una definición de lista de direcciones de correo electrónico.
Existe la posibilidad de importar listas de direcciones de correo electrónico en formato CSV. También se puedenimportar elementos con un script que contenga llamadas a API REST. El administrador que ejecute el scriptdebe ser un usuario válido de McAfee ePO con permisos en los Conjuntos de permisos de McAfee ePO pararealizar las acciones invocadas por las API.
Práctica recomendada: Los archivos CSV de lista de direcciones de correo electrónico emplean varias columnas.Exporte una lista de direcciones a fin de comprender cómo se rellenan las columnas antes de crear un archivopara la importación.
Las definiciones de valores de correo electrónico admiten caracteres comodín y pueden definir condiciones. Unejemplo de condición definida con un carácter comodín es *@intel.com. La combinación de una condición delista de direcciones con un grupo de usuarios en una regla aumenta la granularidad.
ProcedimientoPara obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ?o en Ayuda.
1 En McAfee ePO, seleccione Menú | Protección de datos | Administrador de directivas de DLP | Definiciones.
2 En el panel de la izquierda, seleccione Lista de direcciones de correo electrónico y, a continuación, Acciones | Nuevo.
3 Introduzca un Nombre y, si lo desea, una Descripción.
4 Seleccione un Operador en la lista desplegable.
Los operadores definidos con la opción Direcciones de correo electrónico admiten caracteres comodín en elcampo Valor.
Las reglas de protección de correo electrónico que se implementan en McAfee DLP Prevent o McAfee DLPMonitor no coinciden con los operadores Nombre para mostrar.
5 Introduzca un valor y, a continuación, haga clic en Agregar.
6 Haga clic en Guardar cuando haya acabado de agregar direcciones de correo electrónico.
Creación de un intervalo de direcciones de redLos intervalos de direcciones de red funcionan como criterios de filtrado en las reglas de protección decomunicaciones de la red.
5 Protección con reglas, conjuntos de reglas y directivasCrear una definición de lista de direcciones de correo electrónico
34 McAfee Data Loss Prevention 10.x and 11.0 Guía de migración
ProcedimientoPara cada definición requerida, lleve a cabo los pasos del 1 al 4: Para obtener más información sobre funciones,uso y prácticas recomendadas para el producto, haga clic en ? o en Ayuda.
1 En McAfee ePO, seleccione Menú | Protección de datos | Administrador de directivas de DLP | Definiciones.
2 En el panel de la izquierda, seleccione Dirección de red (dirección IP) y, a continuación, haga clic en Acciones |Nuevo.
3 Introduzca un nombre único para la definición y, si lo desea, una descripción.
4 En el cuadro de texto, introduzca una dirección, un intervalo o una subred. Haga clic en Agregar.
En la página se mostrarán ejemplos con el formato correcto.
Se admiten únicamente direcciones IPv4. Si se introduce una dirección IPv6, aparecerá el mensaje Ladirección IP no es válida en lugar de indicarse que no se admite.
5 Cuando haya introducido todas las definiciones necesarias, haga clic en Guardar.
Crear una definición de lista de URLLas definiciones de listas de URL se utilizan para definir las reglas de protección web. Se agregan a las reglascomo condiciones de Dirección web (URL).
Es posible crear una definición de lista de URL mediante la importación de la lista en formato CSV. También sepueden importar elementos con un script que contenga llamadas a API REST. El administrador que ejecute elscript debe ser un usuario válido de McAfee ePO con permisos en los Conjuntos de permisos de McAfee ePO pararealizar las acciones invocadas por las API.
Práctica recomendada: Los archivos CSV de lista de URL pueden emplear varias columnas. Exporte una lista deURL a fin de comprender cómo se rellenan las columnas antes de crear un archivo para la importación.
ProcedimientoPara cada URL requerida, lleve a cabo los pasos del 1 al 4: Para obtener más información sobre funciones, uso yprácticas recomendadas para el producto, haga clic en ? o en Ayuda.
1 En McAfee ePO, seleccione Menú | Protección de datos | Administrador de directivas de DLP | Definiciones.
2 En el panel de la izquierda, seleccione Lista de URL y, a continuación, elija Acciones | Nuevo.
3 Introduzca un Nombre único y, si lo desea, una Definición.
4 Siga uno de estos procedimientos:
• Introduzca información de Protocolo, Host, Puerto y Ruta en los cuadros de texto y, a continuación, haga clicen Agregar.
• Pegue una URL en el cuadro de texto Pegar URL, haga clic en Analizar y, a continuación, en Agregar.
El software rellena los campos de URL.
5 Una vez agregadas a la definición todas las URL requeridas, haga clic en Guardar.
Protección con reglas, conjuntos de reglas y directivasCrear una definición de lista de URL 5
McAfee Data Loss Prevention 10.x and 11.0 Guía de migración 35
Crear un nuevo intervalo de puertos de redLos intervalos de puertos de red funcionan como criterios de filtrado en las reglas de protección decomunicaciones de la red.
ProcedimientoPara obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ?o en Ayuda.
1 En McAfee ePO, seleccione Menú | Protección de datos | Administrador de directivas de DLP | Definiciones.
2 En el panel de la izquierda, seleccione Puerto de red y, a continuación, haga clic en Acciones | Nuevo.
También puede editar las definiciones integradas.
3 Introduzca un nombre único y, si lo desea, una descripción.
4 Introduzca los números de puerto, separados por comas y, si lo desea, una descripción; después, haga clicen Agregar.
5 Cuando haya agregado todos los puertos necesarios, haga clic en Guardar.
Creación de una directiva
ProcedimientoPara obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ?o en Ayuda.
1 Haga clic en Menú | Directiva | Catálogo de directivas, seleccione la categoría Administración de appliances de DLP yhaga clic en Nueva directiva.
2 Seleccione la directiva que desee duplicar, escriba un nombre para la nueva directiva y haga clic en Aceptar.
La directiva aparecerá en el Catálogo de directivas.
3 Seleccione el nombre de la nueva directiva para abrir el asistente Configuración de directivas.
4 Edite la configuración de la directiva y haga clic en Guardar.
Asignación de una directiva a un appliance de McAfee DLP Prevent
Antes de empezar• Una regla de protección de correo electrónico o protección web implementada en McAfee DLP
Prevent
• Un conjunto de reglas
• Una directiva de McAfee DLP Prevent
asignada a un conjunto de reglas
5 Protección con reglas, conjuntos de reglas y directivasCrear un nuevo intervalo de puertos de red
36 McAfee Data Loss Prevention 10.x and 11.0 Guía de migración
ProcedimientoPara obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ?o en Ayuda.
1 En McAfee ePO, abra la directiva que ha creado.
2 Seleccione Acciones | Conjuntos de reglas activos y, a continuación, seleccione el conjunto de reglas en la lista yhaga clic en Aceptar.
3 Haga clic en Menú | Sistemas | Árbol de sistemas | Directivas asignadas y, a continuación, seleccione un grupo enel Árbol de sistemas.
4 Seleccione el producto Administración de appliances de DLP.
Todas las directivas asignadas, organizadas por producto, aparecerán en el panel de detalles.
5 Haga clic en el vínculo Editar asignación correspondiente a la categoría Directiva de DLP.
6 Seleccione Interrumpir herencia y asignar la directiva y la configuración a partir de este punto y cambie la directivaasignada por la directiva que ha creado.
7 Haga clic en Guardar.
Caso práctico: Bloqueo de mensajes salientes con contenido de carácterconfidencial a menos que se envíen a un dominio especificado
Los mensajes salientes se bloquean si contienen la palabra Confidencial, a menos que la regla no se aplique aldestinatario.
Tabla 5-1 Comportamiento esperado
Contenido del correoelectrónico
Destinatario Resultado esperado
Cuerpo: Confidencial [email protected] El mensaje está bloqueado porque contiene lapalabra "Confidencial".
Cuerpo: Confidencial [email protected] El mensaje no se bloquea porque la configuraciónde la excepción indica que se puede enviarmaterial confidencial a personas del dominio"ejemplo.com".
Cuerpo:Datos adjuntos:Confidencial
[email protected][email protected]
El mensaje se bloquea debido a que uno de losdestinatarios no tiene permiso para recibirlo.
ProcedimientoPara obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ?o en Ayuda.
1 Cree una definición de lista de direcciones de correo electrónico para un dominio al que no se le aplica laregla.
a En la sección Protección de datos de McAfee ePO, seleccione Administrador de directivas de DLP y haga clic enDefiniciones.
b Seleccione la definición Lista de direcciones de correo electrónico y cree otra copia de El dominio de correoelectrónico de mi organización integrado.
Protección con reglas, conjuntos de reglas y directivasCaso práctico: Bloqueo de mensajes salientes con contenido de carácter confidencial a menos que se envíen a un dominio especificado 5
McAfee Data Loss Prevention 10.x and 11.0 Guía de migración 37
c Seleccione la definición de lista de direcciones de correo electrónico que ha creado y haga clic en Editar.
d En Operador, seleccione El nombre de dominio es y defina el valor como ejemplo.com.
e Haga clic en Guardar.
2 Cree un conjunto de reglas con una regla de Protección de correo electrónico.
a Haga clic en Conjuntos de reglas y, a continuación, seleccione Acciones | Nuevo conjunto de reglas.
b Asigne al conjunto de reglas el nombre Bloquear si aparece "Confidencial" en el correoelectrónico.
c Cree una copia de la clasificación Confidencial integrada.
Aparecerá una copia editable de la clasificación.
d Haga clic en Acciones | Nueva regla | Regla de protección de correo electrónico.
e Asigne a la nueva regla el nombre Bloquear si aparece "Confidencial" y actívela.
f Aplique la regla a DLP Endpoint para Windows y DLP Prevent.
g Seleccione la clasificación que ha creado y añádala a la regla.
h Defina la opción Destinatario como cualquier destinatario (TODOS).
Deje los demás ajustes de la ficha Condición con los valores predeterminados.
3 Agregue excepciones a la regla.
a Haga clic en Excepciones y, a continuación, seleccione Acciones | Agregar excepción de regla.
b Escriba un nombre para la excepción y actívela.
c Defina la clasificación como Confidencial.
d Defina el Destinatario como al menos un destinatario pertenece a todos los grupos (Y) y, a continuación, seleccionela definición de lista de direcciones de correo electrónico que ha creado.
4 Configure la reacción a los mensajes que contengan la palabra Confidencial.
a Haga clic en Reacción.
b En DLP Endpoint, defina Acción como Bloquear para los equipos conectados y desconectados de la redcorporativa.
c En DLP Prevent, seleccione la opción Agregar encabezado X-RCIS-Action y haga clic en el valor Bloquear.
5 Guarde la directiva y aplíquela.
Caso de uso: rastrear las infracciones de derechos de propiedadintelectual
Su empresa ha perdido propiedad intelectual y sospecha que se ha filtrado mediante una persona de unaoficina específica. Puede crear parámetros de regla que busquen los documentos filtrados y el empleadosospechoso y, después, supervisar sus actividades para crear un caso legal y evitar más fugas de datos.
Antes de empezarDebe tener un servidor de Active Directory y McAfee® Logon Collector conectado a McAfee DLP.Para obtener más información, consulte la Guía del producto de McAfee Data Loss Prevention.
5 Protección con reglas, conjuntos de reglas y directivasCaso de uso: rastrear las infracciones de derechos de propiedad intelectual
38 McAfee Data Loss Prevention 10.x and 11.0 Guía de migración
ProcedimientoPara obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ?o en Ayuda.
1 En McAfee ePO, seleccione Menú | Protección de datos | Administrador de directivas de DLP | Conjuntos de reglas .
2 Puede editar una regla existente o seleccionar Acciones | Nuevo conjunto de reglas y crear una nueva.
3 Seleccione un conjunto de reglas y, a continuación, haga clic en Acciones | Nueva regla y seleccione el tipo deregla.
4 Introduzca el Nombre de la regla, un Estado y una Gravedad para la regla.
5 Agregue criterios de clasificación que describan la propiedad intelectual perdida. Seleccione unaclasificación existente o agregue una nueva.
6 Agregue criterios de clasificación que describan la propiedad intelectual perdida.
a Haga clic en Menú | Protección de datos | Clasificación.
b Seleccione la clasificación y haga clic en Acciones | Nuevo criterio de clasificación de contenido.
c Agregue condiciones que describan la propiedad intelectual perdida.
Por ejemplo, puede agregar palabras clave, una expresión exacta de los documentos filtrados, un tipo dearchivo o un concepto.
7 Vuelva al Administrador de directivas de DLP y seleccione la ficha Definiciones.
8 Abra la categoría Origen/destino y agregue un destino que pueda identificar a los destinatarios de los datos.
Por ejemplo, es posible que disponga de direcciones IP, dominios o ubicaciones geográficas que puedanayudarle a definir al destinatario.
9 Haga clic en Guardar.
Haga lo siguiente después de que la regla recupere los incidentes.
10 Examine la página Detalles de incidente para confirmar que la regla recupere los incidentes.
11 En la ficha Reacción, seleccione Agregar encabezado X-RCIS-Action en la lista desplegable de la sección McAfee DLPPrevent y, a continuación, seleccione Bloquear, Cuarentena, Redirigir o Notificar.
Caso práctico: Identificación por huellas digitales basada en laaplicación
Puede clasificar el contenido como confidencial según la aplicación que lo ha creado.
En algunos casos, el contenido se puede clasificar como confidencial según la aplicación que lo ha creado. Unejemplo son los mapas militares de estricta confidencialidad. Estos archivos son JPEG, normalmente, creadoscon una aplicación GIS específica de las fuerzas aéreas de un país. Al seleccionar esta aplicación en la definiciónde criterios de identificación por huellas digitales de contenido, todos los archivos JPEG generados con dichaaplicación se etiquetarán como confidenciales. Los archivos JPEG creados con otras aplicaciones no seetiquetarán.
Protección con reglas, conjuntos de reglas y directivasCaso práctico: Identificación por huellas digitales basada en la aplicación 5
McAfee Data Loss Prevention 10.x and 11.0 Guía de migración 39
ProcedimientoPara obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ?o en Ayuda.
1 En McAfee ePO, seleccione Menú | Protección de datos | Clasificación.
2 En la ficha Definiciones, seleccione Plantilla de aplicación y, a continuación, seleccione Acciones | Nueva.
3 Introduzca un nombre, por ejemplo Aplicación GIS, y una descripción opcional.
4 Mediante una o varias propiedades de la lista Propiedades disponibles, defina la aplicación GIS y, acontinuación, haga clic en Guardar.
5 En la ficha Clasificación, haga clic en Nueva clasificación e introduzca un nombre, por ejemplo, AplicaciónGIS y, si lo desea, una descripción. Haga clic en Aceptar.
6 Seleccione Acciones | Nuevos criterios de identificación por huellas digitales de contenido | Aplicación para abrir lapágina de criterios de identificación por huellas digitales correspondiente a las aplicaciones.
7 En el campo Nombre, introduzca un nombre para la etiqueta, por ejemplo, Etiqueta GIS.
8 En el campo Aplicaciones, seleccione la aplicación GIS creada en el paso 1.
9 Desde la lista Propiedades disponibles | Condiciones del archivo, seleccione Tipo de archivo verdadero y, acontinuación, en el campo Valor, seleccione Archivos gráficos [integrado].
La definición integrada incluye JPEG, así como otros tipos de archivos gráficos. Al seleccionar una aplicación,así como un tipo de archivo, solo se incluyen en la clasificación los archivos JPEG producidos por laaplicación.
10 Haga clic en Guardar y, a continuación, seleccione Acciones | Guardar clasificación.
La clasificación está lista para utilizarse en reglas de protección.
5 Protección con reglas, conjuntos de reglas y directivasCaso práctico: Identificación por huellas digitales basada en la aplicación
40 McAfee Data Loss Prevention 10.x and 11.0 Guía de migración
6 Análisis de datos con McAfee DLP Discover10.x
Contenido Tipos de repositorios Tipos de análisis Creación de definiciones de análisis Creación de un análisis de clasificación Creación de reglas para análisis de corrección Caso de uso: planificar un análisis y filtrar los resultados Caso de uso: crear un análisis de un solo uso que se ejecute hasta que se complete
Tipos de repositoriosMcAfee DLP Discover 10.x funciona con repositorios de CIFS, SharePoint y Box.
Repositorios de CIFS
Al definir un repositorio de CIFS, la ruta UNC puede ser el nombre de dominio completo (FQDN) (\\miservidor1.midominio.com) o el nombre del equipo local (\\miservidor1). Puede agregar ambas convencionesa una única definición.
Repositorios de SharePoint
Al definir un repositorio de SharePoint, el nombre de host es la URL del servidor, a menos que se hayaconfigurado una asignación alternativa de acceso (AAM) en el servidor. Para obtener información sobre lasAAM, consulte la documentación de SharePoint de Microsoft.
Repositorios de Box
Cuando defina un repositorio de Box, obtenga el ID y la clave secreta del cliente en el sitio web de Box.
6
McAfee Data Loss Prevention 10.x and 11.0 Guía de migración 41
Tipos de análisisMcAfee DLP Discover 10.x realiza análisis de inventario, clasificación y corrección.
Análisis de inventario
• Recopila metadatos, pero no descarga ningún archivo.
• Devuelve los contadores y el inventario de datos de OLAP (lista de archivos analizados).
• Restaura la última hora de acceso de los archivos analizados.
Análisis de clasificación
• Recopila los mismos metadatos que un análisis de inventario.
• Analiza el tipo de archivo verdadero en función del contenido del archivo, en vez de la extensión.
• Recopila los datos de los archivos que coincidan con la clasificación configurada.
• Restaura la última hora de acceso de los archivos analizados.
Análisis de corrección
Los análisis de corrección aplican reglas para proteger el contenido de carácter confidencial en el repositorioanalizado. Cuando un archivo coincide con la clasificación en un análisis de corrección, McAfee DLP Discoverpuede hacer lo siguiente:
• Generar un incidente.
• Almacenar el archivo original en el servidor de pruebas.
• Copiar el archivo.
• Mover el archivo.
• Aplicar una directiva de administración de derechos al archivo.
• Modificar el recurso compartido anónimo para el inicio de sesión necesario (solo en el caso de análisis deBox).
• No llevar a cabo ninguna acción.
Análisis de registro
Creación de definiciones de análisisTodos los análisis requieren una definición para especificar el repositorio, las credenciales y la planificación.
Antes de empezarDebe contar con el nombre de usuario, la contraseña y la ruta para el repositorio.
Práctica recomendada: Las definiciones de información de archivos opcionales permiten definir filtros para elanálisis. Los filtros permiten analizar los repositorios de una manera más específica al definir qué archivos seincluyen o se excluyen.
6 Análisis de datos con McAfee DLP Discover 10.xTipos de análisis
42 McAfee Data Loss Prevention 10.x and 11.0 Guía de migración
ProcedimientoPara obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ?o en Ayuda.
1 En McAfee ePO, seleccione Menú | Protección de datos | DLP Discover y haga clic en la ficha Definiciones.
2 Cree una definición de las credenciales.
a En el panel de la izquierda, seleccione Otros | Credenciales.
b Introduzca un nombre exclusivo para la definición.
Los campos Descripción y Nombre de dominio son opcionales. Todos los demás campos son obligatorios. Sise trata de un usuario del dominio, utilice el sufijo del dominio en el campo Nombre de dominio. Si se tratade un usuario de un grupo de trabajo, utilice el nombre del equipo local.
c En el caso de los repositorios de dominios de Windows, haga clic en Probar credenciales para comprobar elnombre de usuario y la contraseña desde McAfee ePO. Esto no permite comprobar las credencialesdesde el servidor de McAfee DLP Discover.
3 Cree una definición de repositorio.
a En el panel de la izquierda, en la sección Repositorios, seleccione el tipo de repositorio nuevo que deseecrear.
b Seleccione Acciones | Nuevo, escriba un nombre de repositorio exclusivo en el campo Nombre y rellene elresto de la información de Tipo y Definiciones.
c Haga clic en Guardar.
4 Cree una definición de planificador.
a En el panel de la izquierda, seleccione Otros | Planificador.
b Seleccione Acciones | Nuevo y rellene los parámetros del planificador.
c Haga clic en Guardar.
5 (Opcional) Cree una definición de información de archivo.
a En el panel de la izquierda, seleccione Datos | Información del archivo.
b Seleccione Acciones | Nuevo y sustituya el nombre predeterminado por un nombre exclusivo para ladefinición.
c Seleccione las propiedades que desee utilizar como filtros y rellene los detalles de Comparación y Valor.
d Haga clic en Guardar.
Creación de un análisis de clasificaciónLos análisis de clasificación recopilan datos de archivos en función de las clasificaciones definidas. Se utilizanpara analizar los sistemas de archivos a fin de que los datos de carácter confidencial estén protegidos con unanálisis de corrección.
Si se cambia el tipo de análisis, también se pueden crear análisis de Corrección y de Inventario.
Análisis de datos con McAfee DLP Discover 10.xCreación de un análisis de clasificación 6
McAfee Data Loss Prevention 10.x and 11.0 Guía de migración 43
ProcedimientoPara obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ?o en Ayuda.
1 En McAfee ePO, seleccione Menú | Protección de datos | DLP Discover.
2 En la ficha Servidores Discover, seleccione Acciones | Detectar servidores para actualizar la lista.
Si la lista es larga, puede definir un filtro para que se muestre una lista más corta.
3 En la ficha Operaciones de análisis, seleccione Acciones | Nuevo análisis y elija el tipo de repositorio.
4 Escriba un nombre exclusivo y seleccione Tipo de análisis: Clasificación; a continuación, seleccione unaplataforma de servidor y una planificación.
5 Los Servidores Discover deben estar previamente definidos. Puede seleccionar una planificación definida ocrear una nueva.
6 (Opcional) Defina valores para Regulación, Lista de archivos o Administración de errores en lugar de los valorespredeterminados.
7 Seleccione los repositorios que desee analizar.
a En la ficha Repositorios, haga clic en AccionesSeleccionar repositorios.
b Si fuera necesario, especifique las credenciales para cada repositorio de la lista desplegable.
c (Opcional) En la ficha Filtros, seleccione Acciones | Seleccionar filtros para especificar los archivos que incluiro excluir.
De forma predeterminada, se analizan todos los archivos.
8 Seleccione las clasificaciones para el análisis.
a En la ficha Clasificaciones, haga clic en Acciones | Seleccionar clasificaciones.
b Seleccione una o varias clasificaciones de la lista.
c Haga clic en Guardar.
9 Haga clic en Aplicar directiva.
Creación de reglas para análisis de correcciónUtilice las reglas para definir la acción que aplicar cuando un análisis de corrección detecte archivos quecoincidan con las clasificaciones.
ProcedimientoPara obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ?o en Ayuda.
1 En McAfee ePO, seleccione Menú | Protección de datos | Administrador de directivas de DLP.
2 Haga clic en la ficha Conjuntos de reglas.
3 Si no hay conjuntos de reglas configurados, cree uno.
a Seleccione Acciones | Nuevo conjunto de reglas.
b Introduzca el nombre y una nota opcional y, a continuación, haga clic en Aceptar.
6 Análisis de datos con McAfee DLP Discover 10.xCreación de reglas para análisis de corrección
44 McAfee Data Loss Prevention 10.x and 11.0 Guía de migración
4 Haga clic en el nombre de un conjunto de reglas y, a continuación, si fuera necesario, haga clic en la fichaDiscover.
5 Seleccione Acciones | Nueva regla de descubrimiento de red y, a continuación, seleccione el tipo de regla.
6 En la ficha Condición, configure una o varias clasificaciones y repositorios.
• Para crear un elemento, haga clic en ....
• Para agregar criterios adicionales, haga clic en +.
• Para eliminar criterios, haga clic en -.
7 (Opcional) En la ficha Excepciones, especifique cualquier exclusión para la activación de la regla.
8 En la ficha Reacción, configure la reacción. Las reacciones disponibles dependen del tipo de repositorio.
9 Haga clic en Guardar.
Caso de uso: planificar un análisis y filtrar los resultadosPlanifique un análisis para que se ejecute a intervalos regulares.
Los análisis se ejecutan hasta que se completan si no se define una hora de finalización. Si el análisis sigueejecutándose cuando se alcanza el próximo intervalo planificado, se omite esa instancia y el análisis se reiniciaen el siguiente.
Por ejemplo, si un análisis diario sin hora de finalización comienza a ejecutarse el lunes a las 9 a. m. y finaliza 49horas después, se reinicia el jueves a las 9 a. m.
ProcedimientoPara obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ?o en Ayuda.
1 Cree una definición de análisis y seleccione el Tipo de planificación como Ejecutar inmediatamente. Utilice la opciónHorario de suspensión a fin de especificar una hora de finalización para el análisis.
2 En McAfee ePO, seleccione Menú | Protección de datos | DLP Discover.
3 Haga clic en el vínculo Editar situado junto a la lista desplegable Filtro.
4 Seleccione Archivos analizados en el panel izquierdo.
5 Introduzca la comparación, el valor y el resto de parámetros, tales como Archivos estimados para analizar, Erroresde análisis y Tipo de análisis.
6 Compruebe el resultado del análisis en las fichas Análisis de datos e Inventario de datos.
Caso de uso: crear un análisis de un solo uso que se ejecute hasta que secomplete
Es posible planificar una análisis que se ejecute hasta que finalice.
Antes de empezarDetermine el tipo de repositorio, las credenciales utilizadas para acceder a él y el modo de análisisque se ajuste a la tarea.
Análisis de datos con McAfee DLP Discover 10.xCaso de uso: planificar un análisis y filtrar los resultados 6
McAfee Data Loss Prevention 10.x and 11.0 Guía de migración 45
ProcedimientoPara obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ?o en Ayuda.
1 En McAfee ePO, seleccione Menú | Protección de datos | Clasificación.
2 Seleccione HIPAA en el panel izquierdo y haga clic en Acciones | Duplicar clasificación.
3 Especifique las credenciales, el repositorio y la planificación.
4 Cree el análisis mediante la clasificación y las definiciones que ha creado.
5 Active el análisis:
a Seleccione la casilla de verificación de los análisis que desee activar o desactivar.
El icono de la columna de estado muestra si el análisis está activado o desactivado.
• Un icono de color azul significa que el análisis está activado.
• Un icono azul y blanco significa que el análisis está desactivado.
b Seleccione Acciones | Cambiar estado y, a continuación, seleccione Activado.
c Aplique la directiva.
6 Compruebe el resultado del análisis en las fichas Análisis de datos e Inventario de datos.
6 Análisis de datos con McAfee DLP Discover 10.xCaso de uso: crear un análisis de un solo uso que se ejecute hasta que se complete
46 McAfee Data Loss Prevention 10.x and 11.0 Guía de migración
7 Supervisión y generación de informes
McAfee DLP ofrece varias funciones para la administración de los incidentes, los casos y el estado de losappliances.
• Utilice la consola del Administrador de incidentes de DLP para ver y administrar los incidentes creadoscuando se activan las reglas.
• Utilice la consola de Administración de casos de DLP para ver y administrar los incidentes asignados a loscasos.
• Utilice la consola de Operaciones de DLP para ver los errores y los eventos administrativos.
• Utilice las tarjetas de mantenimiento del sistema de Administración de appliances para supervisar el estado decada uno de sus appliances de McAfee DLP.
• Utilice los paneles de McAfee DLP en McAfee ePO para recuperar información sobre los incidentes.
Contenido Incidentes y casos Supervisión del mantenimiento y el estado del sistema
Incidentes y casosIncident and case management are handled similarly between McAfee Network DLP 9.3.x and McAfee DLP 10.xand later.
Con McAfee DLP10.x y posteriores, los incidentes se envían al Analizador de eventos de McAfee ePO y sealmacenan en una base de datos. Los incidentes contienen los detalles sobre la infracción y pueden,opcionalmente, incluir información de pruebas. Puede ver los incidentes y pruebas tal y como se reciben en laconsola Administrador de incidentes de DLP que contiene tres secciones con fichas:
• Lista de incidentes: la lista actual de eventos de infracción de directiva. Se pueden realizar las operacionessiguientes con los incidentes.
• Administración de casos: crear casos y agregar los incidentes seleccionados a un caso.
• Comentarios: agregar comentarios a los incidentes seleccionados.
• Enviar eventos por correo electrónico: enviar los eventos seleccionados.
• Exportar parámetros del dispositivo: exportar los parámetros del dispositivo a un archivo CSV (solo listade Datos en uso/movimiento).
• Etiquetas: definir una etiqueta para el filtrado.
• Liberar redacción: eliminar la redacción para ver los campos protegidos (requiere el permiso correcto).
• Definir propiedades: editar la gravedad, el estado o la solución; asignar un usuario o un grupo para larevisión de incidentes.
7
McAfee Data Loss Prevention 10.x and 11.0 Guía de migración 47
• Tareas de incidentes: use las fichas Tareas de incidentes o Tareas de eventos operativos para definir los criteriosde las tareas planificadas. La configuración de tareas en las páginas funciona mediante la función Tareasservidor de McAfee ePO para la planificación de tareas. Las tareas pueden incluir también la asignación derevisores a los incidentes, la configuración de notificaciones automáticas por correo electrónico y la purgade toda la lista o parte de ella.
• Historial de incidentes: una lista que contiene todos los incidentes históricos. La purga de la lista deincidentes no afecta al historial. Muestra los eventos o incidentes históricos en función de las seleccionesactuales. Las selecciones pueden ser Ver, Hora y Filtro.
Cuando se activa una regla, el incidente se comunica a la consola del Administrador de incidentes de DLP.Utilice esta consola para ver, ordenar y modificar incidentes. El Administrador de incidentes de DLP muestra losincidentes de todos los productos de McAfee DLP. El tipo de incidentes que se muestra depende de la selecciónrealizada en el campo Presente. La opción Datos en uso/movimiento incluye los incidentes generados por McAfeeDLP Prevent o McAfee DLP Monitor.
Práctica recomendada: Los incidentes sobre su instalación de McAfee Network DLP 9.3.x no se pueden migrar aMcAfee ePO a menos que estuviera utilizando la función de administración de incidentes unificada en McAfeeePO. Si continúa necesitando acceso a los incidentes heredados, ejecute la instalación de McAfee Network DLP9.3.x en paralelo con McAfee DLP 10.x o posterior hasta que los incidentes heredados ya no sean necesarios.
Utilice la consola de Administración de casos de DLP para agrupar los incidentes relacionados con un caso a finde continuar con el rastreo y la revisión. Los casos permiten a los administradores colaborar para llegar a lasolución de incidentes relacionados. En muchas situaciones, un solo incidente no es un evento aislado. Podríaver varios incidentes en el Administrador de incidentes de DLP que compartan propiedades comunes o queestén relacionados entre sí. Puede asignar estos incidentes relacionados a un caso. Diversos administradorespueden supervisar y administrar un caso de acuerdo con sus funciones dentro de la organización.
Ordenar y filtrar incidentesOrdene la manera en la que aparecen los incidentes basándose en atributos como el tiempo, la ubicación, elusuario o la gravedad.
ProcedimientoPara obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ?o en Ayuda.
1 En McAfee ePO, seleccione Administrador de incidentes de DLP.
2 Desde la lista desplegable Presente, seleccione Datos en uso/movimiento.
3 Realice una de estas tareas.
• Para ordenar por columna, haga clic en el encabezado de una columna.
• Para cambiar las columnas a una vista personalizada, en la lista desplegable Vista, seleccione una vistapersonalizada.
• Para filtrar por tiempo, en la lista desplegable Hora, seleccione un espacio de tiempo.
• Para aplicar un filtro personalizado, en la lista desplegable Filtro, seleccione un filtro personalizado.
• Para agrupar por atributo:
1 En la lista desplegable Agrupar por, seleccione un atributo.
Aparecerá una lista de opciones disponibles. La lista contiene hasta 250 de las opciones másfrecuentes.
2 En la lista desplegable, seleccione una opción. Aparecerán los incidentes que coincidan con laselección.
7 Supervisión y generación de informesIncidentes y casos
48 McAfee Data Loss Prevention 10.x and 11.0 Guía de migración
Ver detalles del incidenteConsulte la información relacionada con un incidente.
ProcedimientoPara obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ?o en Ayuda.
1 En McAfee ePO, seleccione Administrador de incidentes de DLP.
2 En la lista desplegable Presente, seleccione la opción para su producto.
3 Haga clic en un ID de incidente.
Para los incidentes de McAfee DLP Endpoint, McAfee DLP Monitor y McAfee DLP Prevent, la página muestradetalles generales e información de origen. Según el tipo de incidente, aparecen los detalles del destino o eldispositivo. Para los incidentes de McAfee DLP Discover, la página muestra detalles generales sobre elincidente.
4 Para ver información adicional, lleve a cabo una de estas tareas.
• Para ver información del usuario, en incidentes de McAfee DLP Endpoint, haga clic en el nombre delusuario en el campo Origen.
• Para ver los archivos de pruebas:
1 Haga clic en la ficha Pruebas.
2 Haga clic en el nombre de un archivo para abrirlo con un programa apropiado.
La ficha Prueba también muestra la Cadena coincidente breve, que incluye hasta tres elementos destacadoscomo única cadena.
• Para ver las reglas que desencadenaron el incidente, haga clic en la ficha Reglas.
• Para ver las clasificaciones, haga clic en la ficha Clasificaciones.
En incidentes de McAfee DLP Endpoint, la ficha Clasificaciones no aparece para algunos tipos deincidente.
• Para ver el historial de incidentes, haga clic en la ficha Registros de auditoría.
• Para ver los comentarios agregados al incidente, haga clic en la ficha Comentarios.
• Para enviar por correo electrónico los detalles de los incidentes, incluidas las pruebas descifradas y losarchivos de elementos destacados, seleccione Acciones | Enviar por correo electrónico los eventos seleccionados.
• Para volver al administrador de incidentes, haga clic en Aceptar.
Procedimientos• Cambio de la vista en la página 49
Además de utilizar los filtros para cambiar la vista, también puede personalizar los campos y elorden de visualización. Las vistas personalizadas se pueden guardar y reutilizar.
Cambio de la vistaAdemás de utilizar los filtros para cambiar la vista, también puede personalizar los campos y el orden devisualización. Las vistas personalizadas se pueden guardar y reutilizar.
Al guardar la vista, también se guarda la hora y los filtros personalizados. Es posible seleccionar las vistasguardadas en la lista desplegable situada en la parte superior de la página.
Supervisión y generación de informesIncidentes y casos 7
McAfee Data Loss Prevention 10.x and 11.0 Guía de migración 49
ProcedimientoPara obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ?o en Ayuda.
1 Para abrir la ventana Edit View (Editar vista), haga clic en Acciones | Ver | Elegir columnas.
2 Para mover las columnas a la izquierda o a la derecha, use los iconos de las flechas.
3 Utilice el icono x para eliminar columnas.
4 Para aplicar la vista personalizada, haga clic en Actualizar vista.
5 Si desea guardarla para su uso en el futuro, haga clic en Acciones | Ver | Guardar vista.
Actualizar un solo incidenteActualice información del incidente como la gravedad, el estado y el revisor.
La ficha Registro de auditoría informa de todas las actualizaciones y modificaciones realizadas en un incidente.
ProcedimientoPara obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ?o en Ayuda.
1 En McAfee ePO, seleccione Administrador de incidentes de DLP.
2 Desde la lista desplegable Presente, seleccione Datos en uso/movimiento.
3 Haga clic en un incidente.
Se abrirá la ventana de detalles del incidente.
4 En el panel Detalles generales, realice cualquiera de estas tareas.
• Para actualizar la gravedad, el estado o la resolución:
1 En las listas desplegables Gravedad, Estado o Solución, seleccione una opción.
2 Haga clic en Guardar.
• Para actualizar el revisor:
1 Junto al campo Revisor, haga clic en ....
2 Seleccione el grupo o el usuario, y haga clic en Aceptar.
3 Haga clic en Guardar.
• Para agregar un comentario:
1 Seleccione Acciones | Agregar comentario.
2 Introduzca un comentario y, a continuación, haga clic en Aceptar.
Actualizar varios incidentesActualice varios incidentes con la misma información simultáneamente.
Ejemplo: Ha aplicado un filtro para mostrar todos los incidentes de un usuario o análisis concreto, y deseacambiar la gravedad de estos incidentes a Grave.
7 Supervisión y generación de informesIncidentes y casos
50 McAfee Data Loss Prevention 10.x and 11.0 Guía de migración
ProcedimientoPara obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ?o en Ayuda.
1 En McAfee ePO, seleccione Administrador de incidentes de DLP.
2 Desde la lista desplegable Presente, seleccione Datos en uso/movimiento.
3 Seleccione las casillas de verificación correspondientes a los incidentes que desee actualizar.
Para actualizar todos los incidentes mostrados por el filtro actual, haga clic en Seleccionar todo en esta página.
4 Realice una de estas tareas.
• Para agregar un comentario, seleccione Acciones | Agregar comentario, introduzca un comentario y, acontinuación, haga clic en Aceptar.
• Para enviar los incidentes en un correo electrónico, seleccione Acciones | Enviar por correo electrónico loseventos seleccionados, introduzca la información y, a continuación, haga clic en Aceptar.Puede seleccionar una plantilla existente o crear una introduciendo la información y haciendo clic enGuardar.
• Para exportar los incidentes, seleccione Acciones | Exportar eventos seleccionados, introduzca la informacióny, a continuación, haga clic en Aceptar.
• Para liberar la redacción de los incidentes, seleccione Acciones | Liberar redacción, introduzca un nombrede usuario y contraseña y, a continuación, haga clic en Aceptar.
Debe tener permiso de redacción de datos para eliminar la redacción.
• Para cambiar las propiedades, seleccione Acciones | Definir propiedades, cambie las opciones y, acontinuación, haga clic en Aceptar.
Creación de notificaciones de correo electrónicoEl proceso para agregar notificaciones de correo electrónico es similar en el caso de Administrador de incidentes deDLP y de Operaciones de DLP.
ProcedimientoPara obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ?o en Ayuda.
1 En McAfee ePO, seleccione Menú | Protección de datos | Administrador de incidentes de DLP o Menú | Protección dedatos | Operaciones de DLP.
2 Seleccione Tareas de incidentes o Tareas de eventos operativos y, a continuación, seleccione Notificación de correoautomática.
Si ha elegido Tareas de incidentes, también debe seleccionar el tipo de incidente, como Datos en uso/movimiento.
3 Haga clic en Acciones | Nueva regla e introduzca un nombre y una descripción opcional.
Las reglas se activan de forma predeterminada. Puede cambiar esta configuración para retrasar la ejecuciónde la regla.
Supervisión y generación de informesIncidentes y casos 7
McAfee Data Loss Prevention 10.x and 11.0 Guía de migración 51
4 Seleccione los eventos que desee procesar y, a continuación, especifique la información siguiente:
• Destinatarios
• Asunto
• Cuerpo
Aparte de Cuerpo, estos campos son obligatorios. Puede insertar variables de la lista desplegable según seanecesario.
5 Agregue el texto del cuerpo del correo electrónico.
6 (Opcional para el Administrador de incidentes de DLP) Seleccione la casilla de verificación para adjuntarinformación de pruebas al correo electrónico.
7 Haga clic en Siguiente para agregar los criterios de la regla y sus parámetros de Comparación y Valor; acontinuación, haga clic en Guardar.
Creación de casosCree un caso para agrupar y examinar los incidentes relacionados.
ProcedimientoPara obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ?o en Ayuda.
1 En McAfee ePO, seleccione Menú | Protección de datos | Administración de casos de DLP.
2 Seleccione Acciones | Nuevo.
3 Introduzca un nombre y configure las opciones.
4 Haga clic en Aceptar.
Asignación de un revisorEs posible asignar revisores a incidentes y eventos operativos. Las asignaciones pueden ser por grupo derevisores o por revisor individual.
Utilice la función Conjuntos de permisos de Administración de usuarios a fin de crear revisores.
El proceso para establecer revisores es similar en el caso de Administrador de incidentes de DLP y de Operaciones deDLP.
ProcedimientoPara obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ?o en Ayuda.
1 En McAfee ePO, seleccione Menú | Protección de datos | Administrador de incidentes de DLP o Menú | Protección dedatos | Operaciones de DLP.
2 Seleccione Tareas de incidentes o Tareas de eventos operativos y, a continuación, seleccione Definir revisor.
3 Haga clic en Acciones | Nueva regla e introduzca un nombre y una descripción opcional.
Las reglas se activan de forma predeterminada. Puede cambiar esta configuración para retrasar la ejecuciónde la regla.
7 Supervisión y generación de informesIncidentes y casos
52 McAfee Data Loss Prevention 10.x and 11.0 Guía de migración
4 Seleccione un revisor o un grupo y, a continuación, haga clic en Siguiente.
5 Haga clic en Siguiente para agregar los criterios de la regla y sus parámetros de Comparación y Valor; acontinuación, haga clic en Guardar.
Visualización de información del casoPuede ver los registros de auditoría, los comentarios de los usuarios y los incidentes asignados a un caso.
ProcedimientoPara obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ?o en Ayuda.
1 En McAfee ePO, seleccione Menú | Protección de datos | Administración de casos de DLP.
2 Haga clic en un ID de caso.
3 Realice una de estas tareas:
• Para ver los incidentes asignados al caso, haga clic en la ficha Incidentes.
• Para ver los comentarios de los usuarios, haga clic en la ficha Comentarios.
• Para ver los registros de auditoría, haga clic en la ficha Registro de auditoría.
4 Haga clic en Aceptar.
Actualización de casosInformación sobre la actualización de los casos, como el cambio de propietario, el envío de notificaciones o laadición de comentarios.
Las notificaciones se envían al creador y al responsable del caso, así como a los usuarios seleccionados,cuando:
• se agrega o se modifica un correo electrónico; • se modifica la prioridad;
• se agregan incidentes al caso o se eliminan; • se modifica la resolución.
• se modifica el nombre del caso; • se agregan comentarios.
• se modifican los detalles del responsable; • Se agregan datos adjuntos.
Puede desactivar las notificaciones por correo electrónico automáticas al creador y al responsable del caso enMenú | Configuración | Configuración del servidor | Data Loss Prevention.
ProcedimientoPara obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ?o en Ayuda.
1 En McAfee ePO, seleccione Menú | Protección de datos | Administración de casos de DLP.
2 Haga clic en un ID de caso.
Supervisión y generación de informesIncidentes y casos 7
McAfee Data Loss Prevention 10.x and 11.0 Guía de migración 53
3 Realice una de estas tareas:
• Para actualizar el nombre del caso, en el campo Título, introduzca uno nuevo y haga clic en Guardar.
• Para actualizar el responsable, realice lo siguiente:
1 Haga clic en la opción ... situada junto al campo Propietario.
2 Seleccione el grupo o el usuario.
3 Haga clic en Aceptar.
4 Haga clic en Guardar.
• Para actualizar las opciones Prioridad, Estado y Solución, sírvase de las listas desplegables para seleccionarelementos y haga clic en Guardar.
• Para enviar notificaciones de correo electrónico, siga estos pasos:
1 Haga clic en la opción ... situada junto al campo Enviar notificaciones a.
2 Seleccione los usuarios a los que enviar notificaciones.
Si no se muestra ningún contacto, especifique un servidor de correo electrónico para McAfee ePO yagregue las direcciones de correo electrónico de los usuarios. Configure el servidor de correoelectrónico en Menú | Configuración | Configuración del servidor | Servidor de correo electrónico. Configure losusuarios en Menú | Administración de usuarios | Usuarios.
3 Haga clic en Guardar.
• Para agregar comentarios al caso, realice lo siguiente:
1 Haga clic en la ficha Comentarios.
2 Introduzca el comentario en el campo de texto.
3 Haga clic en Agregar comentario.
4 Haga clic en Aceptar.
Asignación de incidentes a un casoAgregue incidentes relacionados a un caso nuevo o a uno existente.
ProcedimientoPara obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ?o en Ayuda.
1 En McAfee ePO, seleccione Menú | Protección de datos | Administrador de incidentes de DLP.
2 Desde la lista desplegable Presente, seleccione Datos en uso/movimiento.
3 Seleccione las casillas de verificación de uno o varios incidentes.
Utilice las opciones como Filtro o Agrupar por para ver los incidentes relacionados. Para actualizar todos losincidentes mostrados por el filtro actual, haga clic en Seleccionar todo en esta página.
7 Supervisión y generación de informesIncidentes y casos
54 McAfee Data Loss Prevention 10.x and 11.0 Guía de migración
4 Asigne los incidentes a un caso.
• Para agregarlos a un caso nuevo, seleccione Acciones | Administración de casos | Agregar a un nuevo caso,introduzca un nombre y configure las opciones.
• Para agregarlos a un caso existente, seleccione Acciones | Administración de casos | Agregar a un caso existente,filtre por el nombre o el ID del caso, y seleccione dicho caso.
5 Haga clic en Aceptar.
Caso de uso: buscar infracciones de directiva por usuarioSi tiene muchos incidentes que revisar, puede resultar difícil encontrar los incidentes relacionados con undeterminado usuario. Para buscar las infracciones de directiva relacionadas, utilice los atributos que identificanal usuario.
ProcedimientoPara obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ?o en Ayuda.
1 En McAfee ePO, seleccione Administrador de incidentes de DLP.
2 En la lista desplegable Presente, seleccione la opción para su producto.
3 Seleccione la hora que desee.
4 Haga clic en Acciones y seleccione Filtro | Editar filtro.
5 En Propiedades disponibles, seleccione un atributo de usuario, como Nombre de usuario, Correo electrónico principaldel usuario o Ciudad del usuario.
Las siguientes condiciones se pueden seleccionar en la lista desplegable: Igual a, No es igual a, El valor está enblanco, El valor no está en blanco, Contiene, No contiene.
6 Especifique la información de usuario en el campo de texto.
Si no dispone de la información exacta de un usuario, seleccione el filtro Remitente o Destinatario, agregue unacondición Contiene o No contiene y escriba una cadena que pueda coincidir con algunos caracteres del nombrede usuario o la dirección de correo electrónico.
7 Haga clic en Nombre de directiva y, a continuación, seleccione ... para elegir la directiva en la lista.
Se mostrarán los incidentes generados a partir de la información de usuario anterior y también de ladirectiva seleccionada. Las directivas que no hayan generado incidentes coincidentes no se mostrarán.
8 Haga clic en Actualizar filtro.
Se mostrarán los incidentes que cumplan los criterios de filtrado.
9 Haga clic en el vínculo Guardar situado junto a la lista desplegable Filtro.
Este filtro se puede utilizar de nuevo posteriormente.
Caso de uso: buscar incidencias de alto riesgoPara buscar los incidentes de alto riesgo, filtre los incidentes por gravedad.
Supervisión y generación de informesIncidentes y casos 7
McAfee Data Loss Prevention 10.x and 11.0 Guía de migración 55
ProcedimientoPara obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ?o en Ayuda.
1 En McAfee ePO, seleccione Administrador de incidentes de DLP.
2 En la lista desplegable Presente, seleccione la opción correspondiente a su producto.
3 En Agrupar por, seleccione Gravedad en la lista desplegable.
4 Seleccione la gravedad que desee aplicar, por ejemplo, de tipo crítico o advertencia.
Se mostrarán los incidentes que cumplan los criterios de filtrado.
Caso de uso: establecer las propiedades de los incidentesEs posible cambiar las propiedades de los incidentes, tales como la gravedad, para contribuir a la búsqueda y elrastreo de determinados incidentes.
Las propiedades son Gravedad, Estado, Solución, Grupo revisor y Usuario revisor.
ProcedimientoPara obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ?o en Ayuda.
1 En McAfee ePO, seleccione Administrador de incidentes de DLP.
2 En la lista desplegable Presente, seleccione la opción para su producto.
3 Haga clic en un incidente.
Se abrirá la ventana Detalles de incidente.
4 En el panel Detalles generales, realice cualquiera de estas tareas y, después, haga clic en Guardar.• Para actualizar la gravedad, el estado o la solución, seleccione las opciones que desee en la lista
desplegable y, a continuación, haga clic en Guardar.
• Haga clic en ... junto al campo Revisor, seleccione el grupo o el usuario y, a continuación, haga clic enAceptar.
5 Seleccione Acciones | Agregar comentario.
6 Introduzca un comentario y, a continuación, haga clic en Aceptar.
Caso de uso: filtrar incidentes por fecha, destino y usuarioCree un filtro para identificar los incidentes enviados en las últimas 24 horas por un usuario determinado.
ProcedimientoPara obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ?o en Ayuda.
1 En McAfee ePO, seleccione Menú | Protección de datos | Administrador de incidentes de DLP.
2 Seleccione Datos en uso/movimiento en Presente.
3 Seleccione Últimas 24 horas en la lista desplegable Hora.
4 En Filtros, haga clic en Editar.
7 Supervisión y generación de informesIncidentes y casos
56 McAfee Data Loss Prevention 10.x and 11.0 Guía de migración
5 En Destination equals (Destino es igual a), agregue el destino necesario.
6 Seleccione Username equals (Nombre de usuario es igual a) y agregue el nombre que desee buscar.
7 Seleccione Actualizar filtro.
8 En el panel izquierdo, seleccione Agrupar por y seleccione Conjunto de reglas en la lista desplegable.
Asignación de permisos de visualización de incidentes a los usuarios enActive DirectorySeleccione los usuarios de Active Directory que puedan ver los incidentes en el Administrador de incidentes de DLP.
Antes de empezarRegistre un servidor de Active Directory en McAfee ePO.
ProcedimientoPara obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ?o en Ayuda.
1 En McAfee ePO, seleccione Menú | Administración de usuarios | Conjuntos de permisos.
2 Seleccione la función que desee editar y, a continuación, haga clic en el vínculo Editar situado bajo Nombre yusuarios.
3 Haga clic en Agregar, seleccione los usuarios de Active Directory que desee agregar y, a continuación, hagaclic en Aceptar.
4 Haga clic en Guardar.
5 En Data Loss Prevention, haga clic en el vínculo Editar.
6 Seleccione Administración de incidentes y haga clic en El usuario puede ver todos los incidentes.
7 Haga clic en Guardar.
Asignación de permisos de visualización de administración de casos aun usuarioPuede permitir que un usuario concreto vea sus casos en Administración de casos de DLP.
Antes de empezarCree un usuario en McAfee ePO y asígnele un conjunto de permisos.
ProcedimientoPara obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ?o en Ayuda.
1 En McAfee ePO, seleccione Menú | Administración de usuarios | Conjuntos de permisos y seleccione el conjunto depermisos al que pertenezca el usuario.
2 Haga clic en el vínculo Editar situado debajo de Nombre y usuarios.
3 Seleccione el usuario que acaba de crear y haga clic en Guardar.
4 En Data Loss Prevention, haga clic en el vínculo Editar.
Supervisión y generación de informesIncidentes y casos 7
McAfee Data Loss Prevention 10.x and 11.0 Guía de migración 57
5 Seleccione Administración de casos y haga clic en Los usuarios pueden ver los casos que se les han asignado.
6 Haga clic en Guardar.
Supervisión del mantenimiento y el estado del sistemaUtilice el panel Administración de appliances de McAfee ePO para administrar sus appliances, ver el estado demantenimiento del sistema y obtener información detallada sobre las alertas.
Para obtener información acerca del estado de los appliances de McAfee DLP Prevent o McAfee DLP Monitorindicado en las tarjetas de mantenimiento del sistema de Administración de appliances, consulte la versión másreciente de la Guía del producto de McAfee Data Loss Prevention.
Para obtener información específica sobre las opciones de Administración de appliances, consulte la Ayuda online deAdministración de appliances.
Paneles de McAfee DLPMcAfee DLP 10.x y posteriores agregan cuatro gráficos relacionados con incidentes en los paneles de McAfeeePO. Puede crear nuevos paneles que contengan alguno de los gráficos de McAfee DLP.
• DLP: Número de incidentes al día (datos en uso/movimiento) con formato de gráfico de líneas
• DLP: Número de incidentes por gravedad (datos en uso/movimiento) con formato de gráfico de sectores
• DLP: Número de incidentes por tipo (datos en uso/movimiento) con formato de gráfico de sectores
• DLP: Número de incidentes por conjunto de reglas (datos en uso/movimiento) con formato de gráfico debarras
Panel de Administración de appliancesEl panel de Administración de appliances combina la vista de árbol de los Appliances, las tarjetas de Mantenimiento delsistema, las Alertas y los paneles de Detalles.
El panel muestra la siguiente información para todos los appliances administrados.
• Una selección de información sobre cada appliance de McAfee DLP.
En un entorno de clúster de McAfee DLP Prevent, las tarjetas de mantenimiento del sistema muestran unavista en árbol del dispositivo principal del clúster y una serie de analizadores de clúster.
• Indicadores que muestran si un appliance necesita atención.
• Información detallada sobre cualquier problema detectado.
La barra de información incluye el nombre del appliance, el número de alertas notificadas actualmente y otrainformación específica del appliance sobre el que se ha informado.
Eventos de appliances de McAfee DLPLos appliances de McAfee DLP envían eventos al registro de Eventos de cliente o al registro de Operaciones de DLP.
Eventos de registro de Eventos de cliente
Algunos eventos incluyen códigos de motivo que se pueden emplear para buscar en los archivos de registro.
Práctica recomendada: Purgue periódicamente el registro de Eventos de cliente para evitar que se llene porcompleto.
7 Supervisión y generación de informesSupervisión del mantenimiento y el estado del sistema
58 McAfee Data Loss Prevention 10.x and 11.0 Guía de migración
ID deevento
Texto del evento de UI Descripción
15001 Error de consulta LDAP No se ha podido realizar la consulta. Los motivos se indican en lasdescripciones de los eventos.
15007 Sincronización deldirectorio LDAP
Estado de sincronización del directorio.
210003 El uso de recursos haalcanzado un nivel crítico
McAfee DLP Prevent no puede analizar un mensaje porque el directorioha alcanzado un nivel de tamaño crítico.
210900 Se ha logrado ampliar el ISOdel appliance
No se ha podido ampliar elISO del appliance
El appliance estáretrocediendo a una versiónanterior
Se ha actualizado la imagende instalación internacorrectamente
No se ha podido actualizarde la imagen de instalacióninterna
Eventos de ampliación del appliance:
• 983 — No se ha podido ampliar el ISO del appliance. Encontraráregistros detallados en /rescue/logs/.
• 984 — Se ha logrado ampliar el ISO del appliance. El appliance se haampliado correctamente a una versión más reciente.
• 985 — El appliance está retrocediendo a una versión anterior. Esteevento se envía cuando se inicia el intento de cambio a una versiónanterior. Los eventos de ampliación correcta o incorrecta se envían unavez que finaliza la ampliación.Si se solicita una ampliación o un cambio a una versión anteriorlimpios, el evento de éxito o fallo se envía tras el establecimiento de laconexión con McAfee ePO.
Actualizaciones de la imagen de instalación interna mediante eventosSCP:
• 986 — Se ha actualizado la imagen de instalación internacorrectamente.
• 987 — No se ha podido actualizar la imagen de instalación interna.
220000 Inicio de sesión de usuario Un usuario ha iniciado sesión en el appliance:• 354 — Se ha iniciado sesión en la GUI correctamente.
• 355 — No se ha podido iniciar sesión en la GUI.
• 424: Se ha iniciado sesión en SSH correctamente
• 425 — No se ha podido iniciar sesión en SSH.
• 426 — Se ha iniciado sesión en la consola del appliance correctamente.
• 427 — No se ha podido iniciar sesión en la consola del appliance.
• 430 — Se ha cambiado el usuario correctamente.
• 431 — No se ha podido cambiar el usuario.
Supervisión y generación de informesSupervisión del mantenimiento y el estado del sistema 7
McAfee Data Loss Prevention 10.x and 11.0 Guía de migración 59
ID deevento
Texto del evento de UI Descripción
220001 Cierre de sesión de usuario Un usuario ha cerrado sesión en el appliance:• 356 — El usuario de la GUI ha cerrado sesión.
• 357 — La sesión ha caducado.
• 428 — El usuario de SSH ha cerrado sesión.
• 429 — El usuario de la consola del appliance ha cerrado sesión.
• 432 — El usuario ha cerrado sesión.
220900 Instalación de certificado • El certificado se ha instalado correctamente
• Error en la instalación del certificado: <motivo>
No puede instalarse un certificado por uno de los motivos siguientes:• Frase de contraseña
incorrecta• Firma incorrecta
• Falta la clave privada • Certificado de CA incorrecto
• Error de cadena • Cadena demasiado larga
• Certificado incorrecto • Objetivo incorrecto
• Certificado caducado • Revocado
• Ya no es válido • CRL incorrecto o inexistente
El motivo también se notifica en el syslog. Si el motivo no coincide conninguno de los disponibles, se devuelve el evento de error de instalaciónde certificado por defecto.
Eventos de registro de Operaciones de DLP
ID de evento Texto del evento de UI Descripción
19100 Cambio de directiva Administración de appliances ha insertado una directiva alappliance correctamente.
19500 Error al insertar directiva Administración de appliances no ha podido insertar una directivaal appliance.
19105 Error de replicación de pruebas • No se ha podido cifrar un archivo de pruebas.
• No se ha podido copiar un archivo de pruebas al servidor depruebas.
19501 Error al analizar • Posible ataque de denegación de servicio.
• No se ha podido descomponer el contenido para analizarlo.
19402 DLP Prevent registrado El appliance se ha registrado correctamente con McAfee ePO.
19403 DLP Monitor registrado El appliance se ha registrado correctamente con McAfee ePO.
7 Supervisión y generación de informesSupervisión del mantenimiento y el estado del sistema
60 McAfee Data Loss Prevention 10.x and 11.0 Guía de migración
8 Mantenimiento y solución de problemas
Utilice la consola del appliance para las tareas de mantenimiento general, tales como cambiar la configuraciónde red y la realización de actualizaciones de software. Hay disponibles opciones para la solución de problemas,comprobaciones de integridad y mensajes de error para ayudarle a identificar y resolver los problemasrelacionados con los appliances de McAfee DLP Prevent o McAfee DLP Monitor.
Contenido Sugerencias para la solución de problemas Administración con la consola del appliance de McAfee DLP Acceso a la consola del appliance Sustitución del certificado por defecto Mensajes de error Copias de seguridad de la configuración
Sugerencias para la solución de problemasPara obtener más detalles sobre las tareas de mantenimiento y la solución de problemas, así como informaciónsobre los eventos operativos y de cliente de McAfee DLP Prevent o McAfee DLP Monitor, véase la Guía delproducto de McAfee Data Loss Prevention.
Fallo de registro del appliance con McAfee ePO
Compruebe que la conexión de red esté en funcionamiento y que las rutas estáticas que haya creado seancorrectas. Haga ping en el gateway predeterminado y en McAfee ePO desde la consola del appliance paraprobar la conexión de red.
Si el registro sigue dando problemas, llame al soporte técnico. No intente realizar el registro de nuevo.
Conexión perdida entre McAfee ePO y el appliance
Es posible comprobar el estado de la conexión para todos los appliances físicos y virtuales mediante la funciónAdministración de appliances de McAfee ePO.
Para restaurar una conexión que no funciona, abra el Árbol de sistemas y seleccione el appliance de McAfee DLPPrevent o McAfee DLP Monitor que haya perdido la conexión. A continuación, seleccione Acción | Agente | Activaragentes y haga clic en Aceptar.
Errores de registro de McAfee DLP Prevent o McAfee DLP Monitor
Los eventos de registro de McAfee DLP Prevent o McAfee DLP Monitor están disponibles en el registro deOperaciones de DLP en McAfee ePO.
8
McAfee Data Loss Prevention 10.x and 11.0 Guía de migración 61
ID de evento Texto del evento de UI Descripción19402 DLP Prevent registrado El appliance se ha registrado correctamente con McAfee ePO.
19403 DLP Monitor registrado El appliance se ha registrado correctamente con McAfee ePO.
No se registran eventos si el appliance de McAfee DLP Prevent o McAfee DLP Monitor no está registrado.Encontrará más información en /var/log/messages.
Problemas de entrega de correo electrónico
En caso de que el correo electrónico no se entregue, compruebe si está siendo bloqueado por un appliance deMcAfee DLP Prevent. Acceda al Administrador de incidentes de DLP en McAfee ePO para comprobar si existecualquier incidente correspondiente al mensaje.
Si se configura la notificación por correo electrónico en McAfee ePO como una Reacción, se notificará alremitente.
Compruebe si el host inteligente puede recibir correo electrónico en caso de que:
• McAfee DLP Prevent no pudiera conectar con el host inteligente para enviar el mensaje.
• Se haya interrumpido la conexión con el host inteligente durante una conversación.
Problemas de rechazo de correo electrónico
Si no hay un host inteligente configurado, McAfee DLP Prevent no puede aceptar mensajes de correoelectrónico porque no tiene ningún lugar al que enviarlos.
Problemas de Web Gateway y McAfee DLP Prevent relacionados con ICAP
Compruebe la configuración de la categoría Configuración web de McAfee DLP en Administración de appliances de DLP enel Catálogo de directivas. McAfee DLP Prevent procesa el tráfico ICAP y el tráfico ICAPs en función de los serviciosseleccionados desde ICAP seguro y sin cifrar.
Si no se selecciona ninguno, el servidor ICAP de McAfee DLP Prevent no acepta ninguna conexión.
Si solo se activa ICAP seguro, asegúrese de que el cliente ICAP sea compatible con ICAPs.
Es posible seleccionar los modos en los que McAfee DLP Prevent puede funcionar para el tráfico ICAP (REQMODy RESPMOD). Si se anula la selección de cualquiera de estos modos, el tráfico correspondiente es ignorado porel appliance de McAfee DLP Prevent y no se procesa. No es posible desactivar REQMOD y RESPMOD al mismotiempo.
Problemas relacionados con LDAP y Logon Collector
Si hay problemas de comunicación entre el appliance de McAfee DLP Prevent o McAfee DLP Monitor y ActiveDirectory al consultar la información de usuario:
• Compruebe las credenciales de Active Directory configuradas en McAfee ePO.
• Si se selecciona SSL, compruebe que Active Directory acepte las conexiones seguras.
Si ha configurado Active Directory para utilizar los puertos del Catálogo global, asegúrese de que al menos uno deestos atributos se replique en el servidor del Catálogo global desde los dominios del bosque:
• Proxy addresses
Si un appliance de McAfee DLP Prevent o McAfee DLP Monitor necesita utilizar la autenticación NTLM para eltráfico ICAP, también deberán replicarse los siguientes atributos de LDAP:
8 Mantenimiento y solución de problemasSugerencias para la solución de problemas
62 McAfee Data Loss Prevention 10.x and 11.0 Guía de migración
• configurationNamingContext
• netbiosname
• msDS-PrincipalName
En el caso de Logon Collector, compruebe el certificado de Logon Collector en el appliance de McAfee DLPPrevent o McAfee DLP Monitor.
Errores de instalación
• Problemas de dependencia: puede haber un problema de dependencia si faltan las extensiones siguientes.
• Paquete de Common UI
• Extensión de administración de appliances
• Extensión de administración de Data Loss Prevention
• Problemas de ampliación: se produce el error siguiente si instala la misma versión o una versión anterior ala de la extensión: No se puede ampliar la extensión dlp-prevent-server-app a la <versión x.x.x.x> porque la<versión x.x.x.x> ya está instalada.
Errores de inserción de directiva
Los eventos de inserción de directiva también están disponibles en el registro de Operaciones de DLP en McAfeeePO.
Si no es posible insertar una directiva, se pueden obtener detalles mediante el appliance de McAfee DLPPrevent o McAfee DLP Monitor en el archivo /wk/mca/ame_policy_DLPPS___1000_error.log.
Mantenimiento del sistema
Utilice el panel Administración de appliances de McAfee ePO para obtener información a fin de administrar susappliances, ver el estado de mantenimiento del sistema y obtener información detallada sobre las alertas.
El mantenimiento del sistema muestra el estado de:
• Cola de pruebas
• Solicitudes web y de correo electrónico (McAfee DLP Prevent)
• Análisis de paquetes (McAfee DLP Monitor)
• Uso de la CPU
• Memoria
• Disco
• Red
Muestra errores o advertencias relacionados con:
• Mantenimiento del sistema
• Tamaño de la cola de pruebas
Mantenimiento y solución de problemasSugerencias para la solución de problemas 8
McAfee Data Loss Prevention 10.x and 11.0 Guía de migración 63
• Implementación de directivas
• Comunicación entre McAfee ePO y appliances de McAfee DLP Prevent y McAfee DLP Monitor.
Problemas relacionados con el Administrador de incidentes
Los problemas relacionados con usuarios, LDAP o la instalación de certificados se muestran en Client Events Log(Registro de eventos de cliente).
1 En McAfee ePO, acceda al Árbol de sistemas.
2 Seleccione la casilla de verificación situada junto al appliance de McAfee DLP Prevent o McAfee DLP Monitor.
3 Seleccione Acciones y acceda a Agente | Mostrar eventos de cliente.
Los incidentes no aparecen en el Administrador de incidentes de DLP
1 Utilice el protocolo de escritorio remoto (RDP) para acceder a McAfee ePO.
2 Vaya a Servicios.
3 Confirme que el Analizador de eventos de McAfee ePO se esté ejecutando. Si se ha detenido o pausado,reinícielo para resolver el problema.
McAfee DLP Prevent y McAfee DLP Monitor envían información de registro al syslog local, además de a unoo más servidores de registro remoto si los ha activado. Las entradas de syslog contienen información sobreel propio dispositivo (el proveedor, el nombre de producto y la versión), la gravedad del evento y la fecha enla que el evento se ha producido.
Utilice la configuración de la categoría General de la directiva Ajustes generales del appliance para configurar losservidores de registro remoto.
Administración con la consola del appliance de McAfee DLPUtilice credenciales de administrador para abrir la consola del appliance y editar la configuración de red quehaya introducido en el Asistente de instalación y llevar a cabo otras tareas de mantenimiento y solución deproblemas.
Puede agregar su propio texto que aparecerá en la parte superior de la consola del appliance o la pantalla deinicio de sesión SSH mediante la opción Banner de inicio de sesión personalizado en McAfee ePO (Menú | Catálogo dedirectivas | Administración de appliances de DLP | General.
Tabla 8-1 Opciones de menú de la consola del appliance
Opción Definición
Graphical configuration wizard Abre el asistente de configuración gráfica.
Si inicia sesión mediante SSH, la opción del asistente de configuración gráfica noestará disponible.
Shell Abre el shell del appliance.
Enable/Disable SSH Activa o desactiva el SSH como método de conexión al appliance.
Generate MER Crea un informe de escalación mínima (MER) que enviará al soporte técnico deMcAfee para que diagnostique los problemas del appliance.
Power down Cierra el appliance.
Reboot Reinicia el appliance.
Rescue Image Crea una imagen de rescate desde la cual se puede arrancar el appliance.
8 Mantenimiento y solución de problemasAdministración con la consola del appliance de McAfee DLP
64 McAfee Data Loss Prevention 10.x and 11.0 Guía de migración
Tabla 8-1 Opciones de menú de la consola del appliance (continuación)
Opción Definición
Reset to factory defaults Restablece los valores predeterminados de fábrica del appliance.
Change password Cambia la contraseña de la cuenta de administrador.
Logout Cierra sesión en el appliance principal.
Acceso a la consola del applianceLa consola del appliance permite realizar varias tareas de mantenimiento. Existen distintas formas de acceder ala consola según el tipo de appliance que tenga.
Tabla 8-2 Métodos de acceso a la consola
Método Appliance virtual Appliance de hardware
SSH X X
Cliente de vSphere X
KVM local (teclado, monitor y ratón) X
RMM X
Puerto serie X
Sustitución del certificado por defecto Puede sustituir el certificado autofirmado con uno emitido por una autoridad de certificación (CA, por sus siglasen inglés) para que otros hosts de la red puedan validar el certificado SSL del appliance.
Antes de empezarSSH debe estar activado.
Para sustituir el certificado, puede hacer una de estas cosas:
• Cargar un certificado y una clave privada nuevos.
• Descargar una solicitud de firma de certificado (CSR, por sus siglas en inglés) del appliance, hacer que lofirme una CA y cargar el certificado que le entregue la CA.
Procedimiento recomendado: Descargar una CSR del appliance garantiza que la clave privada del appliance nopueda quedar desprotegida involuntariamente.
Solo se permiten certificados y claves ECDSA y RSA en el archivo cargado. El certificado debe ser adecuado parasu uso como servidor TLS y como cliente TLS, y la carga debe incluir toda la cadena de certificados. Las cargasse pueden realizar en los siguientes formatos:
• PEM (Base64): cadena de certificados y clave privada o solo cadena de certificados
• PKCS#12: cadena de certificados y clave privada
• PKCS#7: solo cadena de certificados
Si el formato de la carga es PKCS#12 o PKCS#7, se deben utilizar las terminaciones de archivo correctas:
Mantenimiento y solución de problemasAcceso a la consola del appliance 8
McAfee Data Loss Prevention 10.x and 11.0 Guía de migración 65
• PKCS#12 debe tener la terminación de archivo .p12 o .pfx.
• PKCS#7 debe tener la terminación de archivo .p7b.
Es posible que el certificado no se instale si ocurre lo siguiente:
• El certificado no se puede utilizar para la función que tiene prevista.
• El certificado ha caducado.
• El archivo que se ha cargado no contiene los certificados de CA que necesita para verificarlo.
• El certificado emplea un algoritmo de clave pública no admitido, tal como DSA.
Si falla instalación, se dispone de información detallada en el syslog del appliance. Para verla, inicie sesión en laconsola del appliance, seleccione la opción Shell y escriba $ grep import_ssl_cert /var/log/messages.
ProcedimientoPara obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga clic en ?o en Ayuda.
1 En un navegador, vaya a https://APPLIANCE:10443/certificates/ y seleccione uno de los vínculos de CSR parala descarga.
Se dispone de dos archivos: uno contiene una clave pública RSA (la terminación del archivo es .rsa.csr),mientras que el otro contiene una clave pública ECDSA (la terminación del archivo es .ec.csr).
2 Siga las instrucciones de su CA para conseguir la firma de la solicitud.
3 Utilice un cliente SFTP, tal como winscp, para copiar el archivo al directorio /home/admin/upload/cert delappliance.
El registro de Eventos de cliente refleja si la instalación se ha realizado correctamente o ha fallado.
El archivo se instala automáticamente.
Mensajes de errorSi el appliance no está configurado correctamente, trata de identificar el problema y envía un mensaje de errortemporal o permanente.
El texto entre paréntesis del mensaje de error proporciona información adicional sobre el problema. Algunosmensajes de error retransmiten la respuesta del Host inteligente, de manera que la respuesta de McAfee DLPPrevent contiene la dirección IP, que viene indicada por x.x.x.x.
Por ejemplo, el error 442 192.168.0.1: Conexión rechazada indica que el Host inteligente con la dirección192.168.0.1 no ha aceptado la conexión SMTP.
Tabla 8-3 Mensajes de errores temporales
Texto Causa Acción recomendada
451 (el sistema no se haregistrado con unservidor de ePO)
No se ha completado la instalacióninicial.
Registre el appliance con un servidor deMcAfee ePO mediante la opción Asistentede configuración gráfica de la consola delappliance.
451 (no se haconfigurado ningúnservidor DNS)
La configuración aplicada desdeMcAfee ePO no ha especificado ningúnservidor DNS.
Configure al menos un servidor DNS en lacategoría General de la directiva Ajustesgenerales del appliance.
8 Mantenimiento y solución de problemasMensajes de error
66 McAfee Data Loss Prevention 10.x and 11.0 Guía de migración
Tabla 8-3 Mensajes de errores temporales (continuación)
Texto Causa Acción recomendada
451 (no se haconfigurado ningún hostinteligente)
La configuración aplicada desdeMcAfee ePO no ha especificado ningúnhost inteligente.
Configure un host inteligente en lacategoría de directiva Configuración decorreo electrónico de McAfee DLP Prevent.
451 (el archivo dedirectivas OPG no seencuentra en laubicación configurada)
La configuración aplicada desdeMcAfee ePO estaba incompleta.
• Asegúrese de que se instala laextensión de Data Loss Prevention.
• Configure una directiva de Data LossPrevention.
• Póngase en contacto con elrepresentante del soporte técnico. Elarchivo de configuración OPG debeaplicarse con el archivo de directivasOPG.
451 (el archivo deconfiguración OPG no seencuentra en laubicación configurada)
La configuración aplicada desdeMcAfee ePO estaba incompleta.
• Asegúrese de que se instala laextensión de Data Loss Prevention.
• Configure una directiva de Data LossPrevention.
• Póngase en contacto con elrepresentante del soporte técnico. Elarchivo de configuración OPG debeaplicarse con el archivo de directivasOPG.
451 (falta configuracióndel servidor LDAP)
Este error se produce cuando secumplen estas dos condiciones:• McAfee DLP Prevent contiene una
regla que especifica un remitentecomo miembro de un grupo deusuarios LDAP.
• McAfee DLP Prevent no estáconfigurado para recibir informaciónde grupo desde el servidor LDAP quecontiene ese grupo de usuarios.
Compruebe que el servidor LDAP estáseleccionado en la categoría de directivaUsuarios y grupos.
451 (error al resolver ladirectiva basada en elremitente)
Una directiva contiene condiciones delremitente LDAP, pero no puedeobtener la información del servidorLDAP porque:• McAfee DLP Prevent y el servidor
LDAP no se han sincronizado.
• El servidor LDAP no responde.
Compruebe que el servidor LDAP estádisponible.
451 (la prueba de FIPS hafallado)
Las pruebas criptográficas automáticasnecesarias para la conformidad conFIPS han fallado.
Póngase en contacto con surepresentante de soporte técnico.
442 x.x.x.x: Conexiónrechazada
McAfee DLP Prevent no pudoconectarse al Host inteligente paraenviar el mensaje o se pierde laconexión al Host inteligente duranteuna conversación.
Compruebe que el Host inteligente puederecibir correos electrónicos.
Mantenimiento y solución de problemasMensajes de error 8
McAfee Data Loss Prevention 10.x and 11.0 Guía de migración 67
Tabla 8-4 Mensajes de errores permanentes
Error Causa Acción
550 (el host/dominio noestá permitido)
McAfee DLP Prevent ha rechazado laconexión del MTA de origen.
Compruebe que el MTA se encuentraen la lista de hosts permitidos en lacategoría de directiva Configuración decorreo electrónico de McAfee DLP Prevent.
550 x.x.x.x: Denegado por ladirectiva. Conversación TLSrequerida
El Host inteligente no ha aceptado uncomando STARTTLS, pero McAfee DLPPrevent está configurado para enviar elcorreo electrónico en todo momento através de una conexión TLS.
Compruebe la configuración de TLSen el host.
Tabla 8-5 Mensajes de error de ICAP
Error Causa Acción
500 (falta configuracióndel servidor LDAP)
Este error se produce cuando se cumplen estas doscondiciones:• McAfee DLP Prevent contiene una regla que especifica
un usuario final como miembro de un grupo deusuarios LDAP.
• McAfee DLP Prevent no está configurado para recibirinformación de grupo desde el servidor LDAP quecontiene ese grupo de usuarios.
Compruebe que elservidor LDAP estáseleccionado en lacategoría de directivaUsuarios y grupos.
500 (error al resolver ladirectiva basada en elusuario final)
Una directiva contiene condiciones del remitente LDAP,pero no puede obtener la información del servidorLDAP porque:• McAfee DLP Prevent y el servidor LDAP no se han
sincronizado.
• El servidor LDAP no responde.
Compruebe que elservidor LDAP estádisponible.
Copias de seguridad de la configuraciónEn McAfee DLP 10.x y posteriores, es posible crear copias de seguridad de los datos de configuración que sepueden restaurar. Sin embargo, la configuración de los appliances no se incluye en la copia de seguridad. Lastareas de copia de seguridad se ejecutan según sea necesario desde el back-end y no se pueden planificar.
En una copia de seguridad de McAfee DLP 10.x y posteriores se incluyen los siguientes componentes.
• La base de datos SQL.
• Las extensiones instaladas.
• Las claves para la comunicación agente-servidor y los repositorios de McAfee ePO.
• Todos los productos incorporados al Repositorio principal.
• La configuración del servidor para Apache, los certificados SSL necesarios para autorizar el servidor a fin degestionar solicitudes de los agentes y los certificados de la consola.
Para crear una copia de seguridad de su configuración de McAfee DLP 10.x y posteriores, véase KB66616.
8 Mantenimiento y solución de problemasCopias de seguridad de la configuración
68 McAfee Data Loss Prevention 10.x and 11.0 Guía de migración
Índice
AActive Directory 15
administracióndiferencias en las versiones 7
Administración de appliances 19, 47, 58
administración de casos 47
Administración de casos de DLP 47
Administrador de incidentes de DLP 47
Ajustes generales de administración de appliances 19
análisiscrear definiciones 42
tipos 42
análisis de Box 42
análisis de clasificación 42
análisis de corrección 42
análisis de inventario 42
análisis de registro 42
API REST 25, 34, 35
applianceestado 58
arquitecturadiferencias en las versiones 7
autenticación 17
autenticación de Windows 17
autenticación mediante certificados 17
Ccasos
actualización 53
adición de comentarios 53
asignación de incidentes 54
creación 52
envío de notificaciones 53
registros de auditoría 53
Catálogo global 15
certificados 65
clasificación 21
creación de definiciones de palabras clave 26
crear nueva 29
criterios 22
propiedades de documentos 22
definición de patrón avanzado 27
definiciones 21
clasificación 21 (continuación)expresión regular 28
opciones no admitidas 27
patrón avanzado 28
conceptosclasificación y definiciones 21
definiciones 23
definiciones de diccionario y patrón avanzado 7configuración
copias de seguridad 68
conjuntos de permisoscrear un revisor 52
conjuntos de permisos, definición 18
conjuntos de reglas 31
creación 33
control de acceso 17
control de acceso basado en funciones 18
copias de seguridadcrear 68
creación de usuarios 17
Ddatos
clasificación 24
datos de DLP, clasificación 26
definición de diccionariocrear 26
definición del servidor DNSAjustes generales de administración de appliances 19
definicionesclasificación 21
diccionarios 24
patrón de texto 26
definiciones de diccionario 21, 23
definiciones de patrón avanzado 23
definiciones de patrones avanzados 21
definiciones de redintervalo de direcciones 34
intervalo de puertos 36
definiciones de reglas 32
definiciones de usuario finalLDAP 16
diccionariosacerca de 24
McAfee Data Loss Prevention 10.x and 11.0 Guía de migración 69
diccionarios (continuación)creación 25
importación de entradas 25
direcciones de correo electrónicocreación 34
importar 34
directivas 31
asignar a McAfee DLP Prevent 36
conjunto de reglas 7documentos registrados
clasificación 21
manualmente 23
Eenrutamiento estático
Ajustes generales de administración de appliances 19
especificación de zona horariaAjustes generales de administración de appliances 19
excepciones de reglas 33
expresiones regularesdefiniciones 23
Ffecha y hora
Ajustes generales de administración de appliances 19
flujo de trabajo de migración 5función de administrador
conjunto de permisos 18
función de revisorconjunto de permisos 18
funcionesincompatibles 7nuevas y renombradas 7
Ggeneración de informes 47
grupoconjunto de permisos 7
grupo localconjunto de permisos 7
creación 18
conjunto de permisos de McAfee DLP Prevent 18
ver conjunto de permisos 18
Iincidentes
actualización 50
asignar un revisor 52
detalles 49
filtrado 48
gráficos 58
notificaciones de correo electrónico 51
orden 48
incidentes (continuación)servidor de pruebas 19
incidentes y casos 47
incompatibles, funciones 7inicio de sesión de Secure Shell
Ajustes generales de administración de appliances 19
inicio de sesión remotoAjustes generales de administración de appliances 19
instalación 9
LLDAP, definiciones de usuario final 16
listas de URLcreación 35
MMcAfee DLP
paneles 47, 58
McAfee DLP Discover 41
crear definiciones de análisis 42
crear reglas para análisis de corrección 44
crear un análisis de clasificación 43
instalación 9planificación de un análisis de un solo uso 45
planificar un análisis 45
tipos de análisis 42
tipos de repositorios 41
McAfee DLP Preventconjuntos de permisos 18
sustituir el certificado por defecto 65
McAfee DLP Prevent y McAfee DLP Monitorsolución de problemas 61
Nnombres de productos
diferencias en las versiones 7
OOperaciones de DLP 47
Ppalabra clave
creación de definiciones 26
palabras clavedefiniciones 23
paneles 47, 58
patrón avanzadocreación 27
patrones de textoacerca de 26
planificaciónanálisis de un solo uso de McAfee DLP Discover 45
Índice
70 McAfee Data Loss Prevention 10.x and 11.0 Guía de migración
planificaranálisis de McAfee DLP Discover 45
plantillaclasificaciones y definiciones 7
propiedades de documentosclasificación 21, 22
Rreacciones 32
registro del servidor LDAP 15
registro remotoAjustes generales de administración de appliances 19
regla de protección de correo electrónicoreacciones 32
regla de protección webreacciones 32
reglas 31
crear 33
definiciones 32
excepciones 33
reacciones 32
reglas de acciónreacción 7
reglas de descubrimiento de endpoint 33
reglas de protección 33
reglas para dispositivos 33
repositorios 41
repositorios Box 41
repositorios CIFS 41
repositorios SharePoint 41
Sservidor de pruebas
adición 19
servidor OpenLDAP 15
SNMPAjustes generales de administración de appliances 19
solución de problemasMcAfee DLP Prevent y McAfee DLP Monitor 61
supervisión 47
Administración de appliances 58
Ttareas posteriores a la instalación 14
tarjetas de mantenimiento del sistema 58
terminologíadiferencias en las versiones 7
Uusuario local
véase creación de usuarios 17
Vvalidador
algoritmo 7validadores 26
Índice
McAfee Data Loss Prevention 10.x and 11.0 Guía de migración 71