Data Loss Prevention Discover 9.4.0 Guía del producto · Intel y el logotipo de Intel son marcas...

Guía del productoRevisión A

McAfee Data Loss Prevention Discover9.4.0Para uso con McAfee ePolicy Orchestrator

COPYRIGHT

Copyright © 2015 McAfee, Inc., 2821 Mission College Boulevard, Santa Clara, CA 95054, 1.888.847.8766, www.intelsecurity.com

ATRIBUCIONES DE MARCAS COMERCIALESIntel y el logotipo de Intel son marcas comerciales registradas de Intel Corporation en EE. UU. y en otros países. McAfee y el logotipo de McAfee,McAfee Active Protection, McAfee DeepSAFE, ePolicy Orchestrator, McAfee ePO, McAfee EMM, McAfee Evader, Foundscore, Foundstone, Global ThreatIntelligence, McAfee LiveSafe, Policy Lab, McAfee QuickClean, Safe Eyes, McAfee SECURE, McAfee Shredder, SiteAdvisor, McAfee Stinger, McAfeeTechMaster, McAfee Total Protection, TrustedSource y VirusScan son marcas comerciales o marcas comerciales registradas de McAfee, Inc. o de susempresas filiales en EE. UU. y en otros países. Los demás nombres y marcas pueden ser reclamados como propiedad de otros.

INFORMACIÓN DE LICENCIA

Acuerdo de licenciaAVISO A TODOS LOS USUARIOS: LEA DETENIDAMENTE EL ACUERDO LEGAL CORRESPONDIENTE A LA LICENCIA QUE HA ADQUIRIDO, QUE ESTIPULALOS TÉRMINOS Y CONDICIONES GENERALES PARA EL USO DEL SOFTWARE CON LICENCIA. SI NO SABE QUÉ TIPO DE LICENCIA HA ADQUIRIDO,CONSULTE LOS DOCUMENTOS DE VENTA Y OTROS DOCUMENTOS RELACIONADOS CON LA CONCESIÓN DE LA LICENCIA O CON LA ORDEN DE COMPRAQUE ACOMPAÑAN AL PAQUETE DE SOFTWARE, O QUE HAYA RECIBIDO POR SEPARADO COMO PARTE DE LA COMPRA (POR EJEMPLO, UN MANUAL, UNARCHIVO DEL CD DEL PRODUCTO O UN ARCHIVO DISPONIBLE EN EL SITIO WEB DESDE EL QUE DESCARGÓ EL PAQUETE DE SOFTWARE). SI NOACEPTA TODOS LOS TÉRMINOS DESCRITOS EN EL ACUERDO, NO INSTALE EL SOFTWARE. SI PROCEDE, PUEDE DEVOLVER EL PRODUCTO A MCAFEE OAL LUGAR DONDE LO ADQUIRIÓ CON EL FIN DE OBTENER SU REEMBOLSO ÍNTEGRO.

2 McAfee Data Loss Prevention Discover 9.4.0 Guía del producto

http://www.intelsecurity.com

Contenido

Prefacio 5Acerca de esta guía . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5

Destinatarios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5Convenciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5

Búsqueda de documentación de productos . . . . . . . . . . . . . . . . . . . . . . . . 6

1 Introducción 7Funcionamiento del software . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8Tipos de análisis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9

2 Instalación 11Consideraciones y opciones de instalación . . . . . . . . . . . . . . . . . . . . . . . . 11Requisitos del sistema . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11Puertos predeterminados utilizados por McAfee DLP Discover . . . . . . . . . . . . . . . . 12Instale McAfee DLP Discover . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12

Instale y añada la licencia a la extensión de McAfee DLP. . . . . . . . . . . . . . . . 13Instale el paquete del servidor con McAfee ePO. . . . . . . . . . . . . . . . . . . 14Instale el paquete del servidor manualmente. . . . . . . . . . . . . . . . . . . . 15

Realización de las tareas posteriores a la instalación . . . . . . . . . . . . . . . . . . . 15Verificación de la instalación . . . . . . . . . . . . . . . . . . . . . . . . . . 15Definir un servidor de administración de derechos . . . . . . . . . . . . . . . . . 16Creación de carpetas de pruebas . . . . . . . . . . . . . . . . . . . . . . . . 16Configurar ajustes del servidor . . . . . . . . . . . . . . . . . . . . . . . . . 16

3 Configuración de directivas y análisis 19Elección del tipo de análisis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19

Funcionamiento de los análisis de inventario . . . . . . . . . . . . . . . . . . . . 20Funcionamiento de los análisis de clasificación . . . . . . . . . . . . . . . . . . . 20Funcionamiento de los análisis de corrección . . . . . . . . . . . . . . . . . . . . 21

Consideraciones y limitaciones de los análisis . . . . . . . . . . . . . . . . . . . . . . 21Uso de las definiciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22Uso de las clasificaciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23

Definiciones de patrones avanzados . . . . . . . . . . . . . . . . . . . . . . . 24Definiciones de diccionario . . . . . . . . . . . . . . . . . . . . . . . . . . . 25

Uso de las reglas y los conjuntos de reglas . . . . . . . . . . . . . . . . . . . . . . . 25Configurar directivas para los análisis . . . . . . . . . . . . . . . . . . . . . . . . . 26

Crear definiciones para los análisis . . . . . . . . . . . . . . . . . . . . . . . . 26Crear definiciones para las clasificaciones . . . . . . . . . . . . . . . . . . . . . 30Crear clasificaciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32Crear reglas y conjuntos de reglas . . . . . . . . . . . . . . . . . . . . . . . . 33

Configurar un análisis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34Configurar un análisis de inventario . . . . . . . . . . . . . . . . . . . . . . . 34Configurar un análisis de clasificación . . . . . . . . . . . . . . . . . . . . . . 35Configurar un análisis de corrección . . . . . . . . . . . . . . . . . . . . . . . 36

Realizar operaciones de análisis . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37

McAfee Data Loss Prevention Discover 9.4.0 Guía del producto 3

Comportamiento de análisis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38Conjuntos de permisos sobre DLP . . . . . . . . . . . . . . . . . . . . . . . . . . . 38

Crear un conjunto de permisos de McAfee DLP . . . . . . . . . . . . . . . . . . . 39Protección de la confidencialidad con la redacción . . . . . . . . . . . . . . . . . . 40

4 Examen de los datos analizados 41Uso de OLAP por parte de McAfee DLP Discover . . . . . . . . . . . . . . . . . . . . . 41Ver resultados de análisis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41Analizar resultados de análisis . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43Ver resultados de inventario . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43

5 Incidentes y eventos operativos 45Supervisión y generación de informes . . . . . . . . . . . . . . . . . . . . . . . . . 45Administrador de incidentes de DLP . . . . . . . . . . . . . . . . . . . . . . . . . . 46

Cómo funciona el administrador de incidentes . . . . . . . . . . . . . . . . . . . 46Crear una tarea de definición de revisor . . . . . . . . . . . . . . . . . . . . . 47Crear una tarea de correo electrónico automática . . . . . . . . . . . . . . . . . . 48Crear una tarea de purga de eventos . . . . . . . . . . . . . . . . . . . . . . . 49Editar tareas servidor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49Supervisar resultados de la tarea . . . . . . . . . . . . . . . . . . . . . . . . 50

Trabajar con incidentes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50Visualización de los incidentes . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50

Ordenar y filtrar incidentes . . . . . . . . . . . . . . . . . . . . . . . . . . . 51Configurar vistas de columna . . . . . . . . . . . . . . . . . . . . . . . . . . 51Configurar filtros de incidentes . . . . . . . . . . . . . . . . . . . . . . . . . 52Ver detalles del incidente . . . . . . . . . . . . . . . . . . . . . . . . . . . 53

Gestión de incidentes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53Actualizar un solo incidente . . . . . . . . . . . . . . . . . . . . . . . . . . 54Actualizar varios incidentes . . . . . . . . . . . . . . . . . . . . . . . . . . . 54Administrar etiquetas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55

Índice 57

Contenido


Prefacio

Esta guía le proporcionará toda la información que necesita para trabajar con su producto McAfee.

Contenido Acerca de esta guía Búsqueda de documentación de productos

Acerca de esta guíaEsta información incluye los destinatarios de la guía, las convenciones tipográficas y los iconosutilizados, además de cómo está organizada.

DestinatariosLa documentación de McAfee se recopila y se redacta meticulosamente para el público al que vadestinada.

La información de esta guía está dirigida principalmente a:

• Administradores: personas que implementan y aplican el programa de seguridad de la empresa.

• Encargados de la seguridad: personas que determinan qué información es confidencial y quedefinen la directiva corporativa que protege la propiedad intelectual.

ConvencionesEn esta guía se utilizan los siguientes iconos y convenciones tipográficas.

Título de libro, término oénfasis

Título de un libro, capítulo o tema; introducción de un nuevo término;énfasis.

Negrita Texto que se enfatiza particularmente.

Datos introducidos porel usuario, código,mensajes

Comandos u otro texto que escribe el usuario; un ejemplo de código;un mensaje que aparece en pantalla.

Texto de la interfaz Palabras de la interfaz del producto, como los nombres de opciones,menús, botones y cuadros de diálogo.

Azul hipertexto Un vínculo a un tema o a un sitio web externo.

Nota: Información adicional, como un método alternativo de acceso auna opción.

Sugerencia: Sugerencias y recomendaciones.


Importante/atención: Consejo importante para proteger el sistema,la instalación del software, la red, la empresa o los datos.

Advertencia: Consejo especialmente importante para prevenir dañosfísicos cuando se usa un producto de hardware.

Búsqueda de documentación de productosUna vez que se lanza un producto, la información del producto se introduce en el Centro deconocimiento online de McAfee.

Procedimiento1 Vaya a la ficha Centro de conocimiento del portal McAfee ServicePortal en http://support.mcafee.com.

2 En el panel KnowledgeBase, haga clic en un origen de contenido:

• Documentación del producto para encontrar documentación del producto

• Artículos técnicos para encontrar artículos de la base de datos KnowledgeBase

3 Seleccione No borrar mis filtros.

4 Introduzca un producto, seleccione una versión y haga clic en Buscar para que aparezca una listacon documentos.

PrefacioBúsqueda de documentación de productos


http://support.mcafee.com

1 Introducción

McAfee®

Data Loss Prevention Discover (McAfee DLP Discover) es un rastreador de red basado ensoftware que analiza los sistemas de archivos de red para identificar y proteger los archivos y datosconfidenciales.

McAfee DLP Discover se ejecuta en servidores Microsoft Windows designados y se integra con McAfee®

ePolicy Orchestrator®

(McAfee ePO™

) para la configuración, la gestión de directivas y el examen deanálisis.

Ventajas

McAfee DLP Discover es un sistema de software extensible y escalable que puede cumplir losrequisitos de cualquier red, independientemente de su tamaño. Despliegue el software de McAfee DLPDiscover en tantos servidores de la red como necesite.

Utilice McAfee DLP Discover para lo siguiente:

• Detectar y clasificar contenido de carácter confidencial.

• Mover o copiar contenido de carácter confidencial.

• Hacer la integración con Microsoft Rights Management Service para proteger los archivos.

• Automatizar tareas de TI, como encontrar archivos vacíos, determinar los permisos y hacer unalista de los archivos que han cambiado en un período de tiempo específico.

Repositorios compatibles

McAfee DLP Discover es compatible con los siguientes tipos de repositorios:

• Sistema de archivos de Internet común (CIFS)

• SharePoint 2010 y 2013

Los sitios web del centro de búsqueda Enterprise (ESS) de SharePoint no son compatibles. Sonconsolidaciones sin archivos; solo tienen vínculos a los archivos originales. En los sitios web del ESS,puede analizar las colecciones de sitios reales o toda la aplicación web.

Contenido Funcionamiento del software Tipos de análisis

1


Funcionamiento del softwareMcAfee ePO utiliza McAfee

®

Agent para instalar y desplegar el software de McAfee DLP Discover en unservidor de descubrimiento: un servidor Windows designado.

McAfee ePO aplica la directiva de análisis a los servidores de descubrimiento. En el momentoplanificado, el servidor de descubrimiento analiza el CIFS o el repositorio de SharePoint. Los datosrecopilados y las acciones que se aplican a los archivos dependen del tipo de análisis y laconfiguración.

Utilice McAfee ePO para llevar a cabo la configuración y tareas analíticas como las siguientes:

• Mostrar servidores de descubrimiento disponibles.

• Configurar y planificar los análisis.

• Configurar elementos de directivas como las definiciones, las clasificaciones y las reglas.

• Revisar los análisis de datos y los resultados de inventario.

• Revisar los incidentes generados a partir de los análisis de corrección.

Terminología

Estos términos tienen definiciones específicas para McAfee DLP Discover.

Tabla 1-1 Terminología de McAfee DLP Discover

Término Definición

Rastreo Recuperar archivos o metadatos de los repositorios.

Clasificación Se utiliza para identificar y rastrear archivos y contenido de carácterconfidencial.Las clasificaciones pueden coincidir con contenido como patrones de texto,diccionarios y propiedades del documento.

Definición Un componente de configuración que crea una directiva de análisis deMcAfee DLP Discover.Las definiciones especifican elementos como las horas del análisisplanificado, el repositorio que se va a analizar y los metadatos del archivoque se van a buscar.

Servidor dedescubrimiento

El servidor Windows donde se instala el software de McAfee DLP Discover.Puede instalar varios servidores de descubrimiento en su red.

Información delarchivo

Una definición que puede incluir el nombre del archivo, el propietario, eltamaño, la extensión y las fechas de creación, modificación y acceso.Utilice las definiciones de información del archivo de los filtros para incluiro excluir los archivos que se va a analizar.

Ruta Un nombre UNC, una dirección IP o una dirección web.

Repositorio Un CIFS o un servidor de SharePoint.La definición de repositorio incluye las rutas y las credenciales paraanalizar el servidor.

Planificador Una definición que especifica los detalles de análisis y el tipo deplanificación: diaria, semanal, mensual, una vez o inmediata.

1 IntroducciónFuncionamiento del software


Tipos de análisisMcAfee DLP Discover es compatible con tres tipos de análisis: inventario, clasificación y corrección.

Análisis de inventario

Los análisis de inventario le aportan una vista de alto nivel de los tipos de archivos que existen en elrepositorio. Este análisis recopila solamente los metadatos; no se obtienen los archivos. McAfee DLPDiscover ordena los metadatos analizados en diferentes tipos de contenido y examina atributos comoel tamaño, la ubicación y la extensión del archivo. Utilice este análisis para crear una descripcióngeneral de su repositorio o para tareas de TI como la ubicación de archivos que se utilizan con pocafrecuencia.

Análisis de clasificación

Los análisis de clasificación le ayudan a entender los datos existentes en el repositorio objetivo. Alhacer coincidir el contenido analizado con clasificaciones como los patrones de texto o los diccionarios,puede analizar los patrones de datos para crear análisis de corrección optimizados.

Análisis de corrección

Los análisis de corrección encuentran los datos que infringen una directiva. Puede supervisar, aplicaruna directiva de administración de derechos, copiar o mover archivos a una ubicación para exportar.Todas las acciones pueden provocar incidentes que se notifican al Administrador de incidentes deMcAfee ePO.

IntroducciónTipos de análisis 1


1 IntroducciónTipos de análisis


2 Instalación

McAfee DLP Discover tiene dos componentes: una extensión que proporciona la interfaz de usuario enMcAfee ePO y un paquete del servidor para instalar el software en el servidor de descubrimiento.

Contenido Consideraciones y opciones de instalación Requisitos del sistema Puertos predeterminados utilizados por McAfee DLP Discover Instale McAfee DLP Discover Realización de las tareas posteriores a la instalación

Consideraciones y opciones de instalaciónMcAfee DLP Discover puede ejecutarse en servidores virtuales o físicos. Puede instalar uno o variosservidores de descubrimiento en su red.

Instale McAfee DLP Discover en los servidores a través de McAfee ePO o de forma manual.

McAfee recomienda utilizar McAfee ePO para la instalación.

Asegúrese de que cualquier servidor que pretenda utilizar para McAfee DLP Discover tiene McAfee®

Agent instalado y en funcionamiento, se comunica con McAfee ePO y se agrega al Árbol de sistemas deMcAfee ePO.

Para obtener más información sobre la instalación y el funcionamiento de McAfee Agent, consulte laGuía del producto de McAfee Agent.

Requisitos del sistemaMcAfee DLP Discover tiene diferentes requisitos para cada uno de los componentes.

Tabla 2-1 Requisitos de McAfee DLP Discover

Elemento Requisito

McAfee ePO • Versión 4.6.8 o posterior

• Versión 5.1 o posterior

La versión 5.0.x no es compatible.

McAfee® Unified Data Loss Prevention (McAfee DLP) Versión 9.4.0 o posterior

Requisitos del servidor de descubrimiento

2


Tabla 2-1 Requisitos de McAfee DLP Discover (continuación)

Elemento Requisito

Hardware • CPU: Intel Core 2 de 64 bits

• RAM: 4 GB como mínimo

• Disco duro: 100 GB como mínimo

Servidores virtuales • vSphere ESXi 5.0 Update 2

• vCenter Server 5.0 Update 2

Sistemas operativos • Windows Server 2008 R2 Standard de 64 bits

• Windows Server 2012 Standard de 64 bits

• Windows Server 2012 R2 Standard de 64 bits

McAfee Agent • Versión 4.8.2 o posterior

• Versión 5.0 o posterior

Puertos predeterminados utilizados por McAfee DLP DiscoverMcAfee DLP Discover utiliza varios puertos para las comunicaciones de análisis. Configure cualquierfirewall intermediario o dispositivos de implementación de directivas para permitir esos puertos dondesea necesario.

Todos los protocolos que aparecen en la lista utilizan solo TCP, a menos que se indique lo contrario.

Tabla 2-2 Puertos predeterminados utilizados en las comunicaciones de análisis

Puerto Protocolo Se utilizan para

137, 138, 139 NetBIOS Análisis CIFS

445 SMB

80 HTTP SharePoint

Los servidores de SharePoint pueden estar configurados para utilizarpuertos SSL o HTTP no estándar. Si lo necesita, configure los firewallpara permitir los puertos no estándar.

443 SSL

53 DNS (UDP) Consultas DNS

8171 TCP MQ activa

51515 TCP MQ activa

Instale McAfee DLP Discover Instale el paquete del servidor y la extensión de McAfee DLP.

El paquete de servidor se despliega en los servidores de descubrimiento e instala McAfee DLP Discovery los componentes necesarios, como los archivos redistribuibles Active MQ, Java, .NET, postgreSQL,AD RMS client 2.1, y C++.

2 InstalaciónPuertos predeterminados utilizados por McAfee DLP Discover


Procedimientos• Instale y añada la licencia a la extensión de McAfee DLP. en la página 13

La extensión proporciona la interfaz de usuario para configurar McAfee DLP en McAfee ePO.

• Instale el paquete del servidor con McAfee ePO. en la página 14Para desplegarlo e instalarlo, McAfee recomienda utilizar McAfee ePO.

• Instale el paquete del servidor manualmente. en la página 15Si no puede instalar el paquete del servidor a través de McAfee ePO por problemas como laconectividad de la red, puede instalar manualmente McAfee DLP Discover en el servidor dedescubrimiento.

Instale y añada la licencia a la extensión de McAfee DLP.La extensión proporciona la interfaz de usuario para configurar McAfee DLP en McAfee ePO.

Antes de empezar• Descargue la extensión de McAfee DLP del sitio web de descargas de McAfee.

También puede ir a McAfee ePO y a Menú | Software | Administrador de software para ver,descargar e instalar el software.

• Compruebe que el nombre del servidor de McAfee ePO aparece en la lista Sitios deconfianza en la configuración de seguridad de Internet Explorer.

ProcedimientoPara ver las definiciones de las opciones, haga clic en ? en la interfaz.

1 En McAfee ePO, seleccione Menú | Software | Extensionesy, a continuación, haga clic en Instalar extensión.

2 Vaya al archivo con extensión .zip y haga clic en Aceptar.

El cuadro de diálogo de instalación muestra los parámetros de archivo para verificar que estáinstalando la extensión correcta.

3 Haga clic en Aceptar. Se instalará la extensión.

4 Instale licencias y componentes para personalizar la instalación.

La instalación de la licencia activa los componentes relacionados de McAfee ePO y las directivas delcatálogo de directivas de McAfee ePO. Las opciones de licencia son:

• McAfee Device Control.

• McAfee DLP Endpoint (incluyeMcAfee Device Control)

• McAfee DLP Discover.

• McAfee Device Control y McAfee DLP Discover

• McAfee DLP Endpoint y McAfee DLP Discover

a Seleccione Menú | Protección de datos.

b Seleccione Administrador de directivas de DLP o McAfee DLP Discover y haga clic en Sí cuando se le soliciteintroducir la licencia.

Se abre la página Configuración del servidor | Data Loss Prevention.

InstalaciónInstale McAfee DLP Discover 2


c En el campo Clave, introduzca la licencia y, a continuación, haga clic en Agregar.

d Si fuera necesario, agregue otra licencia.

5 En el campo Almacenamiento de pruebas predeterminado, introduzca la ruta.

La ruta de almacenamiento de pruebas debe ser una ruta de red, es decir, \\[server]\[localpath].Este paso es obligatorio para guardar la configuración y activar el software.

6 Haga clic en Guardar.

Los módulos de McAfee DLP aparecen en Menú | Protección de datos según la licencia.

Instale el paquete del servidor con McAfee ePO.Para desplegarlo e instalarlo, McAfee recomienda utilizar McAfee ePO.


1 Incorpore el paquete del servidor.

a En McAfee ePO, seleccione Menú | Software | Repositorio principal.

b Haga clic en Incorporar paquete.

c Vaya al archivo .zip del paquete del servidor y haga clic en Siguiente.

d Haga clic en Guardar.

2 Cree una tarea de cliente.

a Seleccione Menú | Árbol de sistemas.

b Seleccione el servidor de descubrimiento y, después, Acciones | Agente | Modificar tareas en un solosistema.

c Seleccione Acciones | Nueva asignación de tarea cliente.

3 Configure la asignación de tarea.

a En el área Producto, seleccione McAfee Agent.

b En el área Tipo de tarea, seleccione Despliegue de productos.

c En el área Nombre de tarea, haga clic en Crear nueva tarea.

4 Configure la tarea.

a En el área Plataformas de destino, seleccione Windows.

b En el menú de Productos y componentes, seleccione McAfee Discover Server.

c En el menú Acción, seleccione Instalar.

d Haga clic en Guardar.

5 Seleccione el nombre de la nueva tarea y, a continuación, haga clic en Siguiente.

6 Configure cuándo ejecutar la tarea y después haga clic en Siguiente.


2 InstalaciónInstale McAfee DLP Discover


Instale el paquete del servidor manualmente.Si no puede instalar el paquete del servidor a través de McAfee ePO por problemas como laconectividad de la red, puede instalar manualmente McAfee DLP Discover en el servidor dedescubrimiento.

Procedimiento1 Descargue o transfiera el archivo DiscoverServerInstallx64.exe al servidor de descubrimiento.

2 Haga doble clic en el archivo y siga las instrucciones que aparecen en la pantalla.

Realización de las tareas posteriores a la instalaciónVerifique la instalación y defina la configuración del servidor.

Verificación de la instalaciónAsegúrese de que McAfee DLP Discover se ha instalado correctamente y se ha establecidocomunicación con McAfee ePO.

Procedimiento1 En el sistema operativo del servidor, compruebe que los servicios y procesos de McAfee DLP

Discover se encuentran en funcionamiento.

• McAfee Discover Service

• McAfee Discover Server Queuing Service

• McAfee Discover Server Postgres service

2 Active los agentes de McAfee ePO, o recopile y envíe las propiedades del servidor dedescubrimiento.

• En McAfee ePO, seleccione Menú | Árbol de sistemas, elija el servidor y haga clic en Activar agentes.

• En la bandeja del sistema del servidor de descubrimiento, haga clic en el icono de McAfee,seleccione Monitor de estado de McAfee Agent y haga clic en Recopilar y enviar propiedades.La columna Estado debe mostrar Implementando directivas para DISCOVER9400.

3 Asegúrese de que se detecta el servidor de descubrimiento.

a En McAfee ePO, seleccione Menú | Protección de datos | DLP Discover.

b Haga clic en la pestaña Servidores de descubrimiento.

Aparecerá una lista de los servidores detectados.

Si el servidor no figura, seleccione Acciones | Detectar servidores. Esta tarea se ejecuta cada 10minutos de forma predeterminada.

4 (Opcional) Se recomienda cambiar el intervalo de comunicación agente-servidor de McAfee Agentpara garantizar que los datos analíticos están actualizados.

a Seleccione Menú | Directiva | Catálogo de directivas.

b En la lista desplegable Producto, seleccione McAfee Agent.

c En la columna Categoría, localice la directiva predeterminada que figura como General y ábrala.

d En la pestaña General, en el área Puerto de comunicación agente-servidor, cambie el intervalo a 5.

InstalaciónRealización de las tareas posteriores a la instalación 2


Definir un servidor de administración de derechosPuede integrar Microsoft Windows Rights Management Services con McAfee DLP Discover para aplicardirectivas de administración de derechos a los archivos.

Antes de empezarConfigure los servidores de administración de derechos, y cree usuarios y directivas.Obtenga la URL y la contraseña de la plantilla de directiva para todos los servidores.


1 En McAfee ePO, seleccione Menú | Servidores registrados.

2 Haga clic en Nuevo servidor.

3 En la lista desplegable Tipo de servidor, seleccione Servidor Microsoft RMS.

4 Escriba un nombre para la configuración del servidor y, a continuación, haga clic en Siguiente.

5 Rellene los detalles necesarios. Cuando haya introducido los campos necesarios, haga clic en Probarconectividad para verificar los datos introducidos.


Creación de carpetas de pruebasLas carpetas de pruebas almacenan información de las pruebas cuando los archivos coinciden con unaregla en un análisis de corrección.

Según cuál sea su instalación de McAfee DLP, deben crearse algunas carpetas y recursos compartidosde red, y establecerse sus propiedades y la configuración de seguridad correspondiente.

Debe configurar el permiso de escritura para la cuenta del usuario que escribe en la carpeta de pruebas,por ejemplo, la cuenta del sistema local en el servidor de descubrimiento. Para ver las pruebas deMcAfee ePO, debe conceder acceso de lectura a la cuenta del sistema local del servidor de McAfee ePO.

Configurar ajustes del servidorConfigure los ajustes de McAfee DLP Discover como qué recurso compartido de prueba utilizar.

Antes de empezar• Si está utilizando un servidor de administración de derechos, obtenga el nombre de

dominio, el nombre de usuario y la contraseña.

• Si tiene pensado ejecutar análisis de corrección en los servidores de SharePoint,determine si los servidores de SharePoint de su empresa utilizan la papelera dereciclaje. No combinar correctamente este ajuste puede ocasionar errores ocomportamientos inesperados durante el análisis de corrección.

Para obtener información sobre la gestión de derechos o el extractor de texto, consulte la Guía delproducto de McAfee Data Loss Prevention Endpoint.

2 InstalaciónRealización de las tareas posteriores a la instalación



1 En McAfee ePO, seleccione Menú | Directiva | Catálogo de directivas.

2 En la lista desplegable Producto, seleccione Data Loss Prevention 9.4.0.xxx.

3 (Opcional) En la lista desplegable Categoría, seleccione Configuración del servidor.

Aparecen todas las configuraciones de servidor de McAfee DLP Discover.

4 Siga uno de estos procedimientos.

• Seleccione una configuración del servidor que editar.

• Haga clic en Duplicar para la configuración de McAfee Default.

5 En la página Servicio de copia de pruebas:

a Seleccione si el servicio está activado o desactivado.

El servicio de copia de pruebas le permite almacenar pruebas durante los análisis de corrección.Si está desactivado, las pruebas no se recopilan y solo se generan los incidentes.

b Introduzca el recurso compartido de almacenamiento de pruebas (UNC). Si no desea utilizar lacuenta del sistema local, introduzca un nombre de usuario y una contraseña para almacenar laspruebas.

c (Opcional) Restablezca los filtros de Tamaño máximo del archivo de pruebas y Ancho de banda de transmisiónde pruebas máximo predeterminados.

d Seleccione si el almacenamiento del archivo original está activado o desactivado.

Al seleccionar Desactivado se omite la configuración de Almacenar archivo original en las reglasindividuales.

e Defina la coincidencia de clasificación con los resultados abreviados o todas las coincidencias.También puede desactivar la coincidencia con este control.

6 (Opcional) En la página Registro, defina el tipo y el nivel del resultado del registro.

Se recomienda usar los valores predeterminados.

7 En la página Gestión de derechos, defina las credenciales del servicio de gestión de derechos.

8 En la página SharePoint, seleccione o anule la selección de Utilizar papelera de reciclaje al eliminar un archivo.

Si activa este ajuste y SharePoint Server no utiliza la papelera de reciclaje, cualquier acción de Moverllevada a cabo en los archivos fallará y tomará de forma predeterminada el valor Copiar. El valorpredeterminado en SharePoint es activar la papelera de reciclaje.

9 (Opcional) En la página Extractor de texto, configure los ajustes del extractor de texto.

Se recomienda usar los valores predeterminados.

a Defina la página de códigos de respaldo ANSI.

El valor predeterminado utiliza el idioma predeterminado del servidor de descubrimiento.

b Defina el tamaño máximo del archivo de entrada y de salida, y los tiempos de espera.

InstalaciónRealización de las tareas posteriores a la instalación 2


2 InstalaciónRealización de las tareas posteriores a la instalación


3 Configuración de directivas y análisis

Configure los análisis y las directivas de McAfee DLP Discover para detectar y proteger sus archivos.

McAfee DLP Discover y McAfee DLP Endpoint comparten muchos componentes de configuración. Segúnsu licencia de McAfee DLP, puede ver componentes como las definiciones y las reglas utilizadas por cadaproducto.

Contenido Elección del tipo de análisis Consideraciones y limitaciones de los análisis Uso de las definiciones Uso de las clasificaciones Uso de las reglas y los conjuntos de reglas Configurar directivas para los análisis Configurar un análisis Realizar operaciones de análisis Comportamiento de análisis Conjuntos de permisos sobre DLP

Elección del tipo de análisisEl tipo de análisis que configure determina la cantidad de información recuperada en un análisis, lasmedidas tomadas durante el proceso y la configuración que se requiere para llevarlo a cabo.

• Con los análisis de inventario se recuperan solamente los metadatos, lo que sirve como base paraconfigurar los análisis de clasificación y corrección.

• Los análisis de clasificación recuperan los metadatos, examinan los archivos y se adaptan a lasclasificaciones de directivas que defina.

• Los análisis de corrección incluyen exámenes de los análisis de clasificación y pueden conllevaracciones en los archivos que coincidan con las reglas configuradas.

Los componentes de la directiva que debe configurar dependen del tipo de análisis.

Tabla 3-1 Componentes de la directiva requeridos

Tipo de análisis Definiciones Clasificaciones Reglas

Inventario X

Clasificación X X

Corrección X X X

Los resultados de los análisis se muestran en la ficha Inventario de datos. La ficha Inventario de datos muestrael inventario de archivos de los análisis que tienen activada la opción Lista de archivos.

3


Funcionamiento de los análisis de inventarioLos análisis de inventario son los más rápidos y solo recuperan los metadatos. Por este motivo, unanálisis de este tipo es un buen punto de inicio para planificar una estrategia de prevención de fuga dedatos.

También puede utilizar los análisis de inventario para ayudar a automatizar tareas de TI, comoencontrar archivos vacíos o archivos que llevan mucho tiempo sin modificarse.

Un análisis de inventario realiza lo siguiente:

• Recopila metadatos, pero no descarga ningún archivo.

• Devuelve los contadores y el inventario de datos de OLAP (lista de archivos analizados).

• Restaura la última hora de acceso de los archivos analizados

Se recopilan estos metadatos:

• Fecha de acceso • Dirección IP

• Fecha de creación • Propietario

• Fecha de modificación • Ruta

• Extensión • Nombre del repositorio

• Grupo de extensiones • Recurso compartido

• Nombre del archivo • Tamaño (KB)

• Tipo de archivo • Tipo

• Host

Los análisis de SharePoint no recopilan las horas del último acceso.

Los resultados de los análisis de inventario se muestran en las fichas Inventario de datos y Análisis dedatos.

Véase también Configurar un análisis de inventario en la página 34

Funcionamiento de los análisis de clasificaciónUtilice los resultados de los análisis de inventario para crear los de clasificación.

Un análisis de clasificación realiza lo siguiente:

• Recopila los mismos metadatos que un análisis de inventario.

• Analiza el tipo de archivo verdadero en función del contenido del archivo, en vez de la extensión.

• Recopila los datos de los archivos que coincidan con la clasificación configurada.

• Restaura la última hora de acceso de los archivos analizados

Los análisis de clasificación son más lentos que los de inventario porque el extractor de texto accede alos archivo y los analiza y examina para establecer coincidencias con las definiciones de lasespecificaciones de la clasificación. Las clasificaciones constan de definiciones que pueden incluirpalabras clave, diccionarios, patrones de texto y propiedades del documento. Estas definicionesayudan a identificar contenido de carácter confidencial que puede requerir protección adicional. Alutilizar las herramientas OLAP para visualizar los patrones multidimensionales de esos parámetros,puede crear análisis de corrección optimizados.

3 Configuración de directivas y análisisElección del tipo de análisis


Los resultados de los análisis de clasificación se muestran en las pestañas Inventario de datos y Análisis dedatos.

Véase también Crear clasificaciones en la página 32Configurar un análisis de clasificación en la página 35

Funcionamiento de los análisis de correcciónUtilice los resultados de los análisis de inventario y clasificación para crear los de corrección.

Los análisis de corrección aplican las reglas para proteger el contenido de carácter confidencial en elrepositorio analizado. Cuando un archivo coincide con la clasificación en un análisis de corrección,McAfee DLP Discover puede llevar a cabo las siguientes acciones:

• Generar un incidente.

• Almacenar el archivo original en el recurso compartido de pruebas

• Copiar el archivo.

• Mover el archivo.

• Aplicar directivas de administración de derechos al archivo.

• No llevar a cabo ninguna acción

El desplazamiento de archivos o la aplicación de directivas de administración de derechos no soncompatibles con las listas de SharePoint. Estas acciones son compatibles para aquellos archivosadjuntados a las listas de SharePoint o almacenados en bibliotecas de documentos. Algunos tipos dearchivos utilizados para crear páginas de SharePoint, por ejemplo, .aspx o .js, no se pueden mover nieliminar.

Un análisis de corrección también lleva a cabo las mismas tareas que los de clasificación e inventario.Los análisis de corrección requieren clasificaciones y reglas para determinar qué medidas tomar en losarchivos coincidentes.

Los resultados de los análisis de corrección se muestran en las pestañas Inventario de datos y Análisis dedatos. Los análisis de corrección también pueden generar los incidentes que se muestran en elAdministrador de incidentes.

Véase también Crear clasificaciones en la página 32Crear reglas y conjuntos de reglas en la página 33Configurar un análisis de corrección en la página 36

Consideraciones y limitaciones de los análisisCuando planifique y configure sus análisis, tenga en cuenta estos elementos.

Exclusión de directorios

Realizar análisis de McAfee DLP Discover en algunos directorios puede afectar al rendimiento.

Excluya los directorios de los análisis en los siguientes casos:

• Software antivirus, incluido McAfee® VirusScan® Enterprise.

• McAfee® Host Intrusion Prevention y otros software de McAfee.

Configuración de directivas y análisisConsideraciones y limitaciones de los análisis 3


• Firewalls.

• Software de protección de acceso.

• Análisis en tiempo real.

Definiciones del repositorioConfigurar las ubicaciones del repositorio en McAfee ePO tiene estas limitaciones.

• Las descripciones de la ruta no son compatibles con las expresiones regulares.

• Los intervalos de direcciones IP son compatibles solo para las direcciones de clase C.

• Los intervalos de direcciones IP no pueden incluir las direcciones que acaban en 0 o en 255.

Solo puede definir una dirección IP que termine en 0 o en 255.

• No se admite IPv6.

Análisis de SharePointLos análisis de SharePoint no rastrean los catálogos del sistema, las listas ocultas o las listasseñaladas como NoCrawl. Como las listas de SharePoint son muy personalizables, puede que haya otraslistas sin analizar.

La mayoría de las listas disponibles de forma preestablecida con SharePoint 2010 o 2013 se puedenrastrear, por ejemplo, las siguientes:

• Anuncios • Rastreadores de problemas

• Contactos • Vínculos

• Paneles de discusión • Reuniones

• Eventos • Tareas

• Listas genéricas

Los elementos individuales de una lista se combinan y agrupan en una estructura XML y se analizancomo un archivo XML único. Los archivos adjuntados a los elementos de la lista se analizan tal cual.

Establecimiento del ancho de banda para un análisisLos análisis de mayor tamaño pueden requerir una importante cantidad de ancho de banda, sobretodo en redes con poca capacidad de transmisión. De forma predeterminada, McAfee DLP Discover noregula el ancho de banda durante el análisis.

Cuando se activa la regulación del ancho de banda, McAfee DLP Discover la aplica a los archivosindividuales que se obtienen, en vez de a todo el análisis de media. Un análisis puede sobrepasar o nollegar al límite de regulación configurado. Sin embargo, el rendimiento medio calculado en todo elanálisis permanece muy cerca del límite establecido. Cuando se activa, el valor predeterminado deregulación es de 2000 kBps.

Uso de las definicionesUtilice las definiciones para configurar reglas, criterios de clasificación y análisis. Todos los tipos deanálisis requieren definiciones.Todos los tipos de análisis utilizan definiciones. Existen dos tipos de definiciones utilizadas para McAfeeDLP Discover.

3 Configuración de directivas y análisisUso de las definiciones


• Las que se utilizan en los análisis especifican las planificaciones, los repositorios y las credencialespara repositorios.

• Las definiciones que se utilizan en las clasificaciones especifican las coincidencias que deben existiral rastrear archivos, como las propiedades o los datos de un archivo.

Tabla 3-2 Definiciones disponibles según sus funciones

Definición Se utilizan para

Patrón avanzado* Clasificaciones

Diccionario*

Propiedades del documento

Tipo de archivo verdadero*

Extensión del archivo* Clasificaciones y análisis

Información del archivo

Credenciales Análisis

Planificador

Servidor de archivos (CIFS)

SharePoint

* Indica que hay disponibles definiciones predefinidas (incorporadas).

Uso de las clasificacionesLos análisis de clasificación y corrección utilizan las clasificaciones para identificar los archivos y datosconfidenciales.

Las clasificaciones coinciden con las propiedades y el contenido del archivo en aquellos que utilizanexpresiones regulares y diccionarios. Puede utilizar análisis de clasificación para examinar los patronesde datos de los archivos. Utilice los resultados de estos análisis para ajustar sus clasificaciones, quedespués se podrán utilizar en los análisis de corrección.

Las clasificaciones manuales, los documentos registrados y los criterios de marcado no se utilizan enMcAfee DLP Discover.

Las clasificaciones se componen de una o varias definiciones.

Tabla 3-3 Definiciones para clasificaciones

Definición declasificación

Explicación

Patrón avanzado Expresiones o expresiones regulares que se utilizan para ver lacoincidencia con datos como fechas o números de tarjetas de crédito.

Diccionario Recopilaciones de palabras clave y frases relacionadas, comoterminología médica u obscenidades.

Configuración de directivas y análisisUso de las clasificaciones 3


Tabla 3-3 Definiciones para clasificaciones (continuación)

Definición declasificación

Explicación

Propiedades del documento Contiene estas opciones:• Cualquier propiedad • Guardado por última vez por

• Autor • Nombre del administrador

• Categoría • Seguridad

• Comentarios • Asunto

• Empresa • Plantilla

• Palabras clave (etiquetas) • Título

Extensión del archivo Grupos de extensiones de archivos relacionadas, como los archivosgráficos.

Información del archivo Contiene estas opciones:• Fecha de acceso (UTC) • Nombre de archivo

• Fecha de creación (UTC) • Propietario del archivo

• Fecha de modificación (UTC) • Tamaño de archivo

• Extensión del archivo

Tipos de archivo verdadero Grupos de tipos de archivos.Por ejemplo, el grupo integrado de Microsoft Excel incluye archivos ExcelXLS, XLSX y XML, así como Lotus WK1 y FM3, CSV y DIF, Apple iWork,etc.

Definiciones de patrones avanzadosLos patrones avanzados utilizan expresiones regulares (regex) que permiten una coincidencia conpatrones más complejos, como números de la Seguridad Social o de tarjetas de crédito. Lasdefiniciones utilizan la sintaxis de expresiones regulares de Google RE2.

Los patrones avanzados también pueden definir patrones de palabras complejos, como en losejemplos del registro de llamadas del operador móvil o de los informes financieros de los patronesintegrados.

En los patrones de palabras, los patrones de expresiones regulares empiezan y terminan con \b deforma predeterminada, que es la notación de las expresiones regulares estándar para la separación depalabras. Por tanto, la coincidencia con patrones de texto para las expresiones es, formapredeterminada, de palabras completas a fin de reducir los falsos positivos.

Las definiciones de patrones avanzados incluyen una calificación (obligatoria), como con lasdefiniciones de diccionario. Además, pueden incluir una expresión de falso positivo opcional, ya seauna palabra clave o expresión regular, y un validador, es decir, un algoritmo que se utiliza para probarlas expresiones regulares. El uso del validador adecuado también puede reducir significativamente losfalsos positivos. Puede importar varias palabras clave de una vez para los falsos positivos.

Los patrones avanzados indican la presencia de texto confidencial. Los patrones de texto confidencialse redactan en pruebas con resaltado de coincidencias.

Si se especifican un patrón incluido y un patrón excluido, tiene prioridad el patrón excluido. De estaforma, es posible especificar una regla general y agregar excepciones sin tener que volver a escribir laregla general.

3 Configuración de directivas y análisisUso de las clasificaciones


Definiciones de diccionarioUn diccionario es una recopilación de palabras o frases clave en la que cada entrada tiene unacalificación asignada.Los criterios de clasificación y marcado utilizan diccionarios específicos para clasificar un documento sise supera el umbral definido (calificación total), es decir, si aparecen en el documento suficientespalabras del diccionario.

La diferencia entre un diccionario y una cadena en una definición de palabra clave es la calificaciónasignada.

• La clasificación de una palabra clave siempre marca el documento si la expresión está presente.

• Una clasificación de diccionarios le da más flexibilidad, ya que permite establecer un umbral, lo quehace que la clasificación sea relativa.

Las calificaciones asignadas pueden ser negativas o positivas, lo que le permite buscar palabras oexpresiones en presencia de otras palabras o expresiones.

El software de McAfee DLP incluye varios diccionarios integrados con términos utilizados habitualmenteen los ámbitos de la salud, la banca, las finanzas y otros sectores. Además, puede crear sus propiosdiccionarios. Los diccionarios se pueden crear (y editar) de forma manual o mediante la función decopiar y pegar de otros documentos.

LimitacionesExisten ciertas limitaciones para utilizarlos. Los diccionarios se guardan en formato Unicode (UTF-8) yse pueden escribir en cualquier idioma. Las siguientes descripciones se aplican a los diccionariosescritos en inglés. Las descripciones generalmente se aplican a otros idiomas, pero pueden ocurrirproblemas imprevistos en algunos.

La coincidencia de diccionarios tiene tres características:

• Solo distingue entre mayúsculas y minúsculas cuando crea entradas de diccionario que distinguenentre mayúsculas y minúsculas. Los diccionarios integrados creados antes de que esta funciónestuviera disponible, no distinguen entre mayúsculas y minúsculas.

• Puede buscar coincidencias con subcadenas o frases completas.

• Hace coincidir las frases, incluidos los espacios.

Si se especifica la coincidencia con subcadenas, tenga cuidado al introducir palabras cortas debido a laposible aparición de falsos positivos. Por ejemplo, la entrada de "sal" en el diccionario indicaría"saltar" y "asalto". A fin de evitar falsos positivos de este tipo, utilice la opción de coincidencia contoda la frase o use frases improbables desde el punto de vista estadístico a fin de obtener los mejoresresultados. Otra fuente de falsos positivos son las entradas similares. Por ejemplo, en algunos listadosde enfermedades de HIPAA (Health Insurance Portability and Accountability Act), "celíaco" y"enfermedad celíaca" aparecen como entradas independientes. Si el segundo término aparece en undocumento y se especifica la coincidencia con subcadenas, se producen dos resultados (uno para cadaentrada) y se sesga la calificación total.

Uso de las reglas y los conjuntos de reglasLos análisis de corrección utilizan reglas para detectar archivos confidenciales y tomar medidasrelacionadas con ellos.Los archivos rastreados por un análisis de corrección se comparan con las reglas de descubrimientoactivas. Si el archivo coincide con el repositorio y con las clasificaciones definidas en una regla, McAfeeDLP Discover puede tomar medidas respecto al archivo. Están disponibles las siguientes opciones:

Configuración de directivas y análisisUso de las reglas y los conjuntos de reglas 3


• Sin acción • Copiar

• Notificar incidente • Mover

• Almacenar archivo original • Aplicar directiva de administración de derechos

El desplazamiento de archivos o la aplicación de directivas de administración de derechos no soncompatibles con las listas de SharePoint. Estas acciones son compatibles para aquellos archivosadjuntados a las listas de SharePoint o almacenados en bibliotecas de documentos. Algunos tipos dearchivos utilizados para crear páginas de SharePoint, por ejemplo, .aspx o .js, no se pueden mover nieliminar.

Las reglas se agrupan en conjuntos. Los conjuntos de reglas pueden contener una combinación deestas reglas para los siguientes productos:

• Reglas de protección de datos: McAfee® Data Loss Prevention Endpoint (McAfee DLP Endpoint)

• Reglas de control de dispositivos: McAfee DLP Endpoint y McAfee® Device Control.

• Reglas de descubrimiento: McAfee DLP Discover y McAfee DLP Endpoint.

La página Conjuntos de reglas muestra una lista de conjuntos de reglas definidas y el estado de cada una.También figura el número de incidentes registrados para cada uno de los conjuntos, de reglasdefinidas y de reglas activadas.

Configurar directivas para los análisisAntes de configurar un análisis, cree las definiciones, las clasificaciones y las reglas para su directivade McAfee DLP Discover.

Procedimientos• Crear definiciones para los análisis en la página 26

Cree y configure las definiciones utilizadas en los análisis y las clasificaciones.

• Crear definiciones para las clasificaciones en la página 30Las clasificaciones requieren que una o varias definiciones coincidan con las propiedades delos datos y archivos.

Crear definiciones para los análisisCree y configure las definiciones utilizadas en los análisis y las clasificaciones.

Procedimientos• Crear definiciones de clasificación en la página 27

Todos los análisis requieren una definición para especificar el repositorio, las credenciales yla planificación.

• Crear una definición de las credenciales en la página 28Se requieren credenciales para leer y cambiar los archivos en la mayoría de losrepositorios. Si sus repositorios tienen las mismas credenciales, puede utilizar una únicadefinición de las credenciales para dichos repositorios.

• Crear una definición de repositorio en la página 28Las definiciones de repositorio se agrupan por tipo de repositorio: CIFS o SharePoint.

• Crear una definición de planificador en la página 29El planificador de análisis determina cuándo y con qué frecuencia se ejecuta un análisis.

3 Configuración de directivas y análisisConfigurar directivas para los análisis


Crear definiciones de clasificaciónTodos los análisis requieren una definición para especificar el repositorio, las credenciales y laplanificación.

Antes de empezarTiene que tener el nombre de usuario, la contraseña y la ruta para el repositorio.


1 En McAfee ePO, seleccione Menú | Protección de datos | DLP Discover.

2 Haga clic en la ficha Definiciones.

3 Cree una definición de las credenciales.

Para los análisis de corrección, las credenciales deben tener permisos de lectura y escritura. Para losanálisis de corrección que aplican la directiva de administración de derechos o mueven los archivos,se requieren permisos de control total.

a En el panel de la izquierda, seleccione Otros | Credenciales.

b Seleccione Acciones | Nuevo y sustituya el nombre predeterminado por un nombre único para ladefinición.

c Rellene los parámetros de las credenciales. Haga clic en Guardar.

4 Cree una definición de repositorio.

a En el panel de la izquierda, en Repositorios, seleccione el tipo de repositorio nuevo que deseacrear.

b Seleccione Acciones | Nuevo, escriba un nombre de repositorio único en el campo Nombre, y rellenela información restante de Tipo y Definiciones.

Los parámetros de Excluir son opcionales. Se requiere al menos una definición Incluir.

5 Cree una definición de planificador.

a En el panel de la izquierda, seleccione Otros | Planificador.

b Seleccione Acciones | Nuevo y rellene los parámetros del planificador. Haga clic en Guardar.

Las opciones de los parámetros dependen del Tipo de planificación seleccionado.

6 Cree una definición de información del archivo.

Las definiciones de información de los archivos se utilizan para definir los filtros del análisis. Losfiltros le permiten analizar los repositorios de una manera más específica definiendo qué archivos seincluyen y cuáles se excluyen. Las definiciones de información de los archivos son opcionales, perose recomiendan.

a En el panel de la izquierda, seleccione Datos | Información del archivo.

b Seleccione Acciones | Nuevo y sustituya el nombre predeterminado por un nombre único para ladefinición.

c Seleccione las propiedades que utilizar como filtros, y rellene los detalles de Comparación y Valor.Haga clic en Guardar.

Configuración de directivas y análisisConfigurar directivas para los análisis 3


Crear una definición de las credencialesSe requieren credenciales para leer y cambiar los archivos en la mayoría de los repositorios. Si susrepositorios tienen las mismas credenciales, puede utilizar una única definición de las credencialespara dichos repositorios.




3 En el panel de la izquierda, seleccione Credenciales.

4 Seleccione Acciones | Nuevo.

5 Introduzca un nombre único para la definición. Los campos Descripción y Nombre de dominio sonopcionales. Todos los demás son obligatorios.

Si el usuario es usuario de dominio, utilice el sufijo de dominio para el campo Nombre de dominio. Si elusuario es usuario de grupo de trabajo, utilice el nombre del equipo local.

Para buscar en todas las colecciones de una aplicación web de SharePoint, utilice unas credencialesque tengan permiso de Acceso completo de lectura en la aplicación web entera.

6 Para los repositorios de dominios de Windows, haga clic en Probar credenciales para comprobar elnombre de usuario y la contraseña de McAfee ePO.

Esta acción no prueba las credenciales del servidor de descubrimiento.

No hay verificación para las credenciales que no forman parte de un dominio de Windows. Si unanálisis falla debido a que las credenciales son incorrectas, se crea un evento en la página Eventosoperativos.

Crear una definición de repositorioLas definiciones de repositorio se agrupan por tipo de repositorio: CIFS o SharePoint.

Puede utilizar una expresión regular con sintaxis de Perl al especificar los parámetros de inclusión oexclusión de las carpetas, en lugar de utilizar una ruta específica completa.

• Para las entradas de inclusión, especifique el prefijo de la ruta, por ejemplo, \\server o \\server\share\folder. La expresión regular tiene que ser exactamente igual que el sufijo de la ruta.

• Para las entradas de exclusión, las carpetas que coincidan con la ruta se omitirán totalmente delanálisis.




3 En el panel de la izquierda, en Repositorios, seleccione el tipo de repositorio.


5 Introduzca un nombre, seleccione las credenciales que utilizar y configure al menos una definiciónIncluir.



6 (Repositorios de CIFS) Configure al menos una entrada Incluir.

a Seleccione el Tipo de prefijo.

b En el campo Prefijo, introduzca la ruta UNC, la dirección IP individual o el intervalo de direccionesIP.

La ruta UNC puede ser el nombre de dominio completo (FQDN) (\\myserver1.mydomain.com) oel nombre del equipo local (\\myserver1). Puede agregar ambas versiones a una únicadefinición. Se analizan varias entradas como operador lógico O.

c (Opcional) Introduzca una expresión regular para buscar carpetas coincidentes que analizar.

d Haga clic en Agregar.

7 (Repositorios de SharePoint) Configure al menos una entrada Incluir.

a Seleccione el tipo Incluir.

b Configure una o varias URL.

La opción SharePoint Server solo utiliza una URL. El nombre de host es el nombre NetBIOS delservidor a menos que se haya configurado una asignación alternativa de acceso (AAM) en elservidor. Para obtener información sobre las AAM, consulte la documentación de SharePoint deMicrosoft.

• Para especificar un sitio: Termine la URL con una barra diagonal (http://SPServer/sites/DLP/).

• Para especificar un subsitio: Termine la URL del subsitio con una barra diagonal (http://SPserver/sites/DLP/Discover/).

• Para especificar una aplicación web: Utilice únicamente el nombre y el puerto de laaplicación web en la URL (http://SPServer:port).

• Para especificar una lista o una biblioteca de documentos: Utilice la URL completahasta la vista predeterminada de la lista (http://SPServer/sites/DLP/Share%20Documents/Default.aspx).

Puede buscar la URL de la vista predeterminada en la página de configuración de la bibliotecao la lista. Si no tiene privilegios para verla, póngase en contacto con el administrador deSharePoint.

c Si configuró una URL en Lista de sitios, haga clic en Agregar.

8 (Opcional) Configure los parámetros de Excluir para excluir las carpetas del análisis.


Crear una definición de planificadorEl planificador de análisis determina cuándo y con qué frecuencia se ejecuta un análisis.

Se proporcionan estos tipos de planificación:



• Ejecutar inmediatamente • Semanal

• Una vez • Mensual

• Diariamente




3 En el panel de la izquierda, haga clic en Planificador.


5 Introduzca un nombre único y seleccione el tipo de planificación.

La visualización cambia cuando selecciona el tipo de planificación con el fin de proporcionar loscampos necesarios para ese tipo.

6 Rellene las opciones necesarias y haga clic en Guardar.

Crear definiciones para las clasificacionesLas clasificaciones requieren que una o varias definiciones coincidan con las propiedades de los datos yarchivos.

Procedimientos

• Crear una definición de clasificación en la página 30Cree y configure definiciones para su uso en las clasificaciones y las reglas.

• Crear un patrón avanzado en la página 31Los patrones avanzados se utilizan para definir clasificaciones. La definición de un patrónavanzado puede incluir una expresión sencilla o una combinación de expresiones ydefiniciones de falsos positivos.

• Crear o importar una definición de diccionario en la página 31Un diccionario es una recopilación de palabras o frases clave en la que cada entrada tieneasignada una calificación. Las calificaciones tienen en cuenta definiciones de reglas másdetalladas.

Crear una definición de clasificaciónCree y configure definiciones para su uso en las clasificaciones y las reglas.


1 En McAfee ePO, seleccione Menú | Protección de datos | Clasificación.

2 Seleccione el tipo de definición para configurar y, a continuación, seleccione Acciones | Nuevo.

3 Introduzca un nombre, y configure las opciones y las propiedades de la definición.

Las opciones y las propiedades disponibles varían según el tipo de definición.




Crear un patrón avanzadoLos patrones avanzados se utilizan para definir clasificaciones. La definición de un patrón avanzadopuede incluir una expresión sencilla o una combinación de expresiones y definiciones de falsospositivos.

Los patrones avanzados se definen con expresiones regulares (regex). La definición de las expresionesregulares queda fuera del alcance de este documento. Existe una gran cantidad de tutoriales acerca delas expresiones regulares en Internet en los que puede obtener más información acerca de este tema.



2 Seleccione la ficha Definiciones y, a continuación, Patrón avanzado en el panel de la izquierda.

Los patrones disponibles aparecerán en el panel de la derecha.

Para ver solo los patrones avanzados definidos por el usuario, anule la selección de la casilla deverificación Incluir elementos incorporados. Los patrones definidos por el usuario son los únicos quepueden editarse.


Aparece la página de definición de Nuevo patrón avanzado.

4 Introduzca un nombre y, si lo desea, una descripción.

5 En Expresiones coincidentes, haga lo siguiente:

a Introduzca una expresión en el cuadro de texto. Si lo desea, agregue una descripción.

b Seleccione un validador en la lista desplegable.

Se recomienda utilizar un validador cuando sea posible para minimizar falsos positivos, aunqueno es obligatorio. Si no desea especificar un validador o si la validación no es adecuada para laexpresión, seleccione Sin validaciones.

c Introduzca un número en el campo Calificación.

Este número indica la ponderación de la expresión comparándola con el umbral. Este campo esobligatorio.

d Haga clic en Agregar.

6 En Falso positivo, haga lo siguiente:

a Introduzca una expresión en el cuadro de texto.

Si dispone de patrones de texto almacenados en un documento externo, puede copiarlos ypegarlos en la definición mediante Importar entradas.

b En el campo Tipo, seleccione RegEx en la lista desplegable si la cadena es una expresión regular oPalabra clave si es texto.

c Haga clic en Agregar.


Crear o importar una definición de diccionarioUn diccionario es una recopilación de palabras o frases clave en la que cada entrada tiene asignadauna calificación. Las calificaciones tienen en cuenta definiciones de reglas más detalladas.






3 En el panel de la izquierda, seleccione Diccionario.



6 Agregue entradas al diccionario.

Para importar entradas:

a Haga clic en Importar entradas.

b Introduzca palabras o expresiones, o copie y pegue de otro documento.

La ventana de texto está limitada a 20 000 líneas de 50 caracteres cada una.

c Haga clic en Aceptar.

Todas las entradas se asignan a una calificación predeterminada de 1.

d Si es necesario, actualice la calificación predeterminada de 1 haciendo clic en Editar en laentrada.

e Seleccione las columnas Empieza por, Termina por y Distinción de mayúsculas y minúsculas según seanecesario.

Empieza por y Termina por ofrecen coincidencia con subcadenas.

Para crear entradas manualmente:

a Introduzca la expresión o la calificación.

b Seleccione las columnas Empieza por, Termina por y Distinción de mayúsculas y minúsculas según seanecesario.

c Haga clic en Agregar.


Crear clasificacionesLos análisis de clasificación y corrección utilizan las clasificaciones para identificar los archivosconfidenciales.



2 Haga clic en Nueva clasificación.


4 Haga clic en Aceptar.



5 Seleccione Acciones | Nuevo criterio de clasificación.

6 Introduzca el nombre.

7 Seleccione una o varias propiedades, y configure las entradas de comparación y valor.

Las propiedades disponibles incluyen definiciones de clasificación incorporadas y definidas por elusuario.

• Haga clic en < para eliminar una propiedad.

• Para algunas propiedades, haga clic en ... para seleccionar una propiedad existente o crear unanueva.

• Haga clic en + para agregar valores.

• Haga clic en - para eliminar valores.


Crear reglas y conjuntos de reglasUtilice las reglas para definir la acción que aplicar cuando un análisis de corrección detecta archivosque coinciden con las clasificaciones.


1 En McAfee ePO, seleccione Menú | Protección de datos | Administrador de directivas de DLP.

2 Haga clic en la ficha Conjuntos de reglas.

3 Si no hay conjuntos de reglas configurados, cree uno.

a Seleccione Acciones | Nuevo conjunto de reglas.

b Introduzca el nombre y una nota opcional y, a continuación, haga clic en Aceptar.

4 Haga clic en el nombre de un conjunto de reglas y, a continuación, si fuera necesario, haga clic enla ficha Descubrimiento.

5 Seleccione Acciones | Nueva regla de descubrimiento de red y, a continuación, seleccione el tipo de regla.

6 En la ficha Condición, configure una o varias clasificaciones y repositorios.

• Crear un nuevo elemento: Haga clic en ....

• Agregar criterios adicionales: Haga clic en +.

• Eliminar criterios: Haga clic en -.

7 En la ficha Reacción, configure la reacción.




Configurar un análisisLa cantidad y el tipo de datos que McAfee DLP Discover recopila dependen del tipo de análisisconfigurado.

Procedimientos• Configurar un análisis de inventario en la página 34

Los análisis de inventario solo recopilan metadatos. Son los análisis más rápidos y, portanto, el punto de inicio habitual en la determinación de qué análisis son necesarios.

• Configurar un análisis de clasificación en la página 35Los análisis de clasificación recopilan datos del archivo en función de clasificacionesdefinidas. Se utilizan para analizar los sistemas de archivos para que los datosconfidenciales estén protegidos con un análisis de corrección.

• Configurar un análisis de corrección en la página 36Los análisis de corrección aplican las reglas para proteger el contenido de carácterconfidencial en el repositorio analizado.

Configurar un análisis de inventarioLos análisis de inventario solo recopilan metadatos. Son los análisis más rápidos y, por tanto, el puntode inicio habitual en la determinación de qué análisis son necesarios.

Utilice análisis de inventario para planificar la estrategia de protección de datos. Puede crear análisis oeditar y reutilizar los existentes según sea necesario.



2 En la ficha Servidores de descubrimiento, seleccione Acciones | Detectar servidores para actualizar la lista.

Si la lista es larga, puede definir un filtro para que se muestre una lista más corta.

3 En la ficha Operaciones de análisis, seleccione Acciones | Nuevo análisis y elija el tipo de repositorio.

4 Escriba un nombre único y seleccione Tipo de análisis: Inventario. Seleccione una plataforma del servidory una planificación.

Los servidores de descubrimiento tienen que estar predefinidos. Puede seleccionar una planificacióndefinida o crear una.

5 (Opcional) Defina valores para Lista de archivos o Administración de errores en lugar de los valorespredeterminados.

6 Seleccione los repositorios que analizar.

a En la ficha Repositorios, haga clic en Acciones | Seleccionar repositorios.

b Si fuera necesario, especifique las credenciales para cada repositorio de la lista desplegable.

Las credenciales tomarán de forma predeterminada el valor configurado para dicho repositorio.

Puede crear definiciones del repositorio y las credenciales, si fuera necesario, en la ventana deselección.

7 (Opcional) En la ficha Filtros, seleccione Acciones | Seleccionar filtros para especificar los archivos queincluir o excluir.

De forma predeterminada, se analizan todos los archivos.

3 Configuración de directivas y análisisConfigurar un análisis



9 Haga clic en Aplicar directiva.

Configurar un análisis de clasificaciónLos análisis de clasificación recopilan datos del archivo en función de clasificaciones definidas. Seutilizan para analizar los sistemas de archivos para que los datos confidenciales estén protegidos conun análisis de corrección.

Antes de empezar• Ejecute un análisis de inventario. Utilice los datos del inventario para definir

clasificaciones.

• Cree las definiciones de clasificación necesarias antes de configurar un análisis declasificación. No hay ninguna opción para crear una clasificación en los ajustes deconfiguración.






4 Escriba un nombre único y seleccione Tipo de análisis: Clasificación. Seleccione una plataforma delservidor y una planificación.


5 (Opcional) Defina valores para Regulación, Lista de archivos o Administración de errores en lugar de losvalores predeterminados.








8 Seleccione las clasificaciones para el análisis.

a En la ficha Clasificaciones, haga clic en Acciones | Seleccionar clasificaciones.

b Seleccione una o varias clasificaciones de la lista.

Configuración de directivas y análisisConfigurar un análisis 3




Véase también Crear clasificaciones en la página 32

Configurar un análisis de correcciónLos análisis de corrección aplican las reglas para proteger el contenido de carácter confidencial en elrepositorio analizado.

Antes de empezar• Si el análisis está configurado para aplicar la directiva de administración de derechos o

para mover los archivos, asegúrese de que las credenciales para el repositorio tienenpermisos de control total.

• Cree las clasificaciones y las reglas para el análisis.






4 Escriba un nombre único y seleccione Tipo de análisis: Corrección. Seleccione una plataforma delservidor y una planificación.


5 (Opcional) Defina valores para Regulación, Lista de archivos, Administración de incidentes o Administración deerrores en lugar de los valores predeterminados.








8 Seleccione las reglas para el análisis.

a En la ficha Reglas, haga clic en Acciones | Seleccionar conjunto de reglas.

b Seleccione uno o varios conjuntos de reglas de la lista.

3 Configuración de directivas y análisisConfigurar un análisis




Véase también Crear clasificaciones en la página 32Crear reglas y conjuntos de reglas en la página 33

Realizar operaciones de análisisGestione y consulte información sobre los análisis configurados.



2 Haga clic en la ficha Operaciones de análisis.

La ficha muestra información sobre los análisis configurados, como el nombre, el tipo, el estado yla descripción de los resultados.

3 Para actualizar la configuración de todos los análisis, haga clic en Aplicar directiva.

4 Para aplicar un filtro a la lista de análisis, seleccione un filtro en la lista desplegable Filtro.

5 Para activar o desactivar un análisis:

a Seleccione la casilla de verificación de los análisis que desea activar o desactivar.

El icono de la columna Estado muestra si el análisis está activado o desactivado.

• Icono azul fijo: Activado

• Icono azul y blanco: Desactivado

b Seleccione Acciones | Cambiar estado y, a continuación, seleccione Activado o Desactivado.

6 Para cambiar al estado de ejecución del análisis, haga clic en los botones de inicio, pausa odetención de la columna Comandos.

La disponibilidad de estas opciones depende del estado del análisis, y de si este se está ejecutandoo está inactivo.

7 Para modificar, clonar o eliminar un análisis:

a Seleccione la casilla de verificación del análisis.

b Seleccione Acciones y, a continuación, elija Clonar análisis, Eliminar análisis o Editar análisis.

Para modificar el servidor de descubrimiento asignado al análisis, debe desactivar el análisis. Nopuede modificar el tipo de análisis asignado a un análisis. Para cambiarlo, clone el análisis.

8 Para actualizar la ficha, seleccione Acciones | Sincronizar datos.

Configuración de directivas y análisisRealizar operaciones de análisis 3


Comportamiento de análisisCambiar las propiedades de un análisis en curso puede afectar al comportamiento de este.

Tabla 3-4 Efecto de cambiar propiedades durante un análisis

Cambio Efecto

Desactivar análisis El análisis se detiene.

Eliminar análisis El análisis se detiene y se elimina.

Cambiar el nombre de análisis Solo afecta a los registros en la siguiente ejecución deanálisis.

Cambiar planificación Solo afecta a la siguiente ejecución de análisis.

Cambiar la regulación Solo afecta a la siguiente ejecución de análisis*.

Cambiar la lista del archivo Solo afecta a la siguiente ejecución de análisis*.

Cambiar el repositorio Solo afecta a la siguiente ejecución de análisis.

Cambiar los filtros Solo afecta a la siguiente ejecución de análisis.

Cambiar las reglas Solo afecta a la siguiente ejecución de análisis*.

Cambiar la clasificación Solo afecta a la siguiente ejecución de análisis*.

Cambiar el recurso compartido de prueba Afecta al análisis actual*.

Cambiar las credenciales de usuario deprueba

Afecta al análisis actual*.

Cambiar las credenciales de usuario decorrección

Solo afecta a la siguiente ejecución de análisis*.

* El efecto se produce después de que ocurra un intervalo de comunicación agente-servidor (ASCI).

Conjuntos de permisos sobre DLPLos conjuntos de permisos sobre DLP asignan permisos para ver y guardar las directivas, y para verlos campos redactados. También se utilizan para asignar el control de acceso según funciones (RBAC).

La instalación del software servidor de McAfee DLP agrega un nuevo conjunto de permisos de McAfeeePO: Data Loss Prevention 9.4. Si hay una versión anterior de McAfee DLP instalada en el mismoservidor de McAfee ePO, aparecerá también el conjunto de permisos de Data Loss Prevention.

Los permisos del conjunto de permisos de Data Loss Prevention 9.4 abarcan todas las secciones de laconsola de administración, no solo el Administrador de incidentes. Existen tres niveles de permisos:

• Utilizar: El usuario solo puede ver los nombres de los objetos (definiciones, clasificaciones, etc.),no los detalles.

Para las directivas, el permiso mínimo es ningún permiso.

• Ver y utilizar: El usuario puede ver los detalles de los objetos, pero no puede editarlos.

• Permisos totales: El usuario puede crear y cambiar los objetos.

Puede definir permisos para siete secciones de la consola de administración, otorgando a losadministradores y revisores permisos diferentes según sea necesario. Las secciones se agrupan porjerarquía lógica, por ejemplo, al seleccionar Clasificaciones se seleccionan automáticamente lasDefiniciones, ya que la configuración de los criterios de clasificación requiere el uso de definiciones. Losgrupos de permisos son:

3 Configuración de directivas y análisisComportamiento de análisis


• Descubrimiento de DLP

• Administrador de directivas de DLP

• Clasificaciones

• Definiciones

Administración de incidentes y Eventos operativos pueden seleccionarse de forma individual.

Además del permiso predeterminado de la sección, puede definir una omisión para cada objeto. Laomisión puede aumentar o disminuir el nivel de permisos. Por ejemplo, en los permisos deAdministrador de directivas de DLP, se enumeran todos los conjuntos de reglas existentes cuando secrea el conjunto de permisos. Puede definir una omisión diferente para cada uno. Cuando se creannuevos conjuntos de reglas, estos reciben el nivel de permisos predeterminado.

Crear un conjunto de permisos de McAfee DLPLos conjuntos de permisos se utilizan para definir distintas funciones administrativas y del revisor enel software McAfee DLP.


1 En McAfee ePO, seleccione Menú | Conjuntos de permisos.

2 Seleccione un conjunto de permisos predefinido o haga clic en Nuevo para crear uno.

a Escriba un nombre para el conjunto y seleccione los usuarios.

b Haga clic en Guardar.

3 En el campo Data Loss Prevention 9.4 del conjunto de permisos, haga clic en Editar.

4 En el panel de la izquierda, seleccione un módulo de protección de datos.

Definiciones, Administración de incidentes y Eventos operativos pueden seleccionarse de forma individual.Otras opciones crean automáticamente los grupos predefinidos.

5 Seleccione un permiso predeterminado. Para los grupos, seleccione un permiso predeterminadopara cada módulo del grupo.

El nivel predeterminado establece los permisos para todos los objetos presentes y futuros en elmódulo. Para los módulos agrupados, puede seleccionar un nivel de permiso diferente para cadauno.

6 (Opcional) Seleccione permisos de omisión. Para los grupos, seleccione omisiones para cadamódulo del grupo.

Aparecerán todos los objetos existentes. Puede seleccionar un valor de omisión independiente paracada uno.

Caso práctico: administrador de DLPUtilice las selecciones siguientes para un administrador de DLP que solo cree directivas y queno tenga responsabilidades de revisión de eventos.

1 En el conjunto de permisos de Data Loss Prevention 9.4, seleccione Catálogo de directivas.

Los valores de Administrador de directivas de DLP, Clasificaciones y Definiciones se seleccionanautomáticamente.

Configuración de directivas y análisisConjuntos de permisos sobre DLP 3


2 Conceda al usuario Permisos totales.

3 (Opcional) Seleccione Administración de incidentes y elija El usuario puede ver todos los incidentes.

El administrador puede ahora crear y cambiar las directivas, las reglas, las clasificaciones ylas definiciones, y puede gestionar incidentes.

Si omite el paso 3, el administrador de incidentes de DLP 9.4 no aparece en Menú | Protección dedatos y el usuario no puede ver incidentes.

Protección de la confidencialidad con la redacciónLa redacción de datos consiste en ocultar la información confidencial para impedir visualizaciones noautorizadas. Algunos países requieren aplicar prácticas de redacción y se considera una prácticarecomendada (incluso cuando no es un requisito legal) separar los permisos de revisión de loseventos operativos e incidentes, y bloquear los datos confidenciales de aquellas personas que noprecisen verlos.

La información redactada se oculta en:

• La visualización del Administrador de incidentes de DLP 9.4

• La visualización de Eventos operativos de DLP 9.4

Como parte de la redacción, los archivos de pruebas no se pueden ver hasta que se libere laredacción.

Para dar a un usuario permiso para ver los campos redactados, seleccione Permiso de supervisor en lapágina de permisos Administración de incidentes.

Caso práctico: revisor de campos redactadosEste ejemplo requiere permisos de configuración para dos revisores: uno para revisareventos e incidentes, y otro para ver los campos redactados. Suponiendo que las funcionesdel revisor estén separadas de las funciones del administrador de directivas, realice lasselecciones siguientes:

• Para ambos revisores: Seleccione solo el módulo Administración de incidentes.

• Para el revisor de incidentes: En la sección Revisor de incidentes, seleccione cualquieropción. En la sección Redacción de datos de incidentes, seleccione Ocultar datos de incidentesdelicados.

• Para el revisor de la redacción: En la sección Revisor de incidentes, no seleccioneninguna opción. En la sección Redacción de datos de incidentes, seleccione Permiso de supervisor.

3 Configuración de directivas y análisisConjuntos de permisos sobre DLP


4 Examen de los datos analizados

McAfee DLP Discover le permite examinar la información recopilada a partir de los datos analizados devarias formas.

El análisis de inventario básico (recopilación de metadatos) forma parte de toda clase de análisis. Losanálisis de clasificación también aplican clasificaciones definidas, lo que significa que el extractor detexto analiza el contenido del archivo y añade información adicional a los metadatos almacenados.

Contenido Uso de OLAP por parte de McAfee DLP Discover Ver resultados de análisis Analizar resultados de análisis Ver resultados de inventario

Uso de OLAP por parte de McAfee DLP DiscoverMcAfee DLP Discover utiliza el Procesamiento analítico en línea (OLAP), un modelo de datos quepermite procesar rápidamente los metadatos desde diferentes puntos de vista.

Utilice las herramientas OLAP de McAfee DLP Discover para ver las relaciones multidimensionales entrelos datos recopilados de los análisis. A estas relaciones se las conoce como hipercubos o cubos deOLAP.

Puede ordenar y organizar los resultados del análisis basándose en condiciones como la clasificación,el tipo de archivo, el repositorio y más. Al utilizar los patrones de datos para calcular las posiblesinfracciones, podrá optimizar los análisis de clasificación y corrección para identificar y proteger losdatos de forma rápida y más eficaz.

Ver resultados de análisisLas fichas Análisis de datos e Inventario de datos muestran resultados de análisis.

Estas fichas muestran los resultados recopilados la última vez que se ejecutó el análisis.

4


Ficha Análisis de datos

La ficha Análisis de datos le permite analizar archivos de los análisis. La ficha utiliza un modelo dedatos OLAP para mostrar hasta tres categorías que expongan patrones de datos multidimensionales.Utilice estos patrones para optimizar sus análisis de clasificación y corrección.

Figura 4-1 Configuración de análisis de datos

1 Nombre de análisis: La lista desplegable muestra los análisis disponibles para todos los tipos. Elanálisis solo se puede realizar en un único análisis.

2 Tipo analítico: Seleccione de Archivos o Clasificaciones. Para los análisis de inventario, solo estádisponible la opción Archivos. El tipo analítico determina las categorías disponibles.

3 Mostrar: Controla el número de entradas que aparecen.

4 Ampliar tabla/Contraer tabla: Amplía toda la página. También puede ampliar o contraer gruposindividuales.

5 Selector de categorías: Lista desplegable que muestra todas las categorías disponibles. Puedeseleccionar una opción de las categorías restantes en los selectores segundo y tercero para crearun análisis tridimensional de los patrones de datos.

6 Extensión del elemento: El icono de flecha controla la expansión/contracción de los gruposindividuales para limpiar la pantalla.

7 Recuento: Número de archivos (o clasificaciones) en cada grupo. Haga clic en el número para ir ala ficha Inventario de datos y mostrar los detalles de ese grupo.

Si el Tipo analítico se define en Clasificaciones y los archivos tienen más de una clasificación asociada,este número puede ser superior al número total de archivos.

4 Examen de los datos analizadosVer resultados de análisis


Ficha Inventario de datos

La ficha Inventario de datos muestra el inventario de archivos de los análisis que tienen activada laopción Lista de archivos.

Esta información está disponible:

• Clasificación • Host

• Fecha de acceso • Dirección IP

• Fecha de creación • Propietario

• Fecha de modificación • Ruta

• Extensión • Nombre del repositorio

• Grupo de extensiones • Recurso compartido

• Nombre del archivo • Tamaño

• Tipo de archivo • Tipo

Las opciones Clasificación y Tipo de archivo no están disponibles para los análisis de inventario.

Analizar resultados de análisisUtilice el modelo de datos OLAP para organizar y ver las relaciones que existen entre los archivos delos análisis.



2 Haga clic en la ficha Análisis de datos.

3 En la lista desplegable Nombre de análisis, seleccione el análisis que desea examinar.

4 En la lista desplegable Tipo analítico, seleccione Archivo o Clasificación.

5 En la lista desplegable Mostrar, seleccione el número de entradas principales que mostrar.

6 Utilice las listas desplegables de categorías para mostrar los archivos de hasta tres categorías.

7 Utilice las opciones Ampliar tabla y Contraer tabla para ampliar o contraer la cantidad de informaciónmostrada.

8 Para ver los resultados de inventario de los archivos que pertenecen a una categoría, haga clic enel vínculo que muestra el número de archivos entre paréntesis.

El vínculo solo está disponible si se seleccionó la opción Lista de archivos en la configuración delanálisis. El vínculo muestra la página Inventario de datos.

Ver resultados de inventarioConsulte el inventario de archivos de todos los tipos de análisis.

Examen de los datos analizadosAnalizar resultados de análisis 4




2 Haga clic en la ficha Inventario de datos.

3 Realice una de estas tareas:

• Para ver los resultados de un análisis concreto, selecciónelo en la lista desplegable Analizar.

• Para filtrar los archivos mostrados, seleccione un filtro en la lista desplegable Filtro.

Haga clic en Editar para modificar y crear filtros.

• Para agrupar archivos en función de una propiedad determinada:

1 En la lista desplegable Agrupar por, seleccione una categoría.

Las propiedades disponibles aparecerán en el panel de la izquierda.

2 Seleccione la propiedad para agrupar archivos.

• Para configurar las columnas mostradas:

1 Seleccione Acciones | Elegir columnas.

2 En la lista Columnas disponibles, haga clic en una opción para moverla al área Columnasseleccionadas.

3 En el área Columnas seleccionadas, organice y elimine las columnas según sea necesario.

• Para eliminar una columna, haga clic en x.

• Para mover una columna, haga clic en los botones de flecha, o arrastre y suelte lacolumna.

4 Haga clic en Actualizar vista.

4 Examen de los datos analizadosVer resultados de inventario


5 Incidentes y eventos operativos

McAfee DLP Discover ofrece otras herramientas para ver incidentes y eventos operativos.

• Incidentes: La página Administrador de incidentes de DLP muestra los incidentes generados a partir delas reglas utilizadas en los análisis de corrección.

• Eventos operativos: La página Eventos operativos de DLP muestra errores.

Contenido Supervisión y generación de informes Administrador de incidentes de DLP Trabajar con incidentes Visualización de los incidentes Gestión de incidentes

Supervisión y generación de informesMcAfee DLP divide los eventos en dos clases: incidentes (es decir, infracciones de directivas) y eventosadministrativos. Estos eventos se ven en las dos consolas, Administrador de incidentes de DLP yEventos operativos de DLP.

Cuando McAfee DLP determina que se ha producido una infracción de directivas, genera un evento y loenvía al Analizador de eventos de McAfee ePO. Estos eventos se pueden ver, filtrar y clasificar en laconsola Administrador de incidentes de DLP, lo que permite a los responsables de la seguridad o a losadministradores ver los eventos y responder inmediatamente. En caso necesario, se adjunta elcontenido sospechoso como prueba del evento.

Como McAfee DLP es fundamental en la estrategia de una empresa para cumplir todas las normativasy la legislación que protege los datos confidenciales, el Administrador de incidentes de DLP presenta lainformación sobre la transmisión de información confidencial de forma precisa y flexible. Los auditores,responsables de firmas, administradores de información confidencial y otros empleados relevantespueden utilizar el Administrador de incidentes de DLP para observar actividades sospechosas o noautorizadas, y actuar conforme a la política de privacidad de la empresa, a las normativascorrespondientes y a otras leyes aplicables.

La consola Eventos operativos de DLP muestra los errores de análisis o servidor.

5


Administrador de incidentes de DLPUtilice la página Administrador de incidentes de DLP en McAfee ePO para ver los eventos de seguridadde las infracciones de directivas.

El administrador de incidentes tiene tres secciones con fichas:

• Lista de incidentes: La lista actual de eventos de infracciones de directivas.

• Tareas de incidentes: Una lista de acciones que puede realizar en la lista o las partes seleccionadas deesta. Incluyen la asignación de revisores a los incidentes, la configuración de notificación por correoelectrónico automáticas y la purga de toda la lista o parte de esta.

• Historial de incidentes: Una lista que contiene todos los incidentes históricos. Purgar la lista delincidente no afecta al historial.

Cómo funciona el administrador de incidentesLa ficha Lista de incidentes del Administrador de incidentes de DLP tiene todas las funcionalidadesnecesarias para revisar los incidentes de infracción de directivas. Los detalles del evento se puedenver al hacer clic en el evento en cuestión. Puede crear y guardar los filtros para modificar la vista outilizar los filtros predefinidos en el panel Agrupar por. También puede modificar la vista al seleccionary ordenar las columnas. Los iconos con código de color y las calificaciones numéricas para la gravedadfacilitan el análisis visual rápido de eventos.

Puede realizar las siguientes operaciones en los eventos:

• Etiquetas: Defina una etiqueta para filtrar por ella.

• Definir propiedades: Edite la gravedad, el estado o la resolución; asigne un usuario o un grupopara la revisión de incidentes.

• Liberar redacción: Elimine la redacción para ver los campos protegidos (requiere el permisocorrecto).

La página Eventos operativos de DLP funciona del mismo modo con los eventos administrativos.

Figura 5-1 Administrador de incidentes de DLP

Tareas de incidentes/Tareas de eventos operativos

Utilice la ficha Tareas de incidentes o Tareas de eventos operativos para definir los criterios de lastareas planificadas. La configuración de tareas en las páginas funciona con la función de tareasservidor de McAfee ePO para planificar tareas.

5 Incidentes y eventos operativosAdministrador de incidentes de DLP


Las fichas de ambas tareas se organizan por Tipo de tarea (panel izquierdo). La ficha Tareas deincidentes también se organiza por tipo de incidente, de modo que es en realidad una matriz 4 x 3, lainformación que se muestra depende de los dos parámetros que seleccione.

Datos en uso/movimiento

Datos en reposo(Endpoint)

Datos enreposo (red)

Datos en uso/movimiento(Historial)

Definir revisor x x x

Notificación decorreo automática x x x

Purgar eventos x x x x

Caso práctico: configuración de propiedadesLas propiedades son datos que se añaden a un incidente que requiere un seguimiento.Puede agregar las propiedades desde Acciones | Definir propiedades o desde el panel de detallesdel incidente. Las propiedades son:

• Gravedad • Revisando grupo

• Estado • Revisando usuario

• Solución

El revisor puede ser cualquier usuario de McAfee ePO. El motivo por el cual es posiblecambiar la gravedad es porque, en caso de que el administrador determine que el estadoes un falso positivo, la gravedad original dejará de ser importante.

Caso práctico: cambio de la vistaAdemás de utilizar los filtros para modificar la vista, también puede personalizar loscampos y el orden de visualización. Las vistas personalizadas se pueden guardar y utilizarde nuevo.

Crear un filtro implica las siguientes tareas:

1 Haga clic en Acciones | Vista | Elegir columnas para abrir la ventana de edición de la vista.

2 Utilice el icono x para eliminar columnas y los iconos de flechas para desplazar lascolumnas a la izquierda o a la derecha.

3 Haga clic en Actualizar vista para aplicar la vista personalizada y en Acciones | Vista | Guardarvista para guardar y usar en un futuro. Al guardar la vista también puede guardar lahora y los filtros personalizados. En el menú desplegable de la parte superior de lapágina puede seleccionar las vistas guardadas.

Crear una tarea de definición de revisorPuede asignar revisores para incidentes y eventos operativos diferentes con el fin de dividir la cargade trabajo en organizaciones grandes.

Antes de empezarEn McAfee ePO Administración de usuarios | Conjuntos de permisos, cree un revisor o designe unrevisor de grupo, con permisos Definir revisor para Administrador de incidentes de DLP yEventos operativos de DLP.

Incidentes y eventos operativosAdministrador de incidentes de DLP 5


La tarea Definir revisor asigna un revisor a los incidentes o eventos según los criterios de la regla. Latarea solo se ejecuta en los incidentes donde no se ha asignado un revisor. No puede utilizarla parareasignar incidentes a otro revisor.


1 En McAfee ePO, seleccione Menú | Protección de datos | Administrador de incidentes de DLP o Menú | Protección dedatos | Eventos operativos de DLP.

2 Haga clic en Tareas de incidentes o en la ficha Tareas de eventos operativos.

3 Seleccione Datos en reposo (Network) en la lista desplegable (solo Tareas de incidentes), elija Definir revisoren el panel Tipo de tarea y, a continuación, haga clic en Acciones | Nueva regla.

4 Introduzca un nombre y, si lo desea, una descripción. Seleccione un revisor o un grupo y, acontinuación, haga clic en Siguiente.

Las reglas se activan de forma predeterminada. Puede cambiar este ajuste para retrasar laejecución de la regla.

5 Haga clic en > para agregar criterios y en < para eliminarlos. Defina los parámetros Comparación yValor. Cuando haya acabado de definir los criterios, haga clic en Guardar.

Si hay varias reglas de Definir revisor, puede volver a ordenarlas en la lista.

La tarea se ejecuta cada hora.

Una vez definido un revisor, no se le puede omitir a través de la tarea Definir revisor.

Crear una tarea de correo electrónico automáticaPuede establecer notificaciones por correo electrónico automáticas de incidentes y eventos operativospara los administradores, gestores o usuarios.



2 Haga clic en las fichas Tareas de incidentes o Tareas de eventos operativos.

3 Seleccione Datos en reposo (Network) en la lista desplegable (solo Tareas de incidentes), elija Notificaciónde correo automática en el panel Tipo de tarea y, a continuación, haga clic en Acciones | Nueva regla.



5 Seleccione los eventos que desea procesar.

• Procese todos los incidentes/eventos (del tipo de incidente seleccionado).

• Procese los incidentes/eventos desde la última notificación de correo ejecutada.

6 Seleccione Destinatarios.

Este campo es obligatorio. Debe seleccionar al menos un destinatario.

5 Incidentes y eventos operativosAdministrador de incidentes de DLP


7 Introduzca un asunto para el correo electrónico.

Este campo es obligatorio.

Puede introducir variables de la lista desplegable según sea necesario.

8 Introduzca el texto del cuerpo del correo electrónico.

Puede introducir variables de la lista desplegable según sea necesario.

9 (Opcional) Seleccione la casilla de verificación para adjuntar información de pruebas al correoelectrónico. Haga clic en Siguiente.


La tarea se ejecuta cada hora.

Crear una tarea de purga de eventosCrea tareas de purga de incidentes y eventos, y borra la base de datos que ya no es necesaria.



2 Haga clic en Tareas de incidentes o en la ficha Tareas de eventos operativos.

3 Seleccione Datos en reposo (Network) en la lista desplegable (solo Tareas de incidentes), elija Purgareventos en el panel Tipo de tarea y, a continuación, haga clic en Acciones | Nueva regla.

4 Introduzca un nombre y una descripción opcional y, a continuación, haga clic en Siguiente.



La tarea se ejecuta a diario en el caso de los datos actuales y cada viernes a las 22:00 en el de losdatos históricos.

Editar tareas servidorMcAfee DLP utiliza las Tareas servidor de McAfee ePO para ejecutar las tareas de Administrador deincidentes de DLP y Eventos operativos de DLP.

Todas las tareas de incidentes y eventos operativos se predefinen en la lista de tareas servidor. Lasúnicas opciones disponibles son activar/desactivar las tareas o cambiar la planificación.


1 En McAfee ePO, seleccione Menú | Automatización | Tareas servidor.

2 Seleccione la tarea que desea editar.

Utilice el campo Búsqueda rápida para filtrar la lista.

Incidentes y eventos operativosAdministrador de incidentes de DLP 5


3 Seleccione Acciones | Editar y, a continuación, haga clic en Planificación.

4 Edite la planificación según sea necesario y, a continuación, haga clic en Guardar.

Supervisar resultados de la tareaSupervise los resultados de las tareas de incidentes y de eventos operativos.


1 En McAfee ePO, seleccione Menú | Automatización | Registro de tareas servidor.

2 Localice las tareas de McAfee DLP completadas.

Introduzca DLP en el campo Búsqueda rápida o defina un filtro personalizado.

3 Haga clic en el nombre de la tarea.

Aparecen los detalles de la tarea, incluidos todos los errores si la tarea falló.

Trabajar con incidentesCuando McAfee DLP recibe datos que coinciden con los parámetros definidos en una regla, sedesencadena una infracción y McAfee DLP genera un incidente.

Con el administrador de incidentes de McAfee ePO, puede consultar, ordenar, agrupar y filtrarincidentes para encontrar infracciones importantes. Puede ver los detalles de los incidentes o eliminarlos que no son útiles.

Visualización de los incidentesEl Administrador de incidentes muestra todos los incidentes de lo que han informado los dispositivosde McAfee DLP. Puede alterar la apariencia de los incidentes para que le ayude a ubicar lasinfracciones importantes de forma más eficaz.Cuando McAfee DLP procesa un objeto, como un mensaje de correo electrónico, se activan variasreglas y el Administrador de incidentes reúne y muestra las infracciones como un incidente, en lugarde como varios independientes.

Procedimientos• Ordenar y filtrar incidentes en la página 51

Ordene la manera en la que aparecen los incidentes basándose en atributos como eltiempo, la ubicación, el usuario o la gravedad.

• Configurar vistas de columna en la página 51Utilice las vistas para organizar el tipo y el orden de las columnas que se muestran en eladministrador de incidentes.

• Configurar filtros de incidentes en la página 52Utilice los filtros para mostrar los incidentes que coinciden con los criterios especificados.

• Ver detalles del incidente en la página 53Consulte la información relacionada con un incidente.

5 Incidentes y eventos operativosTrabajar con incidentes


Ordenar y filtrar incidentesOrdene la manera en la que aparecen los incidentes basándose en atributos como el tiempo, laubicación, el usuario o la gravedad.


1 En McAfee ePO, seleccione Administrador de incidentes de DLP.

2 En la lista desplegable Presente, seleccione Datos en reposo (Network) y, si fuera necesario, haga clic en elvínculo Analizar para definir el análisis.


• Para ordenar por columna, haga clic en el encabezado de una columna.

• Para cambiar las columnas a una vista personalizada, en la lista desplegable Vista, seleccioneuna vista personalizada.

• Para filtrar por tiempo, en la lista desplegable Hora, seleccione un espacio de tiempo.

• Para aplicar un filtro personalizado, en la lista desplegable Filtro, seleccione un filtropersonalizado.

• Para agrupar por atributo:

1 En la lista desplegable Agrupar por, seleccione un atributo.

Aparecerá una lista de opciones disponibles. La lista contiene hasta 250 de las opciones másfrecuentes.

2 En la lista desplegable, seleccione una opción. Aparecerán los incidentes que coincidan con laselección.

Configurar vistas de columnaUtilice las vistas para organizar el tipo y el orden de las columnas que se muestran en el administradorde incidentes.




3 En la lista desplegable Vista, seleccione Predeterminado y haga clic en Editar.

4 Configure las columnas.

a En la lista Columnas disponibles, haga clic en una opción para moverla al área Columnas seleccionadas.

b En el área Columnas seleccionadas, organice y elimine las columnas según sea necesario.

• Para eliminar una columna, haga clic en x.

• Para mover una columna, haga clic en los botones de flecha, o arrastre y suelte la columna.

c Haga clic en Actualizar vista.

Incidentes y eventos operativosVisualización de los incidentes 5


5 Configure los ajustes de la vista.

a Junto a la lista desplegable Vista, haga clic en Guardar.

b Seleccione una de estas opciones:

• Guardar como vista nueva: Especifique un nombre para la vista.

• Omitir la vista existente: Seleccione la vista que desea guardar.

c Seleccione quién puede utilizar la vista.

• Público: Cualquier usuario puede utilizar la vista.

• Privado: Solo el usuario que creó la vista puede utilizarla.

d Especifique si desea que se apliquen los filtros o las agrupaciones actuales a la vista.

e Haga clic en Aceptar.

También puede gestionar las vistas en el administrador de incidentes seleccionando Acciones | Vista.

Configurar filtros de incidentesUtilice los filtros para mostrar los incidentes que coinciden con los criterios especificados.




3 En la lista desplegable Filtro, seleccione (sin filtro personalizado) y haga clic en Editar.

4 Configure los parámetros del filtro.

a En la lista Propiedades disponibles, seleccione una propiedad.

b Introduzca el valor para la propiedad.

Para agregar valores adicionales a la misma propiedad, haga clic en +.

c Seleccione más propiedades según sea necesario.

Para eliminar una entrada de propiedad, haga clic en <.

d Haga clic en Actualizar filtro.

5 Configure los ajustes de filtros.

a Junto a la lista desplegable Filtro, haga clic en Guardar.

b Seleccione una de estas opciones:

• Guardar como filtro nuevo: Especifique un nombre para el filtro.

• Omitir filtro existente: Seleccione el filtro que desea guardar.

5 Incidentes y eventos operativosVisualización de los incidentes


c Seleccione quién puede utilizar el filtro.

• Público: Cualquier usuario puede utilizar el filtro.

• Privado: Solo el usuario que creó el filtro puede utilizarlo.

d Haga clic en Aceptar.

También puede gestionar los filtros en el administrador de incidentes seleccionando Acciones | Filtro.

Ver detalles del incidenteConsulte la información relacionada con un incidente.




3 Haga clic en ID de incidente.

La página muestra detalles generales sobre el incidente.

4 Para ver información adicional, lleve a cabo una de estas tareas.

• Para ver los archivos de pruebas:

1 Haga clic en la ficha Pruebas.

2 Haga clic en el nombre de un archivo para abrirlo con un programa apropiado.

• Para ver las reglas que desencadenaron el incidente, haga clic en la ficha Reglas.

• Para ver las clasificaciones, haga clic en la ficha Clasificaciones.

• Para ver el historial de incidentes, haga clic en la ficha Registros de auditoría.

• Para ver los comentarios agregados al incidente, haga clic en la ficha Comentarios.

• Para volver al administrador de incidentes, haga clic en Aceptar.

Gestión de incidentesUtilice el administrador de incidentes para actualizar y gestionar los incidentes.Para eliminar los incidentes, configure una tarea que permita purgar eventos.

Procedimientos• Actualizar un solo incidente en la página 54

Actualice información del incidente como la gravedad, el estado y el revisor.

• Actualizar varios incidentes en la página 54Actualice varios incidentes con la misma información simultáneamente.

• Administrar etiquetas en la página 55Una etiqueta es un atributo personalizado que se utiliza para identificar los incidentes quecomparten rasgos similares.

Véase también Crear una tarea de purga de eventos en la página 49

Incidentes y eventos operativosGestión de incidentes 5


Actualizar un solo incidenteActualice información del incidente como la gravedad, el estado y el revisor.

La ficha Registros de auditoría informa de todas las actualizaciones y modificaciones realizadas en unincidente.




3 Haga clic en un incidente.


• Para actualizar la gravedad, el estado o la resolución:

1 En las listas desplegables Gravedad, Estado o Solución, seleccione una opción.


• Para actualizar el revisor:

1 Junto al campo Revisor, haga clic en ....

2 Seleccione el grupo o el usuario, y haga clic en Aceptar.


• Para agregar un comentario:

1 Seleccione Acciones | Agregar comentario.

2 Introduzca un comentario y, a continuación, haga clic en Aceptar.

Actualizar varios incidentesActualice varios incidentes con la misma información simultáneamente.

Ejemplo: Ha aplicado un filtro para mostrar todos los incidentes de un análisis concreto y deseacambiar la gravedad de estos incidentes a Grave.




3 Seleccione las casillas de verificación de los incidentes que desea actualizar.

Para actualizar todos los incidentes mostrados por el filtro actual, haga clic en Seleccionar todo en estapágina.

5 Incidentes y eventos operativosGestión de incidentes



• Para agregar un comentario, seleccione Acciones | Agregar comentario, introduzca un comentario y, acontinuación, haga clic en Aceptar.

• Para enviar los incidentes en un correo electrónico, seleccione Acciones | Enviar por correo electrónicolos eventos seleccionados, introduzca la información y, a continuación, haga clic en Aceptar.

• Para modificar las propiedades, seleccione Acciones | Definir propiedades, modifique las opciones y, acontinuación, haga clic en Aceptar.

Administrar etiquetasUna etiqueta es un atributo personalizado que se utiliza para identificar los incidentes que compartenrasgos similares.

Puede asignar varias etiquetas a un incidente y puede reutilizar una etiqueta para varios incidentes.

Por ejemplo: Tiene incidentes que se relacionan con varios proyectos que su empresa estádesarrollando. Puede crear etiquetas con el nombre de cada proyecto y asignarlas a los incidentescorrespondientes.




3 Seleccione las casillas de verificación de uno o varios incidentes.

Para actualizar todos los incidentes mostrados por el filtro actual, haga clic en Seleccionar todo en estapágina.


• Para agregar etiquetas:

1 Seleccione Acciones | Administrar etiquetas | Adjuntar.

2 Para agregar una nueva etiqueta, introduzca un nombre y haga clic en Agregar.

3 Seleccione una o varias etiquetas.


• Para eliminar etiquetas de un incidente:

1 Seleccione Acciones | Administrar etiquetas | Separar.

2 Seleccione las etiquetas que desea eliminar del incidente.


• Para eliminar etiquetas:

1 Seleccione Acciones | Administrar etiquetas | Eliminar etiquetas.

2 Seleccione las etiquetas que eliminar.


Incidentes y eventos operativosGestión de incidentes 5


5 Incidentes y eventos operativosGestión de incidentes


Índice

Aacerca de esta guía 5Activar agentes 15

administración de derechos 16

administrador de incidentes 46

Administrador de incidentes de DLP 46

responder a eventos 45

análisisclasificación 20, 35

corrección 21, 36

credenciales 28

inventario 20, 34

planificador 29

repositorios 28

resultados 41

tipos de 9análisis de clasificación

acerca de 20

configuración 35

análisis de correcciónacerca de 21

configuración 36

análisis de inventarioacerca de 20

configuración 34

ancho de banda 21

Cclasificaciones

acerca de 23

creación 32

conjuntos de permisos, definición 39

consola de directivas de DLP, instalación 13

control de acceso basado en funciones 39

convenciones tipográficas e iconos utilizados en esta guía 5credenciales 28

Ddatos

clasificación 25

datos de DLP, clasificación 24

definicionescredenciales 28

definiciones (continuación)diccionarios 25

información del archivo 27

para análisis 26

para clasificaciones 23, 30

patrón de texto 24

planificador 29

repositorios 28

tipos 22

diccionariosacerca de 25

crear 31

importar entradas 31

directiva, configuración 26

documentaciónconvenciones tipográficas e iconos 5destinatarios de esta guía 5específica de producto, buscar 6

Eeventos

supervisión 45

eventos operativos 46

Ffiltros 27

Iincidentes

actualización 54

detalles 53

etiquetas 55

filtrado 51, 52

orden 51

vistas 51

instalación 12

Llimitaciones 21

MMcAfee Agent 11


McAfee ServicePortal, acceso 6

OOLAP 41

Ppatrones avanzados

crear 31

patrones de textoacerca de 24

planificador 29

pruebaeventos de endpoint 45

puertos predeterminados 12

Rredacción

acerca de 40

reglasacerca de 25

reglas (continuación)creación 33

regulación 21

repositorios 28

requisitos del sistema 11

SServicePortal, buscar documentación del producto 6servidor de prueba 16

soporte técnico, encontrar información de productos 6supervisión 46

Ttareas de eventos operativos 49

tareas de incidentes 46, 49

tareas servidor 49

Vvalidadores 24

Índice


Data Loss Prevention Discover 9.4.0 Guía del producto · Intel y el logotipo de Intel son marcas...

Documents

Transcript of Data Loss Prevention Discover 9.4.0 Guía del producto · Intel y el logotipo de Intel son marcas...