McAfee Data Loss Prevention 10.x and 11.0 Guide de … · ATTRIBUTIONS DE MARQUES COMMERCIALES...

Guide de migrationRévision A

McAfee Data Loss Prevention 10.x and 11.0

COPYRIGHTCopyright © 2017 McAfee LLC

ATTRIBUTIONS DE MARQUES COMMERCIALESMcAfee et le logo McAfee, McAfee Active Protection, ePolicy Orchestrator, McAfee ePO, Foundstone, McAfee LiveSafe, McAfee QuickClean, McAfee SECURE, SecureOS,McAfee Shredder, SiteAdvisor, McAfee Stinger, TrustedSource, VirusScan sont des marques commerciales de McAfee LLC ou de ses filiales aux Etats-Unis et dansd'autres pays. Les autres noms et marques sont la propriété de leurs détenteurs respectifs.

INFORMATIONS DE LICENCE

Accord de licenceAVIS À TOUS LES UTILISATEURS : LISEZ ATTENTIVEMENT L'ACCORD JURIDIQUE CORRESPONDANT À LA LICENCE QUE VOUS AVEZ ACHETÉE. IL DÉFINIT LES CONDITIONSGÉNÉRALES D'UTILISATION DU LOGICIEL SOUS LICENCE. SI VOUS IGNOREZ LE TYPE DE LICENCE QUE VOUS AVEZ ACQUIS, REPORTEZ-VOUS AUX DOCUMENTSCOMMERCIAUX ET AUTRES DOCUMENTS D'OCTROI DE LICENCE, OU AU BON DE COMMANDE, QUI ACCOMPAGNENT VOTRE PACKAGE LOGICIEL OU QUI VOUS ONTÉTÉ TRANSMIS SÉPARÉMENT DANS LE CADRE DE VOTRE ACHAT (SOUS LA FORME D'UN LIVRET, D'UN FICHIER INCLUS SUR LE CD DU PRODUIT OU D'UN FICHIERDISPONIBLE SUR LE SITE WEB À PARTIR DUQUEL VOUS AVEZ TÉLÉCHARGÉ LE PACKAGE LOGICIEL). SI VOUS N'ÊTES PAS D'ACCORD AVEC CERTAINS TERMES DE CETACCORD, N'INSTALLEZ PAS LE LOGICIEL. LE CAS ÉCHÉANT, VOUS POUVEZ RETOURNER LE PRODUIT À MCAFEE OU À VOTRE REVENDEUR AFIN D'EN OBTENIR LEREMBOURSEMENT INTÉGRAL.

2 McAfee Data Loss Prevention 10.x and 11.0 Guide de migration

Sommaire

1 Introduction 5Présentation de la migration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5

Workflow de migration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5Différences entre les versions . . . . . . . . . . . . . . . . . . . . . . . . . . . 7Fonctionnalités non prises en charge . . . . . . . . . . . . . . . . . . . . . . . . 7

2 Installation 9Migration des appliances physiques . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9Installation d’appliances McAfee DLP Prevent . . . . . . . . . . . . . . . . . . . . . . . . 9

Préparation de la configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . 9Identification des ports réseau . . . . . . . . . . . . . . . . . . . . . . . . . . 10Installation des extensions . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11Configuration des informations relatives au réseau . . . . . . . . . . . . . . . . . . . 12Configuration de l'appliance . . . . . . . . . . . . . . . . . . . . . . . . . . . 12Installation de l'appliance . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13Tâches de post-configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . 14

3 Configuration des composants système 15Enregistrer un serveur LDAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15

Création de définitions d'utilisateur final . . . . . . . . . . . . . . . . . . . . . . . 16Utilisateurs, groupes et ensembles d'autorisations . . . . . . . . . . . . . . . . . . . . . . 17

Créer un utilisateur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17Créer un ensemble d'autorisations . . . . . . . . . . . . . . . . . . . . . . . . . 18Création d'un ensemble d'autorisations McAfee DLP . . . . . . . . . . . . . . . . . . 18

Stratégie Gestion partagée des appliances . . . . . . . . . . . . . . . . . . . . . . . . . 19Ajouter un serveur de preuve pour stocker des incidents . . . . . . . . . . . . . . . . . . . . 19

4 Classification de contenu confidentiel 21Création d'une classification . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21Création de critères de classification . . . . . . . . . . . . . . . . . . . . . . . . . . . 22Créer des propriétés de document . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22Téléchargement de documents enregistrés . . . . . . . . . . . . . . . . . . . . . . . . . 22Des concepts aux définitions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23

Définitions de dictionnaire . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24Définitions de modèle avancé . . . . . . . . . . . . . . . . . . . . . . . . . . . 26Création d'une définition de classification générale . . . . . . . . . . . . . . . . . . . 28

5 Protection avec des règles, jeux de règles et stratégies 29Réactions et définitions de règles McAfee DLP Prevent . . . . . . . . . . . . . . . . . . . . . 30Création d'une règle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31Création d'un jeu de règles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31Création d'une définition de liste d'adresses e-mail . . . . . . . . . . . . . . . . . . . . . . 32Création d'un intervalle d'adresses réseau . . . . . . . . . . . . . . . . . . . . . . . . . 32Création d'une définition de liste d'URL . . . . . . . . . . . . . . . . . . . . . . . . . . 33Création d'un intervalle de ports réseau . . . . . . . . . . . . . . . . . . . . . . . . . . 34

McAfee Data Loss Prevention 10.x and 11.0 Guide de migration 3

Créer une stratégie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34Affecter une stratégie à une appliance McAfee DLP Prevent . . . . . . . . . . . . . . . . . . . 34Scénario d'utilisation - Bloquer les messages sortants qui comportent du contenu confidentiel, sauf s'ils sontenvoyés à un domaine spécifié . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35Cas d’utilisation : localiser les violations de droits de propriété intellectuelle . . . . . . . . . . . . . 36Scénario d'utilisation : empreintes basées sur l'application . . . . . . . . . . . . . . . . . . . 37

6 Analyse des données avec McAfee DLP Discover 10.x 39Types de référentiel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39Types d'analyse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40Création de définitions d'analyse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40Créer une analyse de classification . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41Création de règles pour les analyses de correction . . . . . . . . . . . . . . . . . . . . . . 42Cas d’utilisation : planifier une analyse et filtrer les résultats . . . . . . . . . . . . . . . . . . . 43Cas d’utilisation : créer une analyse unique qui s’exécute jusqu'à la fin . . . . . . . . . . . . . . . 43

7 Suivi et génération de rapports 45Incidents et cas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45

Tri et filtrage des incidents . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46Affichage des détails relatifs à un incident . . . . . . . . . . . . . . . . . . . . . . 47Mise à jour d'un incident unique . . . . . . . . . . . . . . . . . . . . . . . . . . 48Mise à jour de plusieurs incidents . . . . . . . . . . . . . . . . . . . . . . . . . 48Créer des notifications par e-mail . . . . . . . . . . . . . . . . . . . . . . . . . 49Créer des cas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50Affecter un réviseur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50Afficher les informations sur les cas . . . . . . . . . . . . . . . . . . . . . . . . 51Mettre à jour les cas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51Affecter des incidents à un cas . . . . . . . . . . . . . . . . . . . . . . . . . . 52Cas d’utilisation : rechercher des violations de stratégie par utilisateur . . . . . . . . . . . . 53Cas d’utilisation : rechercher des incidents à haut risque . . . . . . . . . . . . . . . . . 53Cas d’utilisation : définir des propriétés pour les incidents . . . . . . . . . . . . . . . . 54Cas d’utilisation : filtrer des incidents par date, destination et utilisateur . . . . . . . . . . . 54Affecter des autorisations d’affichage d’incident aux utilisateurs dans Active Directory . . . . . . 55Affecter des autorisations d’affichage de gestion des cas à un utilisateur . . . . . . . . . . . 55

Surveillance de l'état et de l'intégrité du système . . . . . . . . . . . . . . . . . . . . . . . 56Tableaux de bord McAfee DLP . . . . . . . . . . . . . . . . . . . . . . . . . . . 56Tableau de bord Gestion des appliances . . . . . . . . . . . . . . . . . . . . . . . 56Evénements d’appliances McAfee DLP . . . . . . . . . . . . . . . . . . . . . . . . 57

8 Maintenance et dépannage 59Conseils de dépannage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59Gestion avec la console de l’appliance McAfee DLP . . . . . . . . . . . . . . . . . . . . . . 62Accès à la console de l'appliance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63Remplacement du certificat par défaut . . . . . . . . . . . . . . . . . . . . . . . . . . 63Messages d'erreur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64Sauvegardes de configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66

Index 67

Sommaire


1 Introduction

Ce guide de migration fournit des informations qui vous aident à migrer de McAfee®

Network Data LossPrevention (McAfee Network DLP) 9.3.x vers McAfee

®

Data Loss Prevention (McAfee DLP) 10.x.

Il couvre les versions suivantes des produits McAfee DLP :

• McAfee® Data Loss Prevention Discover (McAfee DLP Discover) 9.3.x jusqu’aux versions 10.0.0 et ultérieures

• McAfee® Data Loss Prevention Prevent (McAfee DLP Prevent) 9.3.x jusqu’aux versions 10.0.100 et ultérieures

• McAfee® Data Loss Prevention Monitor (McAfee DLP Monitor) 9.3.x vers la version 11.0

Il fournit également des informations vous aidant à commencer à utiliser votre nouvelle version de McAfee DLP.

Pour plus d’informations, consultez le Guide produit McAfee Data Loss Prevention correspondant à laversion 11.0.

Présentation de la migrationIl n’existe aucune mise à niveau automatique pour migrer de McAfee Network DLP 9.3.x vers McAfee DLP 10.xet versions ultérieures. Ce guide vous aide à configurer les dernières versions de McAfee DLP avec desparamètres qui ont comportement similaire à votre configuration de McAfee Network DLP 9.3.x.

Workflow de migrationUtilisez le diagramme de workflow pour installer l’appliance, puis recréez vos paramètres de configuration, vosrègles, vos stratégies et vos paramètres de gestion des incidents et des cas à l’aide des outils dans McAfee ePO.

McAfee DLP Monitor n’existe pas dans McAfee DLP 10.x.

Scénarios d’installation

De A Consultez

McAfee NetworkDLP 9.3.x physique

McAfee DLP 10.x ou 11.0physique

McAfee DLP Hardware Migration Guide (Guide demigration de matériel de McAfee DLP)McAfee DLP Hardware Guide (Guide matériel de McAfeeDLP)

McAfee NetworkDLP 9.3.x physique

McAfee DLP 10.x ou 11.0virtuel

McAfee DLP Hardware Migration Guide (Guide demigration de matériel de McAfee DLP)Guide produit de McAfee DLP

McAfee NetworkDLP 9.3.x virtuel

McAfee DLP 10.x ou 11.0virtuel

Ce guide

Pour obtenir la liste des plates-formes virtuelles prises en charge par McAfee DLP 10.x et versions ultérieures,consultez les notes de publication de votre version.

1


Scénario : utilisation de la gestion des incidents unifiée et des cas ou McAfee DLP Manager

Suivez les étapes décrites dans cet organigramme de workflow si :

• Vos incidents et cas existants sont déjà disponibles dans McAfee ePO.

• Vous utilisez McAfee DLP Manager pour gérer les incidents et les cas.

Les incidents et les cas dans McAfee DLP Manager ne peuvent pas être migrés vers les outils McAfeeDLP 10.x et versions ultérieures.

McAfee Network DLP 9.3.x customers and McAfee DLP Endpoint 9.4 customers who chose to retain their McAfeeDLP Manager box can keep it available until the incidents and cases are no longer needed.

Scénario : utilisation de la fonctionnalité de recherche de capture

McAfee DLP 10.x et ses versions ultérieures n’incluent pas la fonctionnalité de capture.

1 IntroductionPrésentation de la migration


Différences entre les versionsEtant donné que l’architecture produit des versions 9.3.x, 10.x et ultérieures est différente, les paramètres etdonnées de configuration de McAfee DLP Manager ne peuvent pas migrer directement vers les outils McAfeeDLP dans McAfee ePO.

Noms de produits

La version 9.3.x du produit s’appelait McAfee Network Data Loss Prevention (McAfee Network DLP). Avec laversion 10.x et les versions ultérieures, la partie Network du nom du produit a été supprimée pour devenirMcAfee Data Loss Prevention.

Gestion des produits

Dans la version 10.x et les versions ultérieures, les produits sont désormais gérés avec McAfee ePO.

Les paramètres de configuration, les règles, les concepts et les stratégies que vous utilisiez dans McAfee DLPManager doivent être recréés dans McAfee ePO.

Gardez McAfee DLP Manager disponible jusqu’à ce que les incidents et cas ne soient plus requis.

Différences de termes

La plupart des fonctionnalités ont le même nom dans la nouvelle version, à quelques exceptions près.

Tableau 1-1 Différences de terminologie

McAfee Network DLP 9.3.x McAfee DLP 10.x et versions ultérieures

Concept • Définition de dictionnaire

• Définitions de modèle avancé (expression régulière)

Règle d’action Réaction

Modèle • Classification

• Définition

Stratégie Jeu de règles

Programme de validation Algorithme

Groupe Ensemble d'autorisations

Incidents et cas

Les incidents et les cas dans McAfee DLP Manager ne peuvent pas être migrés vers les outils McAfee DLP 10.xet versions ultérieures.

Fonctionnalités non prises en chargeCes fonctionnalités ne sont pas prises en charge dans McAfee DLP 10.x et versions ultérieures.

• Capture des données

• Création de définitions à l’aide des paramètres suivants :

• Nombre de lignes depuis le début

• Percentage match (Pourcentage de correspondance)

IntroductionPrésentation de la migration 1


• Proximité

• Nombre d’octets depuis le début

1 IntroductionPrésentation de la migration


2 Installation

Pour utiliser McAfee DLP 10.x, vous devez effectuer une installation complète.

Pour obtenir des instructions sur l’installation de McAfee DLP Discover 10.x, consultez le Guide produit McAfeeData Loss Prevention.

Meilleure pratique : avant de commencer à installer la nouvelle version, faites une sauvegarde de configurationcomplète de votre installation actuelle afin de pouvoir y revenir si nécessaire.

Sommaire Migration des appliances physiques Installation d’appliances McAfee DLP Prevent

Migration des appliances physiquesSi vous avez une appliance des modèles 4400, 5500 ou 6600, vous pouvez installer McAfee DLP Prevent 10.x ouMcAfee DLP Monitor 11.0.

Vous pouvez reconfigurer les machines McAfee DLP Manager après avoir installé McAfee DLP Prevent 10.x ouMcAfee DLP Monitor 11.0 sur vos appliances existantes. Pour plus d’informations, consultez le McAfee NetworkDLP 9.3.x to McAfee DLP 10.x Hardware Migration Guide (Guide de migration de matériel de McAfee NetworkDLP 9.3.x vers McAfee DLP 10.x), disponible sur le site de téléchargements de McAfee.

Les appliances des modèles 1650 et 3650 ne prennent pas en charge McAfee DLP Prevent 10.x ou McAfee DLPMonitor 11.0.

Installation d’appliances McAfee DLP PreventPour obtenir des instructions plus détaillées sur l’installation, consultez le Guide produit McAfee Data LossPrevention correspondant à votre version du produit.

Préparation de la configurationUtilisez les informations de déploiement contenues dans le guide produit pour planifier l’intégration desproduits McAfee DLP dans votre réseau.

Procédure1 Familiarisez-vous avec les options de déploiement de McAfee DLP.

2 Effectuez toutes les tâches de déploiement de la liste fournie.

2


Identification des ports réseauRepérez les ports réseau sur votre appliance. Les ports non étiquetés ne sont pas utilisés.

Figure 2-1 Configuration des ports pour l'appliance de modèle 4400

1 Port série

2 Port OOB

3 Port LAN1

4 Port d'accès à distance (RMM)

5 Port Ethernet ou port fibre *

• McAfee DLP Prevent : non utilisé

• McAfee DLP Monitor : port de capture 1

6 Port Ethernet : non utilisé

* Si l’appliance a une carte d’interface réseau fibre :

• Pour McAfee DLP Prevent, le port fibre devient LAN1.

• Pour McAfee DLP Monitor, le port fibre devient le port de capture 1.

Sur certains modèles 4400, les ports de capture peuvent être situés sur une carte d’interface réseau à fentes etnon sur la carte mère. Dans ce cas, ces deux ports sont intervertis.


1 Port Ethernet ou port fibre : non utilisé

2 Port Ethernet ou port fibre *

• McAfee DLP Prevent : non utilisé

• McAfee DLP Monitor : port de capture 1

3 Port OOB

4 LAN1 *

2 InstallationInstallation d’appliances McAfee DLP Prevent


5 Port série


* Si l’appliance a une carte d’interface réseau fibre :

• Pour McAfee DLP Prevent, ce port fibre (légende 2) devient le port LAN1.

• Pour McAfee DLP Monitor, ce port fibre (légende 2) devient le port de capture 1.


1 LAN1

2 McAfee DLP Prevent : non utilisé

McAfee DLP Monitor : port de capture 1

3 Port OOB

4 Port série


Installation des extensionsPréparez le serveur McAfee ePO en vue d’une intégration au module Gestion des appliances McAfee DLP.

Pour plus d'informations sur l'installation manuelle des extensions, consultez le guide produit.

ProcédurePour davantage d'informations au sujet des fonctionnalités du produit, de son utilisation et des meilleurespratiques, cliquez sur ? ou sur Aide.

1 Dans McAfee ePO, sélectionnez Menu | Logiciels | Gestionnaire de logiciels.

2 Dans le volet de gauche, développez Logiciel (par étiquette) et sélectionnez Data Loss Prevention.

3 Sélectionnez l’entrée pour McAfee Network Data Loss Prevention.

Les extensions suivantes sont incluses :

• McAfee DLP

• Common UI

• Extension Gestion des appliances

• Gestion des appliances McAfee DLP

4 Cliquez sur Archiver.

5 Cochez la case pour accepter l'accord, puis cliquez sur OK.

InstallationInstallation d’appliances McAfee DLP Prevent 2


Configuration des informations relatives au réseauPour les appliances McAfee DLP, configurez le serveur DNS et le serveur NTP. Pour McAfee DLP Prevent, vousdevez également configurer un hôte actif.


1 Dans McAfee ePO, sélectionnez Menu | Stratégie | Catalogue de stratégies.

2 Dans la liste déroulante Produit, sélectionnez Gestion partagée des appliances.

3 Sélectionnez la stratégie My Default.

4 Ajoutez le serveur DNS et le serveur NTP, puis cliquez sur Enregistrer.

5 Dans la liste déroulante Product (Produit), sélectionnez DLP Appliance Management (Gestion des appliances DLP).

6 Sélectionnez la stratégie My Default pour Paramètres d'e-mail de McAfee DLP Prevent.

7 Entrez l'adresse IP de l'hôte actif, puis cliquez sur Enregistrer.

Configuration de l'appliancePréparez l'appliance pour son intégration au réseau.

Les unités d’alimentation de l’appliance et le disque dur peuvent être remplacés. Les instructions sont disponiblesdans le guide matériel.

Par défaut, chaque appliance est configurée avec les adresses IP suivantes après l'installation :

• McAfee DLP Prevent LAN1 : 10.1.1.108/24

Utilisez le réseau LAN1 pour SMTP ou le trafic ICAP. Vous pouvez également l'utiliser pour le trafic degestion.

• McAfee DLP Monitor LAN1 : 10.1.1.108/24

Utilisez le réseau LAN1 pour le trafic de gestion.

• Hors bande : 10.1.3.108/24

(Facultatif) Utilisez le réseau hors bande (OOB) pour le trafic de gestion, notamment pour lescommunications McAfee ePO.

Le port de capture 1 de McAfee DLP Monitor est utilisé pour le trafic d’analyse. Il n’est configuré avec aucuneadresse IP.

Si votre réseau utilise le protocole DHCP, la première adresse IP que le serveur DHCP affecte à l’appliance McAfeeDLP est utilisée à la place. Vous pouvez configurer manuellement l'adresse IP avec l'Assistant d'installation.L'appliance ne prend pas en charge les configurations DHCP continues.

La passerelle par défaut de l’appliance doit se trouver sur le sous-réseau LAN1. Configurez tous les routagesrequis sur l'interface hors bande à l'aide d'itinéraires statiques.

Procédure1 Installez l'appliance dans un rack.

2 Connectez un moniteur, un clavier et une souris à l'appliance.



3 Connectez l'appliance au réseau :

• McAfee DLP Prevent et McAfee DLP Monitor : connectez l’interface LAN1 de l’appliance à votre réseau.

• McAfee DLP Monitor : connectez l’interface du port de capture 1 à votre tap réseau ou port SPAN.

4 (Facultatif) Connectez l'interface hors bande à un autre réseau.

Ceci est obligatoire pour McAfee DLP Monitor si vous n'utilisez pas LAN1 pour votre trafic de gestion.

Installation de l'applianceInstallez le logiciel et exécutez l’assistant d’installation.

Procédure

1 Préparez l'appliance pour l'installation.

• Appliances 6600 : mettez l’appliance sous tension.

• Appliances 4400 et 5500

1 A l'aide du fichier ISO d'installation, créez ou configurez le support multimédia d'acquisition d'imageexterne. Vous pouvez effectuer l'installation initiale à l'aide des méthodes suivantes :

• Lecteur USB

Utiliser un logiciel d'écriture d'image, tel que Launchpad Image Writer, pour écrire l'image sur lelecteur USB. Pour plus d'informations, consultez KB87321.

• Lecteur CD USB

• (appliances 4400 uniquement) Lecteur CD intégré

• Lecteur CD virtuel utilisant un module de gestion à distance (RMM)

2 Connectez le support multimédia à l'appliance.

3 Mettez l'appliance sous tension.

4 Avant que le système d'exploitation ne démarre, appuyez sur F6 pour accéder au menu d'amorçage,puis sélectionnez le support multimédia externe.

R3c0n3x est le mot de passe du BIOS pour les appliances 4400.

2 Suivez les invites à l'écran.

Lorsque l'installation est terminée, l'appliance redémarre.

3 Exécutez l'Assistant de configuration en utilisant les informations à l'écran.

4 Si l’installation échoue :

1 Vérifiez que la connexion réseau fonctionne et que tous les itinéraires statiques configurés sont corrects.

2 Emettez une requête Ping vers la passerelle par défaut et vers McAfee ePO depuis la console del’appliance.

3 Si le problème persiste, contactez le support technique pour obtenir de l’aide. N’essayez pas deréeffectuer l’installation.

Lorsque vous contactez le support technique, assurez-vous de connaître le numéro de série principal del’appliance. Vous pouvez trouver le numéro de série sur l’étiquette du nom du produit présente surl’emballage, sur l’étiquette située en bas à gauche du panneau supérieur, ou sur l’étiquette présente surle plateau coulissant du panneau avant.

InstallationInstallation d’appliances McAfee DLP Prevent 2


https://kc.mcafee.com/corporate/index?page=content&id=KB87321

L’appliance McAfee DLP est installée et enregistrée sur McAfee ePO.

Tâches de post-configurationPour plus d'informations sur ces tâches, consultez le guide produit.

Appliances McAfee DLP

1 Configurez un serveur de preuve pour stocker les fichiers qui déclenchent une règle.

2 Configurez un ou plusieurs serveurs syslog si nécessaire.

3 Activez des stratégies et règles prédéfinies pertinentes.

4 Créez des classifications, stratégies et règles supplémentaires pour détecter des incidents potentiels de fuitede données.

5 Vérifiez que les incidents sont enregistrés dans le Gestionnaire d’incidents DLP.

Appliances McAfee DLP Prevent

Pour les appliances McAfee DLP Prevent qui analysent le trafic des e-mails :

1 Vérifiez la connectivité et l’acheminement des messages entre le serveur de l’agent de transfert de messages(MTA) et l’appliance McAfee DLP Prevent.

2 Vérifiez que l'en-tête X-RCIS-Action: Allow est ajouté à l'e-mail reçu.

Pour les appliances McAfee DLP Prevent qui analysent le trafic web, vérifiez la connectivité entre le serveurproxy web et l’appliance.

Appliances McAfee DLP Monitor

• Générez du trafic visible par le tap réseau ou le port SPAN configurés.



3 Configuration des composants système

Enregistrez les serveurs LDAP, définissez les autorisations et groupes d’utilisateurs, et spécifiez les serveurs depreuve dans McAfee ePO. Gérez les appliances grâce à une nouvelle fonctionnalité dans McAfee ePO intituléeGestion des appliances, où vous pouvez spécifier des stratégies et afficher l’état d’intégrité du système pour toutesles appliances McAfee DLP Prevent et McAfee DLP Monitor.

Sommaire Enregistrer un serveur LDAP Utilisateurs, groupes et ensembles d'autorisations Stratégie Gestion partagée des appliances Ajouter un serveur de preuve pour stocker des incidents

Enregistrer un serveur LDAPVous devez disposer d'un serveur LDAP enregistré pour utiliser les règles d'affectation de stratégie, pour activerl'affectation dynamique des ensembles d'autorisations et pour activer la connexion des utilisateursActive Directory.


1 Sélectionnez Menu | Configuration | Serveurs enregistrés, puis cliquez sur Nouveau serveur.

2 Sélectionnez Serveur LDAP dans le menu Type de serveur, puis indiquez un nom unique et une descriptionfacultative et cliquez sur Suivant.

3 Sélectionnez un serveur OpenLDAP ou Active Directory dans la liste Type de serveur LDAP.

4 Indiquez un nom de domaine ou un nom de serveur spécifique.

Utilisez des noms de domaine DNS (par exemple domaineinterne.com), ou des noms de domaine completsou des adresses IP pour les serveurs (par exemple serveur1.domaineinterne.com ou 192.168.75.101). Lesserveurs OpenLDAP peuvent utiliser des noms de serveur uniquement. Ils ne peuvent pas être spécifiés pardomaine.

5 Précisez s’il faut utiliser le catalogue global (non disponible pour les serveurs OpenLDAP).

Sélectionnez-le seulement si le domaine enregistré est le parent de domaines locaux uniquement, afind'éviter le trafic réseau potentiel qui peut avoir un impact sur les performances.

6 Si vous n’utilisez pas le catalogue global, indiquez s’il faut rechercher des références.

La recherche de références peut générer un trafic réseau non local.

7 Indiquez si l'option Utiliser SSL doit être activée pour communiquer avec ce serveur.

3


8 Si vous configurez un serveur OpenLDAP, entrez le port.

9 Entrez un nom d’utilisateur et un mot de passe pour un compte administrateur sur le serveur.

• Serveurs Active Directory : utilisez le format domaine\nom d’utilisateur

• Serveurs OpenLDAP : utilisez le format cn=Utilisateur, dc=domaine, dc=com

10 Entrez un nom de site pour le serveur, cliquez sur Tester la connexion pour vérifier la connexion, puis cliquezsur Enregistrer pour terminer l’enregistrement.

Procédures• Création de définitions d'utilisateur final, page 16

McAfee DLP accède aux serveurs Active Directory (AD) ou Lightweight Directory Access Protocol(LDAP) pour créer des définitions d'utilisateur final.

Création de définitions d'utilisateur finalMcAfee DLP accède aux serveurs Active Directory (AD) ou Lightweight Directory Access Protocol (LDAP) pourcréer des définitions d'utilisateur final.

Les groupes d'utilisateurs finaux sont utilisés pour les affectations et les autorisations d'administrateur, ainsique dans les règles d'équipement et de protection. Ils peuvent être constitués d'utilisateurs, de groupesd'utilisateurs ou d'unités organisationnelles (Organizational Unit - OU), permettant à l'administrateur de choisirun modèle approprié. Les entreprises organisées sur un modèle OU peuvent continuer à utiliser ce modèle, etles autres peuvent utiliser des groupes ou des utilisateurs individuels, si nécessaire.

Les objets LDAP peuvent être identifiés par leur nom ou ID de sécurité (SID). Les SID sont plus sûrs et lesautorisations peuvent être maintenues, même si les comptes sont renommés. D'autre part, ils sont stockés auformat hexadécimal et doivent être décodés pour les convertir en un format lisible.


1 Dans McAfee ePO, sélectionnez Menu | Protection des données | Gestionnaire de stratégies DLP.

2 Cliquez sur l'onglet Définitions.

3 Sélectionnez Source/Destination | Groupe d'utilisateurs finaux, puis Actions | Nouveau.

4 Sur la page Nouveau groupe d'utilisateurs, saisissez un nom unique et une description (facultatif).

5 Sélectionnez la méthode d'identification des objets (SID ou nom).

6 Cliquez sur l'un des boutons Ajouter (Ajouter des utilisateurs, Ajouter des groupes, Ajouter une unité organisationnelle).

La fenêtre de sélection affiche le type d'informations sélectionné.

L'affichage peut prendre quelques secondes si la liste est longue. Si aucune information n'apparaît,sélectionnez Conteneur et enfants dans la liste déroulante Prédéfinir.

7 Sélectionnez les noms et cliquez sur OK pour les ajouter à la définition.

Répétez l'opération en fonction des besoins pour ajouter des utilisateurs, des groupes ou des utilisateursorganisationnels.

8 Cliquez sur Enregistrer.

3 Configuration des composants systèmeEnregistrer un serveur LDAP


Utilisateurs, groupes et ensembles d'autorisationsLa création d’utilisateurs et de groupes est gérée dans McAfee DLP 10.x et versions ultérieures dans les sectionsUtilisateurs et Ensembles d’autorisations de McAfee ePO Vous pouvez également créer des groupes d’utilisateursLDAP dans le Gestionnaire de stratégies DLP de McAfee ePO.

Les ensembles d’autorisations dans McAfee ePO sont dénommés groupes dans McAfee DLP Manager.

Meilleure pratique : créez des ensembles d’autorisations, des utilisateurs et des groupes spécifiques à McAfeeDLP. Créez différents rôles en affectant différentes autorisations d’administrateur et de réviseur pour lesdifférents modules McAfee DLP dans McAfee ePO.

Pour plus d’informations sur les utilisateurs et les ensembles d'autorisations dans McAfee DLP 10.x et versionsultérieures, consultez le Guide produit McAfee Data Loss Prevention correspondant à votre version.

Droits d’administrateur dans McAfee ePO

Lorsque vous installez McAfee ePO, un compte administrateur est créé automatiquement. Les administrateursdisposent d'autorisations en écriture et en lecture, ainsi que de droits sur toutes les opérations. Par défaut, lenom d’utilisateur pour ce compte est admin. Si la valeur par défaut est modifiée pendant l'installation, cecompte est nommé en conséquence.

Vous pouvez créer des comptes administrateur supplémentaires pour les utilisateurs qui requièrent des droitsd’administrateur. Pour ce faire, suivez les instructions indiquées dans Créer un utilisateur.

Les droits d’administrateur comprennent :

• la création, la modification et la suppression de sites sources et de secours

• la modification de paramètres serveur

• l’ajout et la suppression de comptes utilisateur

• l’ajout, la suppression et l’affectation d’ensembles d’autorisations

• l’importation d’événements dans les bases de données McAfee ePO et la limitation du nombred’événements stockés

Créer un utilisateurLes utilisateurs dans McAfee DLP 10.x sont dénommés utilisateurs locaux dans McAfee Network DLP 9.3.x.


1 Dans McAfee ePO, sélectionnez Menu | Gestion des utilisateurs | Utilisateurs.

2 Cliquez sur Nouvel utilisateur et saisissez un nom d’utilisateur.

3 Indiquez si vous souhaitez activer ou désactiver l’état de connexion de ce compte.

Meilleure pratique : désactivez ce compte s’il s’agit d’une personne qui ne fait pas encore partie del’organisation.

4 Sélectionnez une méthode d’authentification pour ce compte et fournissez les informations d'identificationrequises.

• Authentification Windows

• Authentification par certificat

Configuration des composants systèmeUtilisateurs, groupes et ensembles d'autorisations 3


5 (Facultatif) Spécifiez le nom complet de l’utilisateur, son adresse e-mail, son numéro de téléphone et unedescription dans la zone de texte Remarques.

6 Définissez l'utilisateur comme un administrateur ou sélectionnez les ensembles d'autorisations appropriés.

7 Cliquez sur Enregistrer pour revenir à l’onglet Utilisateurs.

Le nouvel utilisateur apparaît dans la liste Utilisateurs sur la page Gestion des utilisateurs.

Créer un ensemble d'autorisationsUn ensemble d’autorisations dans McAfee DLP équivaut à un groupe local dans McAfee Network DLP 9.3.x.


1 Dans McAfee ePO, sélectionnez Menu | Gestion des utilisateurs | Ensembles d'autorisations.

2 Sélectionnez un ensemble d'autorisations prédéfini ou cliquez sur Nouveau pour en créer un.

3 Entrez un nom, sélectionnez les utilisateurs à ajouter, puis cliquez sur Enregistrer.


Création d'un ensemble d'autorisations McAfee DLPLes ensembles d'autorisations définissent différents rôles d’administrateur et de réviseur dans le logicielMcAfee DLP.



2 Sélectionnez un ensemble d'autorisations prédéfini ou cliquez sur Nouveau pour créer un ensembled'autorisations.

a Entrez un nom pour l'ensemble et sélectionnez les utilisateurs.

b Cliquez sur Enregistrer.

3 Sélectionnez un ensemble d'autorisations, puis cliquez sur Modifier dans la section Data Loss Prevention.

a Dans le volet gauche, sélectionnez un module de protection des données.

Gestion des incidents, Evénements opérationnels et Gestion des cas peuvent être sélectionnés séparément.D'autres options permettent de créer automatiquement des groupes prédéfinis.

b Modifiez les options et remplacez des autorisations selon vos besoins.

Le Catalogue de stratégies n'a pas d'options à modifier. Si vous affectez le Catalogue de stratégies à unensemble d'autorisations, vous pouvez modifier les sous-modules dans le groupe Catalogue destratégies.

c Cliquez sur Enregistrer.

3 Configuration des composants systèmeUtilisateurs, groupes et ensembles d'autorisations


Stratégie Gestion partagée des appliancesLa catégorie de stratégies Gestion partagée des appliances est installée avec l'extension Gestion des appliances. Elleapplique les paramètres communs aux nouvelles appliances ou à celles pour lesquelles une nouvelle image aété créée.

• Les informations de date, d'heure et de fuseau horaire

• Les listes de serveurs DNS

• Les informations sur le routage statique

• Les paramètres de connexion à distance Secure Shell (SSH)

• Les paramètres de journalisation à distance

• La surveillance et les alertes SNMP

Pour accéder à des informations détaillées sur ces options, consultez l'aide de Gestion des appliances.

Ajouter un serveur de preuve pour stocker des incidentsCertains incidents disposent d’éléments de preuve qui leur sont associés. Vous pouvez stocker les preuves surun serveur de preuve.

Avant de commencerLe serveur de preuve doit être un partage CIFS avec des autorisations en lecture/écriture.


1 Dans McAfee ePO, sélectionnez Menu | Paramètres DLP | Général.

2 Entrez le chemin d’accès au serveur de preuve dans Stockage des preuves par défaut pour enregistrer lesparamètres et activer le logiciel.

Ce doit être un chemin réseau, c'est-à-dire de type \\[serveur]\[partage].

3 Indiquez le nom d’utilisateur et le mot de passe pour accéder au serveur, puis cliquez sur Enregistrer.

Configuration des composants systèmeStratégie Gestion partagée des appliances 3


3 Configuration des composants systèmeAjouter un serveur de preuve pour stocker des incidents


4 Classification de contenu confidentiel

Avec McAfee DLP 10.x et versions ultérieures, le contenu est défini à l’aide de classifications. Les classificationsutilisées pour McAfee DLP Prevent et McAfee DLP Monitor peuvent contenir des combinaisons de définitions,propriétés de document et documents enregistrés.

Pour McAfee DLP 10.x et versions ultérieures, la classification de contenu est configurée à deux endroits dansMcAfee ePO.

• Menu | Classification | Définitions | Dictionnaire : créer des définitions sur la base de mots-clés.

• Menu | Classification | Définitions | Modèle avancé : créer des définitions sur la base d'une expression régulière.

Vous pouvez associer les définitions prédéfinies en l’état pour créer des règles, ou créer des doublons desrègles prédéfinies et les personnaliser.

Sommaire Création d'une classification Création de critères de classification Créer des propriétés de document Téléchargement de documents enregistrés Des concepts aux définitions

Création d'une classificationDes définitions de classification sont requises dans la configuration des règles de découverte et de protectiondes données.


1 Dans McAfee ePO, sélectionnez Menu | Protection des données | Classification.

2 Cliquez sur Nouvelle classification.

3 Indiquez un nom et éventuellement une description.

4 Cliquez sur OK.

5 Ajoutez des groupes d'utilisateurs finaux à la classification manuelle, ou encore des documents enregistrés àla classification, en cliquant sur Modifier pour le composant respectif.

6 Ajoutez des critères de classification de contenu ou des critères d'empreintes de contenu à l'aide du contrôleActions.

4


Création de critères de classificationAppliquez des critères de classification à des fichiers en fonction de leur contenu et de leurs propriétés.

Les critères de classification de contenu sont créés à partir des définitions de fichiers et de données. Si unedéfinition nécessaire n'existe pas, vous pouvez la créer lors de la définition des critères.



2 Sélectionnez la classification à laquelle vous souhaitez ajouter les critères, puis sélectionnez Actions |Nouveaux critères de classification de contenu.

3 Entrez le nom.

4 Sélectionnez des propriétés et configurez les entrées de comparaison et de valeur.

• Pour supprimer une propriété, cliquez sur <.

• Pour certaines propriétés, cliquez sur ... afin de sélectionner une propriété existante ou d'en créer une.

• Pour ajouter des valeurs à une propriété, cliquez sur +.

• Pour supprimer des valeurs, cliquez sur –.


Créer des propriétés de documentCréez une classification basée sur des propriétés de document.



2 Cliquez sur Nouvelle classification, saisissez un nom unique et une description facultative.

3 Cliquez sur Actions, puis sélectionnez Nouveau critère de classification de contenu ou cliquez sur le lien Modifier pourmodifier un critère de classification existant.

4 Cliquez sur Propriétés de document, puis cliquez sur ... et sélectionnez Nouvel élément.

5 Sélectionnez la propriété de votre choix, puis cliquez sur Enregistrer.

Téléchargement de documents enregistrésSélectionnez et classez les documents à distribuer sur les ordinateurs clients.

Avant de commencerLe chargement de documents enregistrés nécessite une licence pour McAfee DLP Endpoint, McAfeeDLP Prevent ou McAfee DLP Monitor.

4 Classification de contenu confidentielCréation de critères de classification




2 Cliquez sur l'onglet Enregistrer des documents.

3 Cliquez sur Chargement du fichier.

4 Accédez au fichier et, si un fichier du même nom existe déjà, indiquez si l'ancien fichier doit être remplacépar le nouveau. Sélectionnez ensuite une classification.

L'option Chargement du fichier traite un seul fichier. Pour charger plusieurs documents, créez un fichier .zip.

5 Cliquez sur OK.

Le fichier est téléchargé et traité, et des statistiques sont affichées sur la page.

6 Cliquez sur Créer un package lorsque la liste des fichiers est complète.

Lorsque les fichiers sont effacés, supprimez-les de la liste et créez un package pour appliquer lesmodifications.

7 Vous pouvez créer un package ne contenant que les documents enregistrés ou ceux inclus dans la listeblanche en laissant une liste vide.

Un package de signatures contenant l’ensemble des documents enregistrés et des documents inclus dans laliste blanche est chargé dans la base de données McAfee ePO pour être distribué sur les ordinateurs clients.McAfee DLP Prevent et McAfee DLP Monitor peuvent accéder à la base de données McAfee ePO pour utiliserdes documents enregistrés dans les définitions de règles.

Des concepts aux définitionsMcAfee Network DLP 9.3.x utilise des concepts basés sur des expressions McAfee pour créer des critères declassification. Un concept peut contenir des mots-clés ou des expressions régulières (regex). Dans McAfeeDLP 10.x et versions ultérieures, les concepts deviennent des définitions. McAfee DLP 10.x et versionsultérieures utilise les expressions de syntaxe de Google RE2 pour élaborer des définitions.

McAfee Network DLP 9.3.x contenait des concepts prédéfinis (tels qu’une sélection de numéros de cartebancaire, HIPAA et jeux d’argent) qui correspondent aux définitions disponibles dans McAfee DLP 10.x etversions ultérieures. Pour ceux qui ne correspondent pas, vous devez les créer manuellement.

Pour obtenir une fonctionnalité similaire avec McAfee DLP 10.x et versions ultérieures, créez des définitionsséparées pour les définitions de dictionnaire (mots-clés) et les définitions de modèle avancé (expressionsrégulières).

Tableau 4-1 Expressions régulières

Expression DLP 9.3.x DLP 10.x

\s n’importe quel caractère [\ \f \n \r \t < > ;] espace

\w n’importe quel caractère alphanumérique suivi d’untrait de soulignement

n’importe quel caractèrealphanumérique suivi d’un trait desoulignement

. n’importe quel caractère

\D n’importe quel caractère non numérique

Classification de contenu confidentielDes concepts aux définitions 4


Tableau 4-1 Expressions régulières (suite)

Expression DLP 9.3.x DLP 10.x

\c n’importe quel caractère alphabétique [A–Z] ou [a–z]

\i sensibilité à la casse désactivée

$ fin d’une chaîne

(flèche du haut) début d’une chaîne

Pour plus d’informations sur Google RE2, consultez https://support.google.com/a/answer/1371417?hl=en.

Meilleure pratique : avant de commencer à créer des définitions dans McAfee DLP 10.x et versions ultérieures,examinez vos paramètres de concept existants pour vous assurer qu’ils correspondent toujours à vos besoins, etqu’ils fournissent les résultats escomptés.

Définitions de dictionnaireUn dictionnaire est un ensemble de mots ou d'expressions clés. Chaque entrée d'un dictionnaire se voit affecterun score.Les critères de classification de contenu et d'empreintes de contenu utilisent des dictionnaires spécifiés pourclasser un document lorsqu'un seuil prédéfini (le score total) a été dépassé, c'est-à-dire si suffisamment demots du dictionnaire s’affichent dans le document. Les scores affectés peuvent être négatifs ou positifs ; vouspouvez ainsi rechercher des mots ou des expressions associés à d'autres mots ou expressions.

Le score affecté constitue la différence entre un dictionnaire et une chaîne de définition de mot-clé.

• Une classification de mot clé marque toujours le document si l'expression est présente.

• Une classification de dictionnaire vous apporte plus de flexibilité. En effet, vous pouvez définir un seuillorsque vous appliquez la définition, ce qui rend la classification relative. Le seuil peut aller jusqu'à 1000.Vous pouvez également choisir comment les correspondances sont comptées : Compter les occurrencesmultiples incrémente le total à chaque correspondance, Compter chaque chaîne correspondante une seule foiscompte combien d'entrées du dictionnaire donnent une correspondance dans le document.

Le logiciel McAfee DLP comporte plusieurs dictionnaires intégrés, qui contiennent des termes courammentutilisés dans les secteurs de la santé, des banques, de la finance et autres. Vous pouvez également créer vospropres dictionnaires. Les dictionnaires peuvent être créés et modifiés manuellement ou par copier/coller àpartir d'autres documents.

LimitationsL'utilisation des dictionnaires comporte certaines limites. Les dictionnaires sont enregistrés au format Unicode(UTF-8) et peuvent donc être rédigés dans toutes les langues. Les descriptions suivantes s'appliquent auxdictionnaires rédigés en anglais. De manière générale, elles s'appliquent également aux autres langues, maisdes problèmes imprévus peuvent survenir pour certaines d'entre elles.

La recherche de correspondances dans le dictionnaire présente les caractéristiques suivantes :

• Elle n'est sensible à la casse que lorsque vous créez des entrées de dictionnaire qui le sont elles-mêmes. Lesdictionnaires intégrés, qui ont été créés avant l'ajout de cette fonctionnalité, ne sont pas sensibles à la casse.

• Il est possible que des correspondances soient éventuellement trouvées pour des sous-chaînes ou desexpressions complètes.

• Elle recherche les expressions correspondantes, espaces compris.

Si la recherche de sous-chaînes est définie, faites bien attention lorsque vous saisissez des mots courts, quirisquent de renvoyer des faux positifs. Par exemple, une entrée de dictionnaire comme « chat » signalerait lesmots « rachat » et « chatterton ». Pour éviter ces faux positifs, utilisez l'option de recherche decorrespondances par expressions complètes ou employez des expressions improbables d'un point de vue

4 Classification de contenu confidentielDes concepts aux définitions


https://support.google.com/a/answer/1371417?hl=en

statistique (SIP, Statistically Improbable Phrases) pour obtenir les meilleurs résultats. Les entrées similairesconstituent une autre source de faux positifs. Par exemple, dans une liste de maladies HIPAA, « cœliaque » et« maladie cœliaque » apparaissent comme des entrées séparées. Si la seconde expression apparaît dans undocument et que la recherche de sous-chaînes correspondantes est spécifiée, la recherche génère deuxoccurrences (une pour chaque entrée), ce qui fausse le score total.

Création ou importation d'une définition de dictionnaireUn dictionnaire est un ensemble de mots ou d'expressions clés. Chaque entrée d'un dictionnaire se voit affecterun score. Les scores permettent d'affiner les définitions de règles.

Vous pouvez créer une définition de dictionnaire en important un fichier dictionnaire au format CSV. Vouspouvez également importer des éléments avec un script contenant des appels d'API REST. L'administrateurexécutant le script doit être un utilisateur valide de McAfee ePO ayant les autorisations d'exécuter les actionsinvoquées par les API dans les Ensembles d'autorisations de McAfee ePO.

Meilleure pratique : les fichiers CSV de dictionnaire peuvent utiliser des colonnes multiples. Exportez undictionnaire pour comprendre comment les colonnes sont remplies avant de créer un fichier à importer.



2 Cliquez sur l'onglet Définitions.

3 Dans le volet gauche, cliquez sur Dictionnaire.

4 Sélectionnez Actions | Nouveau.


6 Ajoutez des entrées au dictionnaire.

Pour importer des entrées, procédez comme suit :

a Cliquez sur Importer des entrées.

b Entrez des mots ou des expressions, ou effectuez un couper-coller à partir d'un autre document.

La fenêtre textuelle est limitée à 20 000 lignes de 50 caractères par ligne.

c Cliquez sur OK.

Toutes les entrées ont un score par défaut de 1.

d Si nécessaire, mettez à jour ce score par défaut en cliquant sur le bouton Modifier correspondant àl'entrée.

e Sélectionnez les colonnes Débute par, Se termine par et Sensible à la casse selon vos besoins.

Les colonnes Débute par et Se termine par permettent d'entrer des correspondances de sous-chaînes.

Pour créer manuellement des entrées, procédez comme suit :

a Entrez la phrase et le score.

b Sélectionnez les colonnes Débute par, Se termine par et Sensible à la casse selon vos besoins.

c Cliquez sur Ajouter.




Créer une définition de dictionnaire basée sur un mot-cléCréer une définition de dictionnaire basée sur des mots-clés

Procédure1 Dans McAfee ePO, accédez à Classification- | Définitions | Dictionnaire et cliquez sur Action | Nouveau.

2 Donnez au dictionnaire un nom et une description facultative, puis cliquez sur Action | Ajouter.

3 Dans Expression, saisissez le mot sécurité, puis définissez le Score sur 1 et sélectionnez Sensible à la cassepour mettre en correspondance le mot-clé uniquement lorsqu’il est en minuscules.

4 Cliquez sur Ajouter, puis cliquez sur Enregistrer.

5 Sélectionnez Classification | Nouvelle classification. Donnez un nom à la classification, ajoutez une descriptionfacultative et cliquez sur OK.

6 Sélectionnez la classification nouvellement créée, puis cliquez sur Action | Nouveau critère de classification decontenu.

7 Sélectionnez le dictionnaire et utilisez la comparaison (OU/ET/NON).

8 Cliquez sur (...). Sélectionnez le dictionnaire que vous venez de créer, donnez-lui un seuil de 10 et cliquez surOK.

9 Affectez la classification à une règle pour déclencher la classification.

Définitions de modèle avancéLes modèles avancés utilisent des expressions régulières qui permettent de mettre en correspondance desmodèles complexes, comme dans des numéros de sécurité sociale ou des numéros de cartes de crédit. Lesdéfinitions utilisent la syntaxe d'expression régulière Google RE2.

Les définitions de modèle avancé comportent un score (obligatoire), comme les définitions de dictionnaire. Ellespeuvent également contenir un programme de validation, c'est-à-dire un algorithme utilisé pour tester desexpressions régulières. L'utilisation du programme de validation adapté peut réduire de façon significative lesrisques de faux positifs. La définition peut contenir une section Expressions ignorées pour réduire davantageles risques de faux positifs. Les expressions ignorées peuvent être des expressions régulières ou des mots clés.Vous pouvez importer plusieurs mots clés pour accélérer la création des expressions.

Lorsque vous définissez un modèle avancé, vous pouvez choisir comment les correspondances sont comptées :Compter les occurrences multiples incrémente le total à chaque correspondance, Compter chaque chaîne correspondanteune seule fois compte combien de modèles définis donnent une correspondance exacte dans le document.

Les modèles avancés signalent le texte confidentiel. Les modèles de texte confidentiel sont mis en évidence parle biais du surlignage de correspondances.

Si un modèle détecté et un modèle ignoré sont spécifiés, le modèle ignoré est prioritaire. Vous pouvez ainsispécifier une règle générale et y ajouter des exceptions sans devoir la réécrire.

Créer une définition basée sur un modèle avancéLes modèles avancés permettent de définir les classifications. Une définition de modèle avancé peut consisteren une expression unique ou en une combinaison d'expressions et de définitions de faux positif.

Les modèles avancés sont définis à l'aide d'expressions régulières (regex).

Il n’y a pas d’équivalent aux options Percentage match (Pourcentage de correspondance), Proximity (Proximité) etNumber of bytes from the beginning (Nombre d’octets depuis le début) dans McAfee DLP 10.x.





2 Sélectionnez l'onglet Définitions, puis Modèle avancé dans le volet de gauche.

Pour afficher uniquement les modèles avancés définis par l'utilisateur, décochez la case Inclure des élémentsintégrés. Les modèles définis par l'utilisateur sont les seuls qui peuvent être modifiés.

Les modèles disponibles s'affichent dans le volet de droite.



5 Sous Expressions en correspondance :

a Entrez une expression dans la zone de texte et ajoutez une description facultative.

b Sélectionnez un programme de validation dans la liste déroulante ou, si la validation n’est pas nécessairepour l’expression, sélectionnez Aucune validation.

Un programme de validation est identique à un algorithme dans McAfee DLP 9.3.x. Il permet de réduire lesfaux positifs.

c Entrez un nombre dans le champ Score pour indiquer la pondération de l’expression lors de la mise encorrespondance du seuil.

d Cliquez sur Ajouter.

6 Sous Expressions ignorées :

a Saisissez une expression dans la zone de texte.

Si des modèles de texte sont stockés dans un document externe, copiez-les dans la définition en utilisantImporter des entrées.

b Dans le champ Type, sélectionnez Expression régulière dans la liste déroulante si la chaîne est uneexpression régulière, ou Mot-clé s'il s'agit de texte.

Les expressions de mots-clés peuvent également être ajoutées à l’aide de Importer des mots-clés, en entrantdes mots-clés séparés par une nouvelle ligne.

c Cliquez sur Ajouter.

7 Ajoutez le compte au concept :

a Donnez à toutes les expressions un score de 1.

b Lorsque vous affectez le dictionnaire à la classification, donnez au seuil la même valeur que celle que leparamètre du compte avait dans McAfee DLP 9.3.x.

c Sélectionnez compter les occurrences multiples de chaque chaîne correspondante, si le score doit être cumulé encas d'occurrences multiples d’une expression unique dans un document.

d Sélectionnez compter chaque chaîne correspondante une seule fois si le score ne doit pas être cumulé et doitrester à la valeur un, même si plusieurs occurrences d’une expression unique sont présentes dans undocument.



e Sélectionnez commence par et se termine par pour voir si le document commence ou se termine parl’expression, ou sélectionnez les deux options pour rechercher l’expression partout dans le document.

f Pour une correspondance sur le nombre de lignes depuis le début du document, vous pouvez créer unenouvelle expression régulière à l’aide de conditions telles que inférieur à, égal à ou supérieur à.


Créer une définition basée sur une expression régulièreBloquez un document qui a un numéro de carte bancaire au format xxxx-xxxx-xxxx-xxxx, où x est un chiffre (de0 à 9) qui apparaît plus de 10 fois.


1 Dans McAfee ePO, accédez à Classification | Définitions | Modèle avancé, puis cliquez sur Actions | Nouveau.

2 Entrez un nom pour le modèle avancé et ajoutez une description facultative.

3 Entrez l’expression sous la forme \d{4}(-|\s) \d {4} (-| \s) \d {4} (-| \s) \d {4} \D,sélectionnez Luhn10 en tant que programme de validation, et donnez-lui un score de 1.

4 Spécifiez les numéros de carte bancaire à ignorer.

5 Cliquez sur Ajouter, puis cliquez sur Enregistrer.

6 Sélectionnez Classification | Nouvelle classification, entrez un nom pour la classification et ajoutez unedescription facultative, puis cliquez sur OK.

7 Sélectionnez la classification et sélectionnez Action | Nouveau critère de classification de contenu, puis cliquez surModèle avancé et sélectionnez la comparaison (OU/ET/NON).

8 Cliquez sur (...), sélectionnez le modèle que vous venez de créer et donnez-lui un seuil de 10, puis cliquez surOK.

9 Affectez la classification à une règle.

Création d'une définition de classification généraleCréez et configurez des définitions pour les classifications et les règles.



2 Sélectionnez le type de définition à configurer, puis sélectionnez Actions | Nouveau.

3 Attribuez un nom à la définition et configurez-en les options et les propriétés.

Les options et les propriétés disponibles dépendent du type de définition.




5 Protection avec des règles, jeux de règles etstratégies

McAfee DLP 10.x et versions ultérieures utilise des règles pour inspecter les données et le trafic et prendre desmesures de protection quand il détecte des violations de règle. Les règles sont groupées dans des jeux de règles.

Règles

Les conditions de règle définissent ce qui déclenche la règle. Selon le type de règle, les conditions comprennentdes classifications, des définitions de règle et d’autres critères. Par exemple, vous pouvez créer une règle quisurveille si un groupe spécifique d’utilisateurs envoie certains documents confidentiels de la société en tant quepièces jointes d’e-mail.

Les exceptions définissent les paramètres exclus de la règle. Vous pouvez souhaiter bloquer l’accès d’un siteweb à la plupart des utilisateurs, mais autoriser l’accès à un groupe d’utilisateurs spécifique à titre d’exception.

Jeux de règles

Pour recréer les stratégies que vous avez utilisées dans DLP Manager, vous devez créer des jeux de règles dansMcAfee DLP 10.x et versions ultérieures. Vos règles sont regroupées en jeux de règles. Si vous avez plusieursproduits McAfee DLP, vous pouvez combiner tous les types de règles en un seul jeu de règles.

Stratégie

Les stratégies dans McAfee DLP 10.x et versions ultérieures sont des ensembles de définitions, classifications etrègles qui définissent la manière dont les produits McAfee DLP protègent vos données.

Sommaire Réactions et définitions de règles McAfee DLP Prevent Création d'une règle Création d'un jeu de règles Création d'une définition de liste d'adresses e-mail Création d'un intervalle d'adresses réseau Création d'une définition de liste d'URL Création d'un intervalle de ports réseau Créer une stratégie Affecter une stratégie à une appliance McAfee DLP Prevent Scénario d'utilisation - Bloquer les messages sortants qui comportent du contenu confidentiel, sauf s'ils sont

envoyés à un domaine spécifié Cas d’utilisation : localiser les violations de droits de propriété intellectuelle Scénario d'utilisation : empreintes basées sur l'application

5


Réactions et définitions de règles McAfee DLP PreventMcAfee DLP Prevent fonctionne avec les règles de protection de la messagerie et de protection web de McAfee DLP

Réactions

McAfee DLP Prevent peut effectuer ces actions lorsque des règles sont déclenchées.

Type de règle Réaction Description

Indifférent Aucune action Autorise le trafic ou l’action.

Signaler l'incident Génère un incident signalant la violation.

Protection web Stocker le fichierd'origine commepreuve

Stocke le fichier qui a déclenché la règle sur le partage de preuve.Vous pouvez afficher les preuves dans les détails de l’incident.

Notificationutilisateur

Notifie l’utilisateur de la violation.

Bloquer Empêche l’utilisateur d’accéder au site web.

Protection de lamessagerie

Ajouter l'en-têteX-RCIS-Action

Les actions suivantes sont disponibles :• SCANFAIL : messages ne pouvant être analysés.

• BLOCK : bloque le message.

• QUART : met en quarantaine le message.

• ENCRYPT : chiffre le message.

• BOUNCE : remet un message de non-remise (NDR) à l’expéditeur.

• REDIR : redirige le message.

• NOTIFY : notifie le personnel de surveillance.

• ALLOW : autorise la diffusion du message. La valeur ALLOW(Autoriser) est ajoutée automatiquement à tous les messagesdans lesquels aucun contenu n'est détecté par la règle.

Stocker l'e-maild'origine commepreuve

Stocke l’e-mail qui a déclenché la règle sur le partage de preuve.Vous pouvez afficher les preuves dans les détails de l’incident.

Les réactions de règle ne s’appliquent pas à McAfee DLP Monitor.

Définitions de règles

Comme pour les classifications, les définitions de règles spécifient une condition dans la règle. McAfee DLPPrevent utilise ces définitions de règles :

• Liste des adresses e-mail • Port réseau

• Groupe d'utilisateurs finaux • Extension de fichier

• Liste d'URL • Modèle d'application

• Notification utilisateur • Liste des noms de fichiers

• Adresse réseau

5 Protection avec des règles, jeux de règles et stratégiesRéactions et définitions de règles McAfee DLP Prevent


Création d'une règleLe processus de création d'une règle est identique pour tous les types de règles.



2 Cliquez sur l'onglet Jeux de règles.

3 Cliquez sur le nom d'un jeu de règles et si nécessaire, sélectionnez l'onglet approprié pour la règle deprotection des données, de contrôle des équipements ou de découverte.

4 Sélectionnez Actions | Nouvelle règle, puis sélectionnez le type de règle.

5 Dans l'onglet Condition, saisissez les informations.

• Pour certaines conditions, telles que les classifications ou les éléments de modèle d'équipement, cliquezsur ... pour sélectionner un élément existant ou en créer un nouveau.

• Pour ajouter des critères, cliquez sur +.

• Pour supprimer des critères, cliquez sur –.

6 (Facultatif) Pour ajouter des exceptions à la règle, cliquez sur l’onglet Exceptions.

a Sélectionnez Actions | Ajouter une exception à la règle.

Les règles d'équipement n'affichent pas de bouton Actions. Pour ajouter des exceptions aux règlesd'équipement, sélectionnez une entrée dans la liste affichée.

b Renseignez les champs si nécessaire.

7 Sous l'onglet Réaction, configurez les options Action, Notification utilisateur et Signaler l'incident.

Les règles peuvent avoir différentes actions, selon que l'ordinateur client se trouve dans le réseau del'entreprise. Certaines règles peuvent également avoir une action différente lorsque l'ordinateur estconnecté au réseau de l'entreprise par VPN.


Création d'un jeu de règlesLes jeux de règles combinent la protection multi-équipements, la protection des données et les règles d'analysede découverte.




3 Sélectionnez Actions | Nouveau jeu de règles

4 Entrez le nom et éventuellement une remarque, puis cliquez sur OK.

Protection avec des règles, jeux de règles et stratégiesCréation d'une règle 5


Création d'une définition de liste d'adresses e-mailLes définitions de liste d'adresses e-mail sont des domaines de messagerie prédéfinis ou des adresses e-mailspécifiques qui peuvent être indiqués dans les règles de protection de la messagerie.

Pour bénéficier d'une meilleure granularité dans les règles de protection de la messagerie, vous pouvez incluredes adresses e-mail et en exclure d'autres. Assurez-vous de créer les deux types de définitions.

Meilleure pratique : pour des combinaisons d'opérateurs que vous utilisez souvent, ajoutez plusieurs entrées àune même définition de liste d'adresses e-mail.

Vous pouvez importer des listes d'adresses e-mail au format CSV. Vous pouvez également importer deséléments avec un script contenant des appels d'API REST. L'administrateur exécutant le script doit être unutilisateur valide de McAfee ePO ayant les autorisations d'exécuter les actions invoquées par les API dans lesEnsembles d'autorisations de McAfee ePO.

Meilleure pratique : les fichiers CSV de liste d’adresses e-mail peuvent utiliser des colonnes multiples. Avant decréer un fichier pour importation, exportez une liste d’adresses, afin de comprendre comment les colonnes sontrenseignées.

Les définitions de valeur de messagerie prennent en charge les caractères génériques et permettent de définirdes conditions. *@intel.com est un exemple de condition définie avec un caractère générique. Le fait decombiner une condition de liste d'adresses et un groupe d'utilisateurs dans une règle en augmente lagranularité.


1 Dans McAfee ePO, sélectionnez Menu | Protection des données | Gestionnaire de stratégies DLP | Définitions.

2 Dans le volet gauche, sélectionnez Liste des adresses e-mail, puis Actions | Nouveau.


4 Dans la liste déroulante, sélectionnez un opérateur.

Lorsque vous définissez des opérateurs à l'aide de l'option Adresses e-mail, le champ Valeur prend en chargeles caractères génériques.

Les règles de protection de la messagerie mises en œuvre sur McAfee DLP Prevent ou sur McAfee DLPMonitor ne recherchent pas de correspondance avec les opérateurs Nom d'affichage.

5 Saisissez une valeur, puis cliquez sur Ajouter.

6 Cliquez sur Enregistrer lorsque vous avez terminé d'ajouter des adresses e-mail.

Création d'un intervalle d'adresses réseauLes intervalles d'adresses réseau servent de critères de filtrage dans les règles de protection descommunications réseau.

5 Protection avec des règles, jeux de règles et stratégiesCréation d'une définition de liste d'adresses e-mail


ProcédurePour chaque définition requise, effectuez les étapes 1 à 4 : Pour davantage d'informations au sujet desfonctionnalités du produit, de son utilisation et des meilleures pratiques, cliquez sur ? ou sur Aide.


2 Dans le volet gauche, sélectionnez Adresse réseau (adresse IP), puis cliquez sur Actions | Nouveau.

3 Entrez un nom unique pour la définition et éventuellement une description.

4 Entrez une adresse, un intervalle d'adresses ou un sous-réseau dans la zone de texte. Cliquez sur Add(Ajouter).

Des exemples correctement formatés apparaissent sur la page.

Seules les adresses IPv4 sont prises en charge. Si vous entrez une adresse IPv6, le message indiqueL'adresse IP n'est pas valide, sans préciser que ces adresses ne sont pas prises en charge.

5 Lorsque vous avez entré toutes les définitions requises, cliquez sur Enregistrer.

Création d'une définition de liste d'URLLes définitions de liste d'URL permettent de définir des règles de protection web. Elles s'ajoutent aux règles entant que conditions Adresse web (URL).

Vous pouvez créer une définition de liste d'URL en important la liste au format CSV. Vous pouvez égalementimporter des éléments avec un script contenant des appels d'API REST. L'administrateur exécutant le script doitêtre un utilisateur valide de McAfee ePO ayant les autorisations d'exécuter les actions invoquées par les APIdans les Ensembles d'autorisations de McAfee ePO.

Meilleure pratique : les fichiers CSV de liste d’URL peuvent utiliser des colonnes multiples. Avant de créer unfichier pour importation, exportez une liste d’URL, afin de comprendre comment les colonnes sont renseignées.

ProcédurePour chaque URL requise, effectuez les étapes 1 à 4 : Pour davantage d'informations au sujet desfonctionnalités du produit, de son utilisation et des meilleures pratiques, cliquez sur ? ou sur Aide.


2 Dans le volet gauche, sélectionnez la liste d'URL, puis sélectionnez Actions | Nouveau.

3 Indiquez un nom unique et éventuellement une définition.

4 Effectuez l'une des actions suivantes :

• Entrez les informations de protocole, d'hôte, de port et de chemin d'accès dans les zones de textecorrespondantes, puis cliquez sur Ajouter.

• Collez une URL dans la zone de texte Coller l'URL, puis cliquez sur Effectuer une analyse syntaxique et surAjouter.

Les champs d'URL sont remplis par le logiciel.

5 Lorsque toutes les URL requises ont été ajoutées à la définition, cliquez sur Enregistrer.

Protection avec des règles, jeux de règles et stratégiesCréation d'une définition de liste d'URL 5


Création d'un intervalle de ports réseauLes intervalles de ports réseau servent de critères de filtrage dans les règles de protection des communicationsréseau.



2 Dans le volet gauche, sélectionnez Port réseau, puis cliquez sur Actions | Nouveau.

Vous pouvez également modifier les définitions intégrées.

3 Saisissez un nom unique et éventuellement une description.

4 Entrez les numéros de port, en les séparant par des virgules, et ajoutez éventuellement une description,puis cliquez sur Add (Ajouter).

5 Lorsque vous avez ajouté tous les ports requis, cliquez sur Enregistrer.

Créer une stratégie


1 Cliquez sur Menu | Stratégie | Catalogue de stratégies, sélectionnez la catégorie Gestion des appliances DLP, puiscliquez sur Nouvelle stratégie.

2 Sélectionnez la stratégie à dupliquer, saisissez un nom pour la nouvelle stratégie, puis cliquez sur OK.

La stratégie s'affiche dans le Catalogue de stratégies.

3 Sélectionnez le nom de la nouvelle stratégie pour ouvrir l’assistant Paramètres de stratégie.

4 Modifiez les paramètres de stratégie, puis cliquez sur Enregistrer.

Affecter une stratégie à une appliance McAfee DLP Prevent

Avant de commencer• Règle de protection de la messagerie ou de protection web mise en œuvre sur McAfee DLP

Prevent

• Jeu de règles

• Stratégie McAfee DLP Prevent

affectée à un jeu de règles.

5 Protection avec des règles, jeux de règles et stratégiesCréation d'un intervalle de ports réseau



1 Dans McAfee ePO, ouvrez la stratégie que vous avez créée.

2 Sélectionnez Actions | Jeu de règles actif, puis sélectionnez le jeu de règles dans la liste et cliquez sur OK.

3 Cliquez sur Menu | Systèmes | Arborescence des systèmes | Stratégies affectées, puis sélectionnez un groupe dansl’Arborescence des systèmes .

4 Sélectionnez le produit en tant que Gestion des appliances DLP.

Toutes les stratégies affectées s'affichent dans le volet de détails, organisées par produit.

5 Cliquez sur le lien Modifier l’affectation pour obtenir la catégorie Stratégie DLP.

6 Sélectionnez Bloquer l’héritage et affecter la stratégie et les paramètres ci-dessous et remplacez la stratégie affectéepar la stratégie que vous avez créée.


Scénario d'utilisation - Bloquer les messages sortants qui comportentdu contenu confidentiel, sauf s'ils sont envoyés à un domaine spécifié

Les messages sortants sont bloqués s'ils contiennent le mot Confidentiel, sauf si le destinataire est exempté dela règle.

Tableau 5-1 Comportement attendu

Contenu de l'e-mail Destinataire Résultat attendu

Corps : Confidentiel [email protected] Le message est bloqué car il contient le mot« Confidentiel ».

Corps : Confidentiel [email protected] Le message n'est pas bloqué, car les paramètresd'exception indiquent que les documentsconfidentiels peuvent être envoyés àexemple.com

Corps :Pièce jointe :Confidentiel

[email protected][email protected]

Le message est bloqué parce que l'un desdestinataires n'est pas autorisé à le recevoir.


1 Créez une définition de liste d'adresses e-mail pour un domaine exempté de la règle.

a Dans la section Protection de données de McAfee ePO, sélectionnez Gestionnaire de stratégies DLP et cliquez surDéfinitions.

b Sélectionnez la définition Liste des adresses e-mail et créez une copie de Domaine e-mail de mon entreprise(intégré).

c Sélectionnez la définition d'adresse e-mail que vous avez créée et cliquez sur Modifier.

Protection avec des règles, jeux de règles et stratégiesScénario d'utilisation - Bloquer les messages sortants qui comportent du contenu confidentiel, sauf s'ils sont envoyés à un domaine spécifié 5


d Dans Opérateur, sélectionnez Le nom de domaine est et définissez la valeur sur exemple.com.

e Cliquez sur Enregistrer.

2 Créez un jeu de règles avec une règle de protection de la messagerie.

a Cliquez sur Jeux de règles, puis sélectionnez Actions | Nouveau jeu de règles.

b Nommez le jeu de règles Blocage Confidentiel dans les e-mails.

c Créez une copie de la classification intégrée Confidentiel.

Une copie modifiable de la classification s'affiche.

d Cliquez sur Actions | Nouvelle règle | Règle de protection de la messagerie.

e Nommez la nouvelle règle Blocage Confidentiel et activez-la.

f Appliquez la règle sur DLP Endpoint pour Windows et DLP Prevent.

g Sélectionnez la classification que vous avez créée et ajoutez-la à la règle.

h Définissez le destinataire sur n'importe quel destinataire (TOUS).

Gardez les valeurs par défaut pour les autres paramètres de l'onglet Condition.

3 Ajoutez des exceptions à la règle.

a Cliquez sur Exceptions, puis sélectionnez Actions | Ajouter une exception à la règle.

b Attribuez un nom à l'exception et activez-la.

c Définissez la classification sur Confidentiel.

d Définissez l'option Destinataire sur au moins un destinataire appartient à tous les groupes (ET), puis sélectionnez ladéfinition de liste d'adresses e-mail que vous avez créée.

4 Configurez la réaction aux messages qui contiennent le mot Confidentiel.

a Cliquez sur Réaction.

b Dans DLP Endpoint, configurez l'action sur Bloquer pour les ordinateurs connectés ou non au réseau del'entreprise.

c Dans DLP Prevent, sélectionnez l'option Ajouter l'en-tête X-RCIS-Action, puis cliquez sur la valeur Bloquer.

5 Enregistrez et appliquez la stratégie.

Cas d’utilisation : localiser les violations de droits de propriétéintellectuelle

Votre entreprise a perdu des droits de propriété intellectuelle et que vous pensez que la fuite provient d'unepersonne à un emplacement spécifique de bureau. Vous pouvez créer des paramètres de règle qui recherchentles documents divulgués et l’employé suspecté, puis surveiller leurs activités pour monter un dossier juridiqueet empêcher toute autre fuite de données.

Avant de commencerVous devez disposer d’un serveur Active Directory et connecter McAfee® Logon Collector à McAfeeDLP. Pour plus d'informations, reportez-vous au Guide produit de McAfee Data Loss Prevention.

5 Protection avec des règles, jeux de règles et stratégiesCas d’utilisation : localiser les violations de droits de propriété intellectuelle



1 Dans McAfee ePO, sélectionnez Menu | Protection des données | Gestionnaire de stratégies DLP | Jeux de règles .

2 Vous pouvez modifier une règle existante, ou sélectionnez Actions | Nouveau jeu de règles pour en créer une.

3 Sélectionnez un jeu de règles, cliquez sur Actions | Nouvelle règle, puis sélectionnez le type de règle.

4 Entrez un nom de règle, un état et une gravité pour la règle.

5 Ajoutez un critère de classification qui décrit les droits de propriété intellectuelle perdus. Sélectionnez uneclassification existante ou ajoutez-en une.

6 Ajoutez un critère de classification qui décrit les droits de propriété intellectuelle perdus.

a Cliquez sur Menu | Protection des données | Classification.

b Sélectionnez la classification et cliquez sur Actions | Nouveau critère de classification de contenu.

c Ajoutez des conditions qui décrivent les droits de propriété intellectuelle perdus.

Par exemple, vous pouvez ajouter des mots-clés, une expression exacte disponible dans les documentsdivulgués, un type de fichier ou un concept.

7 Revenez au Gestionnaire de stratégies DLP et sélectionnez l’onglet Définitions.

8 Ouvrez la catégorie Source/Destination et ajoutez une destination qui puisse identifier les destinataires desdonnées.

Par exemple, vous pouvez avoir des adresses IP, des domaines ou des emplacements géographiques quipeuvent vous aider à définir le destinataire.


La règle récupère ensuite des incidents.

10 Examinez la page Détails de l’incident pour vérifier que la règle récupère des incidents.

11 Dans l’onglet Réaction, sélectionnez Ajouter un en-tête X-RCIS-Action dans la liste déroulante dans la sectionMcAfee DLP Prevent, puis sélectionnez Bloquer, Mettre en quarantaine, Rediriger ou Notifier.

Scénario d'utilisation : empreintes basées sur l'applicationVous pouvez classer un contenu comme sensible selon l'application qui l'a produit.

Dans certains cas, le contenu peut être classé comme confidentiel par l'application qui le produit. Les cartesmilitaires « top secret » sont un exemple. Ce sont des fichiers JPEG, généralement produits par une applicationSIG spécifique à l'US Air Force. En sélectionnant cette application dans la définition des critères d'empreintes,tous les fichiers JPEG produits par l'application sont marqués comme confidentiels. Les fichiers JPEG produitspar d'autres applications ne sont pas marqués.

Protection avec des règles, jeux de règles et stratégiesScénario d'utilisation : empreintes basées sur l'application 5




2 Dans l'onglet Définitions, sélectionnez Modèle d'application, puis Actions | Nouveau.

3 Entrez un nom, par exemple Application SIG et une description facultative.

4 À l’aide d’une ou plusieurs propriétés dans la liste Propriétés disponibles, définissez l’application SIG, puiscliquez sur Enregistrer.

5 Sous l'onglet Classification, cliquez sur Nouvelle classification et entrez un nom, par exemple, Application SIGet éventuellement une définition. Cliquez sur OK.

6 Sélectionnez Actions | Nouveau critère d’identification par empreinte | Application pour ouvrir la page des critèresd’identification par empreinte des applications.

7 Dans le champ Nom, attribuez un nom au marqueur, par exemple Marqueur SIG.

8 Dans le champ Applications, sélectionnez l'application SIG créée à l'étape 1.

9 Dans la liste Propriétés disponibles | Conditions de fichier, sélectionnez Type de fichier vrai, puis dans le champ Valeur,sélectionnez Fichiers graphiques [intégrés].

La définition intégrée inclut le type JPEG, ainsi que d’autres types de fichiers graphiques. En sélectionnantune application ainsi qu’un type de fichier, seuls les fichiers JPEG produits par l’application sont inclus dansla classification.

10 Cliquez sur Enregistrer, puis sélectionnez Actions | Enregistrer la classification.

La classification est prête à être utilisée dans les règles de protection.

5 Protection avec des règles, jeux de règles et stratégiesScénario d'utilisation : empreintes basées sur l'application


6 Analyse des données avec McAfee DLPDiscover 10.x

Sommaire Types de référentiel Types d'analyse Création de définitions d'analyse Créer une analyse de classification Création de règles pour les analyses de correction Cas d’utilisation : planifier une analyse et filtrer les résultats Cas d’utilisation : créer une analyse unique qui s’exécute jusqu'à la fin

Types de référentielMcAfee DLP Discover 10.x fonctionne avec les référentiels CIFS, SharePoint et Box.

Référentiels CIFS

Lorsque vous définissez un référentiel CIFS, le chemin d'accès UNC peut être le nom de domaine complet(FQDN) (\\monserveur1.mondomaine.com) ou le nom de l'ordinateur local (\\monserveur1). Vous pouvezajouter les deux conventions à une même définition.

Référentiels SharePoint

Lorsque vous définissez un référentiel SharePoint, le nom d'hôte est l'URL du serveur sauf si le mappage desaccès de substitution (AAM) est configuré sur le serveur. Pour plus d'informations sur l'AAM, reportez-vous à ladocumentation Microsoft relative à SharePoint.

Référentiels Box

Lorsque vous définissez un référentiel Box, obtenez l'ID client et la clé secrète client à partir du site web Box.

6


Types d'analyseMcAfee DLP Discover 10.x effectue des analyses d’inventaire, de classification et de correction.

Analyse d’inventaire

• Collecte les métadonnées, mais ne télécharge aucun fichier

• Renvoie des compteurs de traitement analytique en ligne (OLAP) et l'inventaire des données (liste desfichiers analysés)

• Restaure l'heure du dernier accès aux fichiers analysés

Analyse de classification

• Recueille les mêmes métadonnées qu'une analyse d'inventaire

• Analyse le type de fichier vrai en se fondant sur le contenu du fichier plutôt que sur l'extension

• Collecte des données sur les fichiers qui correspondent à la classification configurée

• Restaure l'heure du dernier accès aux fichiers analysés

Analyse de correction

Les analyses de correction appliquent des règles pour protéger le contenu confidentiel du référentiel analysé.Lorsqu’un fichier correspond à la classification dans une analyse de correction, McAfee DLP Discover peut :

• Générer un incident

• Stocker le fichier original dans le serveur de preuve

• Copier le fichier

• Déplacer le fichier

• Appliquer une stratégie de gestion des droits au fichier

• (Analyses Box uniquement) Modifier le partage anonyme sur la connexion requise

• Ne prendre aucune mesure

Analyses d’enregistrement

Création de définitions d'analyseToutes les analyses requièrent une définition pour spécifier le référentiel, les informations d'identification et laplanification.

Avant de commencerVous devez disposer du nom d'utilisateur, du mot de passe et du chemin d'accès pour le référentiel.

Meilleure pratique : les définitions facultatives d’informations sur le fichier sont utilisées pour définir des filtresd’analyse. Ces filtres vous permettent d'analyser des référentiels de façon plus précise en définissant les fichiers àinclure et les fichiers à exclure.

6 Analyse des données avec McAfee DLP Discover 10.xTypes d'analyse



1 Dans McAfee ePO, sélectionnez Menu | Protection des données | DLP Discover, puis cliquez sur l’onglet Définitions.

2 Créez une définition d'informations d'identification.

a Dans le volet gauche, sélectionnez Autres | Informations d’identification.

b Attribuez un nom unique à la définition.

Les champs Description et Nom de domaine sont facultatifs. Tous les autres champs sont obligatoires. Sil'utilisateur est un utilisateur de domaine, indiquez le suffixe du domaine dans le champ Nom de domaine.Si l'utilisateur est un utilisateur de groupe de travail, utilisez le nom de l'ordinateur local.

c Pour les référentiels de domaine Windows, cliquez sur Tester les informations d'identification afin de vérifier lenom d’utilisateur et le mot de passe auprès de McAfee ePO. Cela ne teste pas les informationsd'identification auprès du serveur McAfee DLP Discover.

3 Créez une définition de référentiel.

a Dans le volet gauche, sous Référentiels, sélectionnez le type du nouveau référentiel à créer.

b Sélectionnez Actions | Nouveau, saisissez un nom de référentiel unique dans le champ Nom, et remplissezles informations Type et Définitions.


4 Créez une définition de planificateur.

a Dans le volet gauche, sélectionnez Autres | Planificateur.

b Sélectionnez Actions | Nouveau et renseignez les paramètres du planificateur.


5 (Facultatif) Créez une définition d'informations sur le fichier.

a Dans le volet gauche, sélectionnez Données | Informations sur le fichier .

b Sélectionnez Actions | Nouveau et remplacez le nom par défaut par un nom unique pour la définition.

c Sélectionnez les propriétés à utiliser comme filtres et indiquez les informations de comparaison et devaleur.

d Cliquez sur Enregistrer.

Créer une analyse de classificationLes analyses de classification collectent des données de fichiers en fonction de classifications définies. Ellespermettent d'analyser des systèmes de fichiers afin d'en protéger les données confidentielles à l'aide d'uneanalyse de correction.

En modifiant le type d’analyse, vous pouvez également créer des analyses de correction et d’inventaire.

Analyse des données avec McAfee DLP Discover 10.xCréer une analyse de classification 6



1 Dans McAfee ePO, sélectionnez Menu | Protection des données | DLP Discover.

2 Dans l'onglet Serveurs de découverte, sélectionnez Actions | Détecter les serveurs pour actualiser la liste.

Si cette liste est trop longue, vous pouvez définir un filtre pour la réduire.

3 Dans l'onglet Opérations d'analyse, sélectionnez Actions | Nouvelle analyse et sélectionnez le type du référentiel.

4 Entrez un nom unique et sélectionnez Type d’analyse : classification , puis sélectionnez une plate-forme deserveur et une planification.

5 Les serveurs de découverte doivent être prédéfinis. Vous pouvez sélectionner une planification définie ou encréer une.

6 (Facultatif) Définissez des valeurs pour Limitation, Liste des fichiers ou Traitement des erreurs à la place des valeurspar défaut.

7 Sélectionnez les référentiels à analyser.

a Dans l'onglet Référentiels, cliquez sur Actions Sélectionner les référentiels.

b Si nécessaire, indiquez les informations d'identification de chaque référentiel de la liste déroulante.

c (Facultatif) Dans l'onglet Filtres, sélectionnez Actions | Sélectionner les filtres pour indiquer les fichiers àinclure ou à exclure.

Par défaut, tous les fichiers sont analysés.

8 Sélectionnez les classifications pour l'analyse.

a Dans l’onglet Classifications, cliquez sur Actions | Sélectionner les classifications.

b Sélectionnez une ou plusieurs classifications dans la liste.


9 Cliquez sur Appliquer la stratégie.

Création de règles pour les analyses de correctionUtilisez des règles pour définir l'action à effectuer lorsqu'une analyse de correction détecte des fichiers quicorrespondent à des classifications




3 Si aucun jeu de règles n'est configuré, créez-en un.

a Sélectionnez Actions | Nouveau jeu de règles.

b Entrez le nom et éventuellement une remarque, puis cliquez sur OK.

6 Analyse des données avec McAfee DLP Discover 10.xCréation de règles pour les analyses de correction


4 Cliquez sur le nom du jeu de règles puis, le cas échéant, cliquez sur l'onglet Découverte.

5 Sélectionnez Actions | Nouvelle règle de découverte réseau, puis sélectionnez le type de règle.

6 Dans l'onglet Condition, configurez des classifications et des référentiels.

• Pour créer un élément, cliquez sur ....

• Pour ajouter des critères supplémentaires, cliquez sur +.

• Pour supprimer des critères, cliquez sur -.

7 (Facultatif) Dans l'onglet Exceptions, précisez les éléments à exclure du déclenchement de la règle.

8 Dans l'onglet Réaction, configurez la réaction. Les réactions disponibles dépendent du type de référentiel.


Cas d’utilisation : planifier une analyse et filtrer les résultatsPlanifiez une analyse qui s’exécute à intervalles réguliers.

Les analyses s’exécutent jusqu'à la fin, sauf si vous définissez une heure de fin. Si l’analyse est toujours en coursd’exécution au moment de l’intervalle planifié suivant, cette instance est ignorée et l’analyse recommence à cellequi suit.

Par exemple, si une analyse quotidienne sans heure de fin commence à s’exécuter le lundi à 9 h 00 et setermine 49 heures plus tard, elle redémarre le jeudi à 9 h 00


1 Créez une définition d’analyse et sélectionnez le Type de planification suivant : Exécuter immédiatement. Utilisezl’option Heure d’interruption pour spécifier une heure de fin pour l’analyse.

2 Dans McAfee ePO, sélectionnez Menu | Protection des données | DLP Discover.

3 Cliquez sur le lien Modifier en regard de la liste déroulante Filtrer.

4 Sélectionnez Fichiers analysés dans le volet gauche.

5 Entrez la comparaison, la valeur et d’autres paramètres tels que Fichiers estimés à analyser, Erreurs d’analyse etType d’analyse.

6 Vérifiez les résultats de l’analyse dans les onglets Analyse des données et Inventaire des données.

Cas d’utilisation : créer une analyse unique qui s’exécute jusqu'à la finPlanifiez une analyse qui s’exécute jusqu'à la fin.

Avant de commencerDéterminez le type de référentiel, les informations d'identification utilisées pour y accéder, ainsique le mode d'analyse qui correspond à la tâche.

Analyse des données avec McAfee DLP Discover 10.xCas d’utilisation : planifier une analyse et filtrer les résultats 6




2 Sélectionnez HIPAA dans le volet gauche, puis cliquez sur Actions | Dupliquer la classification.

3 Spécifiez les informations d'identification, le référentiel et la planification.

4 Créez l’analyse à l’aide de la classification et des définitions que vous avez créées.

5 Activez l’analyse :

a Activez la case à cocher correspondant aux analyses que vous souhaitez activer ou désactiver.

L'icône dans la colonne Etat indique si l'analyse est activée ou désactivée.

• Une icône bleue unie signifie que l’analyse est activée

• Une icône bleue et blanche signifie que l’analyse est désactivée

b Sélectionnez Actions | Changer l'état, puis sélectionnez Activé.

c Appliquez la stratégie.

6 Vérifiez les résultats de l’analyse dans les onglets Analyse des données et Inventaire des données.

6 Analyse des données avec McAfee DLP Discover 10.xCas d’utilisation : créer une analyse unique qui s’exécute jusqu'à la fin


7 Suivi et génération de rapports

McAfee DLP propose plusieurs fonctionnalités pour gérer les incidents, les cas et l’état de l’appliance.

• Utilisez la console Gestionnaire d'incidents DLP pour afficher et gérer les incidents créés lorsque des règlessont déclenchées.

• Utilisez la console Gestion des cas DLP pour afficher et gérer les incidents affectés à des cas.

• Utilisez la console Opérations DLP pour afficher les erreurs et les événements administratifs.

• Utilisez les cartes d’intégrité du système Gestion des appliances pour surveiller l’état de chacune de vosappliances McAfee DLP

• Utilisez les tableaux de bord McAfee DLP dans McAfee ePO pour récupérer les informations sur lesincidents.

Sommaire Incidents et cas Surveillance de l'état et de l'intégrité du système

Incidents et casIncident and case management are handled similarly between McAfee Network DLP 9.3.x and McAfee DLP 10.xand later.

Avec McAfee DLP 10.x et versions ultérieures, les incidents sont envoyés à l’analyseur d'événements McAfeeePO et stockés dans une base de données. Les incidents contiennent les détails concernant la violation etpeuvent éventuellement inclure des informations de preuve. Vous pouvez afficher les preuves et les incidentsdès leur réception dans la console Gestionnaire d'incidents DLP, qui comporte trois sections à onglets.

• Liste des incidents : liste en cours des événements de violation de stratégie. Les opérations suivantespeuvent être exécutées sur les incidents :

• Gestion des cas : créer des cas et ajouter des incidents sélectionnés à un cas

• Commentaires : ajouter des commentaires aux incidents sélectionnés

• Envoyer des événements par e-mail : envoyer des événements sélectionnés

• Exporter les paramètres de l’équipement : exporter les paramètres de l’équipement vers un fichier CSV(liste Données en utilisation/mouvement uniquement)

• Etiquettes : définir une étiquette pour filtrer par étiquette

• Rédaction de version : supprimer la rédaction pour afficher les champs protégés (requiert desautorisations adaptées)

• Définir les propriétés : modifier la gravité, l'état ou la résolution ; affecter un utilisateur ou un groupepour la révision des incidents

7


• Tâches relatives aux incidents : utilisez l’onglet Tâches relatives aux incidents ou Tâches d’événementsopérationnels pour définir les critères de tâches planifiées. Les tâches configurées sur les pages utilisent lafonctionnalité Tâches serveur de McAfee ePO pour planifier des tâches. Ces tâches peuvent égalementcomprendre l'affectation de réviseurs à des incidents, la configuration de notifications automatiques pare-mail et la purge de la totalité ou d'une partie de la liste.

• Historique des incidents : liste contenant l'ensemble des incidents historiques. La purge de la liste desincidents n'a aucun effet sur l'historique. Affiche les incidents historiques ou événements en fonction dessélections en cours. Les sélections peuvent être Afficher , Heure et Filtrer.

Lorsqu’une règle est déclenchée, cet incident est signalé à la console Gestionnaire d'incidents DLP. Utilisez cetteconsole pour afficher, trier et modifier des incidents. Le Gestionnaire d'incidents DLP affiche les incidents detous les produits McAfee DLP. Le type d’incidents affichés varie en fonction du champ Présent sélectionné.L’option Données en utilisation/mouvement inclut les incidents générés par McAfee DLP Prevent ou McAfee DLPMonitor.

Meilleure pratique : les incidents provenant de votre configuration McAfee Network DLP 9.3.x ne peuvent pasêtre migrés vers McAfee ePO, sauf si vous utilisiez la fonctionnalité gestion des incidents unifiée dans McAfeeePO. Si vous avez toujours besoin d’accéder à des incidents hérités, exécutez votre configuration McAfee NetworkDLP 9.3.x en parallèle avec McAfee DLP 10.x et versions ultérieures jusqu’à ce que les incidents hérités ne soientplus nécessaires.

Utilisez la console Gestion des cas DLP pour grouper les incidents liés à un cas, en vue d'une localisation et d'unexamen ultérieurs. Les cas permettent aux administrateurs de collaborer à la résolution des incidents liés. Dansde nombreux cas, un incident unique n'est pas un événement isolé. Le gestionnaire d'incidents DLP peutcontenir plusieurs incidents qui partagent des propriétés communes ou sont liés les uns aux autres. Vouspouvez affecter les incidents associés à un même dossier ou cas. Plusieurs administrateurs peuvent surveilleret gérer un dossier en fonction de leur rôle dans l'organisation.

Tri et filtrage des incidentsOrganisez l'affichage des incidents sur la base d'attributs tels que la date et l'heure, l'emplacement, l'utilisateurou la gravité.


1 Dans McAfee ePO, sélectionnez Gestionnaire d'incidents DLP.

2 Dans la liste déroulante Présent, sélectionnez Données en utilisation/mouvement.

3 Effectuez l'une des tâches suivantes :

• Pour effectuer un tri par colonne, cliquez sur un en-tête de colonne.

• Pour utiliser une vue personnalisée au lieu de colonnes, sélectionnez une vue personnalisée dans la listedéroulante Afficher.

• Pour filtrer par date et heure, sélectionnez un laps de temps dans la liste déroulante Date et heure.

• Pour appliquer un filtre personnalisé, sélectionnez-en un dans la liste déroulante Filtre.

• Pour regrouper par attribut :

1 Sélectionnez un attribut dans la liste déroulante Grouper par.

La liste des options disponibles s'affiche. La liste contient jusqu'à 250 options parmi les plusfréquemment utilisées.

2 Sélectionnez une option dans la liste. Les incidents correspondant à la sélection s'affichent.

7 Suivi et génération de rapportsIncidents et cas


Affichage des détails relatifs à un incidentAffichez les informations relatives à un incident.



2 Dans la liste déroulante Présent, sélectionnez l'option correspondant à votre produit.

3 Cliquez sur un ID d'incident.

Pour les incidents McAfee DLP Endpoint, McAfee DLP Monitor et McAfee DLP Prevent, la page affiche desdétails généraux et des informations sur la source. Selon le type d'incident, des détails relatifs à ladestination ou aux équipements apparaissent. Pour les incidents McAfee DLP Discover, la page affiche desdétails généraux sur l'incident.

4 Pour afficher des informations supplémentaires, effectuez l'une des tâches suivantes.

• Pour afficher des informations relatives à un utilisateur pour des incidents McAfee DLP Endpoint, cliquezsur son nom dans la zone Source.

• Pour afficher des fichiers de preuve :

1 Cliquez sur l'onglet Preuves.

2 Cliquez sur le nom d'un fichier pour l'ouvrir avec le programme adapté.

L'onglet Preuves affiche également la chaîne correspondante courte, qui contient jusqu'à trois surlignages decorrespondances sous forme de chaîne unique.

• Pour afficher les règles ayant déclenché l'incident, cliquez sur l'onglet Règles.

• Pour afficher des classifications, cliquez sur l'onglet Classifications.

L'onglet Classifications n'apparaît pas pour certains types d'incidents McAfee DLP Endpoint.

• Pour afficher l'historique des incidents, cliquez sur l'onglet Journal d'audit.

• Pour afficher les commentaires ajoutés à l'incident, cliquez sur l'onglet Commentaires.

• Pour envoyer les informations relatives aux incidents par e-mail, y compris les preuves déchiffrées et lesfichiers avec surlignage de correspondances, sélectionnez Actions | Envoyer les événements sélectionnés pare-mail.

• Pour revenir au gestionnaire d'incidents, cliquez sur OK.

Procédures• Modifier l’affichage, page 47

Outre l'utilisation des filtres permettant de modifier l'affichage, vous pouvez aussi personnaliser leschamps et l'ordre de l'affichage. Les affichages personnalisés peuvent être enregistrés et réutilisés.

Modifier l’affichageOutre l'utilisation des filtres permettant de modifier l'affichage, vous pouvez aussi personnaliser les champs etl'ordre de l'affichage. Les affichages personnalisés peuvent être enregistrés et réutilisés.

Une fois l'affichage enregistré, vous pouvez aussi enregistrer les filtres personnalisés et temporels. Lesaffichages enregistrés sont disponibles dans la liste déroulante en haut de la page.

Suivi et génération de rapportsIncidents et cas 7



1 Pour ouvrir la fenêtre Edit View (Modifier l’affichage), cliquez sur Actions (Actions) | View (Afficher) | ChooseColumns (Choisir les colonnes).

2 Pour déplacer des colonnes à gauche ou à droite, utilisez les icônes de flèches.

3 Utilisez l’icône x pour supprimer des colonnes.

4 Pour appliquer l'affichage personnalisé, cliquez sur Mettre à jour l'affichage.

5 Pour enregistrer en vue d'une utilisation ultérieure, cliquez sur Actions | Afficher | Enregistrer l’affichage.

Mise à jour d'un incident uniqueMettez à jour les informations relatives à un incident, telles que sa gravité, son état et son réviseur.

L'onglet Journal d'audit signale toutes les mises à jour et les modifications effectuées sur un incident.




3 Cliquez sur un incident.

La fenêtre de détails de l'incident s'ouvre.

4 Dans le volet Informations générales, effectuez l'une des tâches suivantes.

• Pour mettre à jour la gravité, l'état ou la résolution, procédez comme suit :

1 Sélectionnez une option dans la liste déroulante Gravité, Etat ou Résolution.


• Pour mettre à jour le réviseur, procédez comme suit :

1 En regard du champ Réviseur, cliquez sur ...

2 Sélectionnez le groupe ou l'utilisateur et cliquez sur OK.


• Pour ajouter un commentaire, procédez comme suit :

1 Sélectionnez Actions | Ajouter un commentaire.

2 Entrez un commentaire, puis cliquez sur OK.

Mise à jour de plusieurs incidentsMettez à jour plusieurs incidents avec les mêmes informations simultanément.

Exemple : vous avez appliqué un filtre pour afficher tous les incidents associés à une analyse ou un utilisateurparticulier et vous souhaitez définir la gravité de ces incidents sur Majeur.






3 Cochez les cases correspondant aux incidents à mettre à jour.

Pour mettre à jour tous les incidents affichés avec le filtre actuel, cliquez sur Tout sélectionner dans cette page.


• Pour ajouter un commentaire, sélectionnez Actions | Ajouter un commentaire, puis saisissez un commentaireet cliquez sur OK.

• Pour envoyer les incidents dans un e-mail, sélectionnez Actions | Envoyer les événements sélectionnés pare-mail, entrez les informations, puis cliquez sur OK.

Vous pouvez sélectionner un modèle ou créer un modèle en saisissant des informations et en cliquantsur Enregistrer.

• Pour exporter les incidents, sélectionnez Actions | Exporter les événements sélectionnés, entrez lesinformations, puis cliquez sur OK.

• Pour libérer la rédaction des incidents, sélectionnez Actions | Rédaction de version, entrez un nomd'utilisateur et un mot de passe, puis cliquez sur OK.

Vous devez disposer d'autorisations de rédaction de données pour pouvoir supprimer la rédaction.

• Pour modifier les propriétés, sélectionnez Actions | Définir les propriétés, modifiez les options, puis cliquezsur OK.

Créer des notifications par e-mailLe processus pour ajouter des notifications par e-mail est similaire pour Gestionnaire d'incidents DLP et OpérationsDLP.


1 Dans McAfee ePO, sélectionnez Menu | Protection des données | Gestionnaire d'incidents DLP ou Menu | Protectiondes données | Opérations DLP.

2 Sélectionnez soit Tâches relatives aux incidents, soit Tâches d’événements opérationnels, puis sélectionnez Notificationpar e-mail automatique.

Si vous choisissez Tâches relatives aux incidents, vous devez également sélectionner le type d’incident, tel queDonnées en utilisation/mouvement .

3 Cliquez sur Actions | Nouvelle règle et entrez un nom et une description facultative.

Les règles sont activées par défaut. Vous pouvez modifier ce paramètre pour retarder l'exécution de la règle.



4 Sélectionnez les événements à traiter, puis spécifiez les informations suivantes :

• Destinataires

• Objet

• Corps

A l’exception de Corps, ces champs sont obligatoires. Vous pouvez insérer des variables de la liste déroulanteselon vos besoins.

5 Ajoutez le texte du corps de l’e-mail.

6 (Facultatif pour le Gestionnaire d'incidents DLP) Cochez la case pour joindre les informations sur les preuves àl’e-mail.

7 Cliquez sur Suivant pour ajouter les critères de règle et leurs paramètres de comparaison et de valeur, puiscliquez sur Enregistrer.

Créer des casCréez un cas pour regrouper et examiner les incidents liés.


1 Dans McAfee ePO, sélectionnez Menu | Protection des données | Gestion des cas DLP.


3 Saisissez un nom de titre et configurez les options.

4 Cliquez sur OK.

Affecter un réviseurAffecter des réviseurs aux incidents et événements opérationnels. Les affectations peuvent être par groupe deréviseurs ou par réviseur individuel.

Utilisez la fonctionnalité Ensembles d’autorisations sous Gestion des utilisateurs pour créer des réviseurs.

Le processus pour définir des réviseurs est similaire pour Gestionnaire d’incidents DLP et Opérations DLP.


1 Dans McAfee ePO, sélectionnez Menu | Protection des données | Gestionnaire d'incidents DLP ou Menu | Protectiondes données | Opérations DLP.

2 Sélectionnez soit Tâches relatives aux incidents, soit Tâches d’événements opérationnels, puis sélectionnez Définir unréviseur.

3 Cliquez sur Actions | Nouvelle règle et entrez un nom et une description facultative.

Les règles sont activées par défaut. Vous pouvez modifier ce paramètre pour retarder l'exécution de la règle.

4 Sélectionnez un réviseur ou un groupe, puis cliquez sur Suivant.

5 Cliquez sur Suivant pour ajouter les critères de règle et leurs paramètres de comparaison et de valeur, puiscliquez sur Enregistrer.



Afficher les informations sur les casAffichez les journaux d'audit, les commentaires de l'utilisateur et les incidents affectés à un cas.



2 Cliquez sur un ID de cas.


• Pour afficher les incidents affectés au cas, cliquez sur l'onglet Incidents.

• Pour afficher les commentaires de l'utilisateur, cliquez sur l'onglet Commentaires.

• Pour afficher les journaux d'audit, cliquez sur l'onglet Journal d'audit.

4 Cliquez sur OK.

Mettre à jour les casMettez à jour les informations de cas comme le changement de propriétaire, l'envoi de notifications ou l'ajoutde commentaires.

Les notifications sont envoyées au créateur du cas, au propriétaire du cas et aux utilisateurs sélectionnésquand :

• un e-mail est ajouté ou modifié ;

• Des incidents sont ajoutés au cas ou supprimés du cas.

• le titre du cas est modifié ;

• les détails du propriétaire sont modifiés ;

• la priorité est modifiée ;

• la résolution est modifiée.

• Les commentaires sont ajoutés.

• Une pièce jointe est ajoutée.

Vous pouvez désactiver les notifications automatiques par e-mail au créateur et au propriétaire du cas dans Menu| Configuration | Paramètres serveur | Prévention contre la fuite de données.



2 Cliquez sur l'ID d'un cas.




• Pour mettre à jour le nom du cas, saisissez un nouveau nom dans le champ Titre, puis cliquez surEnregistrer.

• Mise à jour du propriétaire :

1 En regard du champ Propriétaire, cliquez sur ...

2 Sélectionnez le groupe ou l'utilisateur.

3 Cliquez sur OK.


• Pour mettre à jour les options Priorité, Etat ou Résolution, utilisez les listes déroulantes pour sélectionnerles éléments, puis cliquez sur Enregistrer.

• Envoi de notifications par e-mail :

1 En regard du champ Envoyer des notifications à, cliquez sur ...

2 Sélectionnez les utilisateurs auxquels envoyer des notifications.

Si aucun contact n'est répertorié, vous devez spécifier un serveur de messagerie pour McAfee ePO etajouter des adresses électroniques pour les utilisateurs. Configurez le serveur de messagerie dansMenu | Configuration | Paramètres serveur | Serveur de messagerie. Configurez des utilisateurs dans Menu |Gestion des utilisateurs | Utilisateurs.


• Ajout d'un commentaire au cas :

1 Cliquez sur l'onglet Commentaires.

2 Saisissez le commentaire dans la zone de texte.

3 Cliquez sur Ajouter un commentaire.

4 Cliquez sur OK.

Affecter des incidents à un casAjouter des incidents liés à un nouveau cas ou à un cas existant.


1 Dans McAfee ePO, sélectionnez Menu | Protection des données | Gestionnaire d'incidents DLP.


3 Cochez les cases correspondant à un ou plusieurs incidents.

Utilisez des options telles que Filtre ou Grouper par pour afficher les incidents liés. Pour mettre à jour tous lesincidents affichés avec le filtre actuel, cliquez sur Tout sélectionner dans cette page.



4 Affectez les incidents à un cas.

• Pour ajouter à un nouveau cas, sélectionnez Actions | Gestion des cas | Ajouter à un nouveau cas, saisissez unnom de titre et configurez les options.

• Pour ajouter à un cas existant, sélectionnez Actions | Gestion des cas | Ajouter à un cas existant, filtrez par IDde cas ou titre, puis sélectionnez le cas.

5 Cliquez sur OK.

Cas d’utilisation : rechercher des violations de stratégie par utilisateurSi vous avez un grand nombre d’incidents à examiner, il peut être difficile de rechercher des incidents liés à unutilisateur particulier. Pour rechercher des violations de stratégie associées, utilisez les attributs qui identifientun utilisateur.


1 Dans McAfee ePO, sélectionnez Gestionnaire d’incidents DLP.


3 Sélectionnez l’heure de votre choix.

4 Cliquez sur Actions, puis sélectionnez Filtrer | Modifier le filtre.

5 Dans Propriétés disponibles, sélectionnez un attribut utilisateur, tel que Nom d’utilisateur, ou E-mail principal del’utilisateur ou Ville de l’utilisateur.

Les conditions suivantes peuvent être sélectionnées dans la liste déroulante : Est égal à, N’est pas égal à, Lavaleur est vide, La valeur n’est pas vide, Contient, Ne contient pas.

6 Spécifiez les informations de l’utilisateur dans la zone de texte.

Si vous n’avez pas les informations exactes d’un utilisateur, sélectionnez le filtre Expéditeur ou Destinataire,ajoutez une condition Contient ou Ne contient pas, et entrez une chaîne qui puisse correspondre à certainscaractères dans le nom ou dans l'adresse e-mail de l'utilisateur.

7 Cliquez sur Nom de la stratégie, puis sélectionnez ... pour choisir la stratégie dans la liste.

Cela affiche les incidents générés à partir des informations sur l'utilisateur ci-dessus et aussi à partir de lastratégie sélectionnée. Les stratégies qui n’ont pas généré d’incidents correspondants ne sont pasrépertoriées.

8 Cliquez sur Mettre à jour le filtre.

Les incidents qui correspondent aux critères de filtrage sont affichés.

9 Cliquez sur le lien Enregistrer en regard de la liste déroulante Filtrer.

Ce filtre est ainsi conservé pour une éventuelle réutilisation ultérieure.

Cas d’utilisation : rechercher des incidents à haut risquePour rechercher des incidents à haut risque, filtrez les incidents par gravité.





2 Dans la liste déroulante Présent, sélectionnez l'option correspondant à votre produit

3 Dans la liste Grouper par, sélectionnez Gravité dans la liste déroulante.

4 Sélectionnez la gravité à appliquer, comme critique ou avertissement.

Les incidents qui correspondent aux critères de filtrage sont affichés.

Cas d’utilisation : définir des propriétés pour les incidentsVous pouvez modifier les propriétés d’incident, telles que la gravité, pour faciliter la recherche et la localisationde certains incidents.

Les propriétés sont Gravité, Etat, Résolution, Groupe de révision et Utilisateur de révision.




3 Cliquez sur un incident.

La fenêtre Détails de l’incident s’ouvre.

4 Dans le volet Informations générales, effectuez l’une des tâches suivantes, puis cliquez sur Enregistrer.• Pour mettre à jour la gravité, l’état ou la résolution, sélectionnez les options de votre choix dans la liste

déroulante, puis cliquez sur Enregistrer.

• Cliquez sur ... à côté du champ Réviseur, sélectionnez le groupe ou l’utilisateur, puis cliquez sur OK.

5 Sélectionnez Actions | Ajouter un commentaire.

6 Entrez un commentaire, puis cliquez sur OK.

Cas d’utilisation : filtrer des incidents par date, destination etutilisateurCréez un filtre qui identifie les incidents envoyés dans les dernières 24 heures par un utilisateur particulier.


1 Dans McAfee ePO, sélectionnez Menu | Protection des données | Gestionnaire d’incidents DLP.

2 Sélectionnez Données en utilisation/mouvement dans Présent.

3 Sélectionnez Dernières 24 heures dans la liste déroulante Heure.

4 Dans Filtres, cliquez sur Modifier.



5 Dans Destination est égal à ajoutez la destination requise.

6 Sélectionnez Nom d’utilisateur est égal à et ajoutez le nom à rechercher.

7 Sélectionnez Mettre à jour le filtre.

8 Dans le volet gauche, sélectionnez Grouper par et choisissez Jeu de règles dans la liste déroulante.

Affecter des autorisations d’affichage d’incident aux utilisateurs dansActive DirectorySélectionnez les utilisateurs dans Active Directory qui peuvent afficher les incidents dans le Gestionnaire d'incidentsDLP.

Avant de commencerEnregistrez un serveur Active Directory dans McAfee ePO.



2 Sélectionnez le rôle à modifier, puis cliquez sur le lien Modifier sous Nom et utilisateurs.

3 Cliquez sur Ajouter, sélectionnez les utilisateurs Active Directory à ajouter, puis cliquez sur OK.


5 Dans Data Loss Prevention, cliquez sur le lien Modifier.

6 Sélectionnez Gestion des incidents, puis cliquez sur L’utilisateur peut afficher tous les incidents.


Affecter des autorisations d’affichage de gestion des cas à un utilisateurAutorisez un utilisateur spécifique à afficher ses cas dans Gestion des cas DLP.

Avant de commencerCréez un utilisateur dans McAfee ePO et affectez un ensemble d'autorisations à l’utilisateur.


1 Dans McAfee ePO, sélectionnez Menu | Gestion des utilisateurs | Ensembles d'autorisations et sélectionnezl’ensemble d’autorisations auquel l’utilisateur appartient.

2 Cliquez sur le lien Modifier sous Nom et utilisateurs.

3 Sélectionnez l’utilisateur récemment créé, puis cliquez sur Enregistrer.

4 Dans Data Loss Prevention, cliquez sur le lien Modifier.



5 Sélectionnez Gestion des cas, puis cliquez sur Les utilisateurs peuvent consulter les cas qui leur sont affectés.


Surveillance de l'état et de l'intégrité du systèmeUtilisez le tableau de bord Gestion des appliances de McAfee ePO pour gérer vos appliances, afficher l'étatd'intégrité du système et obtenir des informations détaillées sur les alertes.

Pour plus d’informations sur l’état de l’appliance McAfee DLP Prevent ou McAfee DLP Monitor indiqué dans lescartes d’intégrité du système Gestion des appliances, consultez la dernière version du Guide produit McAfee DataLoss Prevention.

Pour plus d’informations concernant spécifiquement les options de Gestion des appliances, consultez l’aide en lignede Gestion des appliances.

Tableaux de bord McAfee DLPMcAfee DLP 10.x et versions ultérieures ajoute quatre graphiques relatifs aux incidents dans les tableaux debord McAfee ePO. Vous pouvez créer des tableaux de bord qui contiennent l’un des graphiques de McAfee DLP.

• DLP : nombre d'incidents par jour (données en utilisation/mouvement) sous forme de graphique linéaire

• DLP : nombre d'incidents par gravité (données en utilisation/mouvement) sous forme de graphique àsecteurs

• DLP : nombre d'incidents par type (données en utilisation/mouvement) sous forme de graphique à secteurs

• DLP : nombre d'incidents par jeu de règles (données en utilisation/mouvement) sous forme de graphique àbarres

Tableau de bord Gestion des appliancesLe tableau de bord Gestion des appliances combine l'arborescence Appliances, les cartes Intégrité du système, ainsi queles volets Alertes et Détails.

Le tableau de bord affiche les informations suivantes pour toutes vos appliances managées.

• Une sélection d’informations sur chaque appliance McAfee DLP

Dans un environnement de cluster McAfee DLP Prevent, les cartes d’intégrité du système montrentl’affichage de l’arborescence de l’appliance principale de cluster ainsi qu’un certain nombre d’analyseurs decluster.

• Des indicateurs signalant si une appliance requiert votre attention.

• Des informations détaillées sur les problèmes détectés.

La barre d'information indique le nom de l'appliance, le nombre d'alertes actuellement signalées et d'autresinformations propres à l'appliance signalée.

7 Suivi et génération de rapportsSurveillance de l'état et de l'intégrité du système


Evénements d’appliances McAfee DLPLes appliances McAfee DLP envoient des événements au journal Evénements client ou au journal Operations DLP.

Evénements du journal Evénements de client

Certains événements incluent des codes motif que vous pouvez utiliser pour effectuer des recherches dans lesfichiers journaux.

Meilleure pratique : purgez régulièrement le journal Evénements client pour éviter qu’il soit plein.

IDd'événement

Texte d'événementd'UI

Description

15001 Echec de la requête LDAP La requête a échoué. Les motifs sont indiqués dans les descriptionsd'événement.

15007 Synchronisation d'annuaireLDAP

Etat de la synchronisation d'annuaire.

210003 L'utilisation des ressourcesa atteint le niveau critique

McAfee DLP Prevent ne peut pas analyser un message car leremplissage de l’annuaire a atteint un niveau critique.

210900 La mise à niveau ISO del'appliance a été effectuée

Echec de la mise à niveauISO de l'appliance

Mise à niveau vers uneversion inférieure del'appliance

L'image d'installationinterne a été mise à jour

Echec de la mise à jour del'image d'installation interne

Evénements de mise à niveau de l'appliance :

• 983 - Echec de la mise à niveau ISO de l'appliance. Les journauxdétaillés sont disponibles dans /rescue/logs/.

• 984 - La mise à niveau ISO de l'appliance a été effectuée.L'appliance a été mise à niveau vers une version supérieure.

• 985 - Mise à niveau vers une version inférieure de l'appliance. Cetévénement est envoyé lorsqu'une tentative de retour à uneversion antérieure est initiée. Les événements de réussite oud’échec de la mise à niveau sont envoyés une fois la mise àniveau terminée.Si une mise à niveau non infectée vers une version supérieure ouinférieure est demandée, l'événement de réussite ou d'échec estenvoyé une fois la connexion avec McAfee ePO établie.

Mises à jour de l’image d’installation interne à l’aide desévénements SCP :

• 986 — L'image d'installation interne a été mise à jour.

• 987 — Echec de la mise à jour de l'image d'installation interne.

220000 Connexion utilisateur Un utilisateur s’est connecté à l’appliance :• 354 — La connexion à l'interface utilisateur graphique a réussi.

• 355 — La connexion à l'interface utilisateur graphique a échoué.

• 424 — La connexion à SSH a réussi

• 425 — La connexion à SSH a échoué.

• 426 — La connexion à la console de l'appliance a réussi.

• 427 — La connexion à la console de l'appliance a échoué.

• 430 — Le changement d'utilisateur a réussi.

• 431 — Le changement d'utilisateur a échoué.

Suivi et génération de rapportsSurveillance de l'état et de l'intégrité du système 7


IDd'événement

Texte d'événementd'UI

Description

220001 Déconnexion utilisateur Un utilisateur s’est déconnecté de l’appliance :• 356 - L'utilisateur de l'interface utilisateur graphique s'est

déconnecté.

• 357 - La session a expiré.

• 428 - L'utilisateur de SSH s'est déconnecté.

• 429 - L'utilisateur de la console de l'appliance s'est déconnecté.

• 432 - L'utilisateur s'est déconnecté.

220900 Installation du certificat • L’installation du certificat a réussi

• L’installation du certificat a échoué : <raison>

Impossible d’installer un certificat pour l’une des raisons suivantes :• Phrase secrète incorrecte

• Aucune clé privée

• Erreur de chaîne

• Certificat incorrect

• Certificat expiré

• Pas encore valide

• Signature incorrecte

• Certificat d'autorité de certification incorrect

• Chaîne trop longue

• Objectif incorrect

• Révoqué

• Liste de révocation de certificats (CRL) incorrecte ou manquante

La raison est également indiquée dans le journal syslog. Si aucunedes raisons disponibles n'est en cause, l'événement par défaut,Echec de l'installation du certificat, est indiqué.

Evénements du journal Opérations DLP

ID d'événement Texte d'événement d'UI Description

19100 Modification de stratégie La gestion des appliances a envoyé une stratégie àl'appliance en mode Push.

19500 Echec de l'envoi de stratégie enmode Push

La gestion des appliances n'a pas réussi à envoyer unestratégie à l'appliance en mode Push.

19105 Echec de la réplication de preuves • Un fichier de preuve n'a pas pu être chiffré.

• Un fichier de preuve n'a pas pu être copié sur le serveurde preuve.

19501 Echec de l'analyse • Possible attaque de type déni de service.

• Le contenu n'a pas pu être décomposé pour analyse.

19402 DLP Prevent enregistré L’appliance a été enregistrée auprès de McAfee ePO.

19403 DLP Monitor enregistré L’appliance a été enregistrée auprès de McAfee ePO.

7 Suivi et génération de rapportsSurveillance de l'état et de l'intégrité du système


8 Maintenance et dépannage

Utilisez la console de l'appliance pour réaliser des tâches de maintenance générale, telles que la modificationdes paramètres réseau et la mise à jour de logiciels. Vous disposez d’options de dépannage, de vérificationsd’intégrité et de messages d’erreur pour déterminer et résoudre des problèmes sur une appliance McAfee DLPPrevent ou McAfee DLP Monitor.

Sommaire Conseils de dépannage Gestion avec la console de l’appliance McAfee DLP Accès à la console de l'appliance Remplacement du certificat par défaut Messages d'erreur Sauvegardes de configuration

Conseils de dépannagePour plus d’informations sur les tâches de dépannage et de maintenance, et sur les événements client etopérationnels McAfee DLP Prevent ou McAfee DLP Monitor, consultez le Guide produit McAfee Data LossPrevention.

L’appliance n’a pas pu s’enregistrer auprès de McAfee ePO

Vérifiez que la connexion réseau fonctionne et que les itinéraires statiques que vous avez créés sont corrects.Emettez une requête Ping vers la passerelle par défaut McAfee ePO depuis la console de l’appliance pour testervotre connexion réseau.

Si l’enregistrement continue d’échouer, contactez le support technique. Ne tentez pas d'enregistrer à nouveau.

La connexion entre McAfee ePO et l’appliance est perdue

Vous pouvez vérifier l’état de connexion de toutes les appliances physiques et virtuelles à l’aide de lafonctionnalité Gestion des appliances dans McAfee ePO.

Pour restaurer une connexion qui a échoué, ouvrez l’Arborescence des systèmes et sélectionnez l’appliance McAfeeDLP Prevent ou McAfee DLP Monitor qui a perdu la connexion. Sélectionnez ensuite Action | Agent | Réactiver lesagents, puis cliquez sur OK.

Echecs d’enregistrement de McAfee DLP Prevent ou McAfee DLP Monitor

Les événements d’enregistrement de McAfee DLP Prevent ou McAfee DLP Monitor sont disponibles dans lejournal Opérations DLP dans McAfee ePO.

8


ID de l’événement Texte d’événement d’UI Description19402 DLP Prevent enregistré L’appliance a été enregistrée auprès de McAfee ePO.

19403 DLP Monitor enregistré L’appliance a été enregistrée auprès de McAfee ePO.

Aucun événement n’est enregistré si l’appliance McAfee DLP Prevent ou McAfee DLP Monitor n’est pasenregistrée. Vous trouverez plus d’informations dans /var/log/messages.

Problèmes de remise d’e-mails

Si un e-mail n’est pas remis, vérifiez qu’il n’a pas été bloqué par une appliance McAfee DLP Prevent. Accédez auGestionnaire d’incidents DLP sur McAfee ePO pour vérifier s’il existe un incident correspondant au message.

Si la notification par e-mail est configurée sur McAfee ePO en tant que réaction, l’expéditeur est notifié.

Vérifiez que l'hôte actif peut recevoir des e-mails si :

• McAfee DLP Prevent n’a pas pu se connecter à l’hôte actif pour envoyer le message.

• La connexion à l’hôte actif a été supprimée lors d’une conversation.

Problèmes de rejet d’e-mails

Si aucun hôte actif n’est configuré, McAfee DLP Prevent ne peut pas accepter les e-mails, car il n’a nulle part oùles envoyer.

Problèmes ICAP de Web Gateway et McAfee DLP Prevent

Vérifiez les paramètres de la catégorie Paramètres web de McAfee DLP dans Gestion des appliances DLP dans leCatalogue de stratégies. McAfee DLP Prevent traite l’ICAP et le trafic de l’ICAP en fonction des services sélectionnésdans l’ICAP sécurisé, non chiffré.

Si ni l’un ni l’autre ne sont sélectionnés, le serveur ICAP sur McAfee DLP Prevent n’accepte aucune connexion.

Si seul l’ICAP sécurisé est activé, assurez-vous que le client ICAP est compatible avec l’ICAP.

Vous pouvez sélectionner les modes dans lesquels McAfee DLP Prevent fonctionne pour le trafic ICAP, REQMODet RESPMOD. Si l’un des modes est désélectionné, ce trafic est ignoré par l’appliance McAfee DLP Prevent etn’est pas traité. REQMOD et RESPMOD ne peuvent pas être désactivés en même temps.

Problèmes avec LDAP et Logon Collector

S’il y a des problèmes de communication entre l’appliance McAfee DLP Prevent ou McAfee DLP Monitor etActive Directory lors de la requête d’informations utilisateur :

• Vérifiez les informations d’identification d’Active Directory configurées sur McAfee ePO.

• Si SSL est sélectionné, vérifiez qu’Active Directory accepte les connexions sécurisées.

Si vous avez configuré Active Directory pour qu'il utilise les ports de catalogue global, assurez-vous qu'au moinsl'un des attributs suivants est répliqué sur le serveur du catalogue global à partir des domaines de la forêt :

• Adresses proxy

• Mail

Si une appliance McAfee DLP Prevent ou McAfee DLP Monitor a besoin d’utiliser l’authentification NTLM pour letrafic ICAP, ces attributs LDAP doivent également être répliqués :

8 Maintenance et dépannageConseils de dépannage


• configurationNamingContext

• netbiosname

• msDS-PrincipalName

Pour Logon Collector, vérifiez le certificat Logon Collector sur l’appliance McAfee DLP Prevent ou McAfee DLPMonitor.

Echecs d'installation

• Problèmes de dépendance : il peut y avoir un problème de dépendance si les extensions suivantes n'ont pasété installées :

• Package Common UI

• Extension Gestion des appliances

• Extension de gestion Data Loss Prevention

• Problèmes de mise à niveau : l’erreur suivante se produit si vous installez la même version ou une versionantérieure de l’extension : impossible de mettre à niveau l’extension dlp-prevent-server-app vers <version x.x.x.x>car <version x.x.x.x> est déjà installée.

Echecs d’envoi de stratégie en mode Push

Les événements d’envoi de stratégie en mode Push sont également disponibles dans le journal Opérations DLPdans McAfee ePO.

Si l’envoi de stratégie en mode Push échoue, les détails peuvent être obtenus auprès de l’appliance McAfee DLPPrevent ou McAfee DLP Monitor dans /wk/mca/ ame_policy_DLPPS___1000_error.log

Intégrité du système

Le tableau de bord Gestion des appliances de McAfee ePO fournit des informations pour gérer vos appliances,afficher l'état d'intégrité du système et obtenir des informations détaillées sur les alertes.

L’intégrité du système affiche l’état des éléments suivants :

• File d'attente de preuves • Mémoire

• Demandes par e-mail et web (McAfee DLPPrevent)

• Disque

• Analyse des paquets (McAfee DLP Monitor) • Réseau

• Utilisation processeur

Affiche les erreurs ou les avertissements relatifs aux éléments suivants :

• Intégrité du système

• Taille de la file d'attente de preuves

• Mise en œuvre de stratégie

• Communication entre McAfee ePO et les appliances McAfee DLP Prevent et McAfee DLP Monitor.

Problèmes relatifs au Gestionnaire d’incidents

Les problèmes liés à l’utilisateur, à LDAP ou à l’installation du certificat sont répertoriés dans Journal Evénementsclient.

Maintenance et dépannageConseils de dépannage 8


1 Dans McAfee ePO, accédez à l’Arborescence des systèmes.

2 Cochez la case en regard de l’appliance McAfee DLP Prevent ou McAfee DLP Monitor.

3 Sélectionnez Actions, puis accédez à Agent | Afficher les événements client.

Les incidents ne s’affichent pas dans le Gestionnaire d'incidents DLP

1 Utilisez le Remote Desktop Protocol (RDP) pour accéder à McAfee ePO.

2 Accédez à Services.

3 Vérifiez que l’analyseur d’événements de McAfee ePO est en cours d’exécution. S’il s’est arrêté ou interrompu,redémarrez-le pour résoudre le problème.

McAfee DLP Prevent et McAfee DLP Monitor envoient des informations de journalisation au syslog local, et àun ou plusieurs serveurs de journalisation distants, si vous les avez activés. Les entrées du journal syslogcontiennent des informations sur l'équipement lui-même (fournisseur, nom du produit et version), la gravitéde l'événement et la date de l'événement.

Utilisez les paramètres de la catégorie Général de la stratégie Appliance partagée pour configurer les serveurs dejournalisation distants.

Gestion avec la console de l’appliance McAfee DLPUtilisez des informations d'identification administrateur pour ouvrir la console de l'appliance afin de modifierles paramètres réseau saisis dans l'Assistant d'installation et d'effectuer d'autres tâches de maintenance et dedépannage.

Vous pouvez ajouter votre propre texte pour qu’il s'affiche en haut de la console de l’appliance ou sur l’écran deconnexion à SSH à l’aide de l’option Bannière de connexion personnalisée dans McAfee ePO (Menu | Catalogue destratégies | Gestion des appliances DLP | Général).

Tableau 8-1 Options de menu de la console de l'appliance

Option Définition

Graphical configuration wizard Ouvrez l'Assistant de configuration graphique.

Si vous vous connectez à l'aide de SSH, l'Assistant de configuration graphique n'estpas disponible.

Shell Ouvrez le shell de l'appliance.

Enable/Disable SSH Activez ou désactivez SSH comme méthode de connexion à l'appliance.

Generate MER Créez un rapport pour la procédure d'escalade minimale (MER) à envoyer ausupport technique McAfee pour lui permettre de diagnostiquer des problèmesavec l'appliance.

Power down Arrêtez l'appliance.

Reboot Redémarrez l'appliance.

Rescue Image Créez une image de secours à partir de laquelle l'appliance puisse être démarrée.

Reset to factory defaults Restaurez les paramètres par défaut de l'appliance.

Change password Changez le mot de passe du compte administrateur.

Logout Déconnectez-vous de l'appliance principale.

8 Maintenance et dépannageGestion avec la console de l’appliance McAfee DLP


Accès à la console de l'applianceLa console de l'appliance vous permet d'effectuer différentes tâches de maintenance. Il existe différentesméthodes permettant d'accéder à la console selon le type d'appliance dont vous disposez.

Tableau 8-2 Méthodes d'accès à la console

Méthode Appliance virtuelle Appliance matérielle

SSH X X

Client vSphere X

Module KVM local (clavier, moniteur, souris) X

RMM X

Port série X

Remplacement du certificat par défaut Vous pouvez remplacer le certificat autosigné par un autre fourni par une autorité de certification (AC) pour qued'autres hôtes sur le réseau puissent valider le certificat SSL de l'appliance.

Avant de commencerSSH doit être activé.

Pour remplacer le certificat, vous pouvez soit :

• Charger un nouveau certificat et une nouvelle clé privée.

• Télécharger une demande de signature de certificat (CSR) depuis l'appliance, la faire signer par une autoritéde certification, puis charger le certificat fourni par l'autorité de certification.

Meilleure pratique : télécharger une CSR depuis l'appliance et assurez-vous que la clé privée de l'appliance nepourra pas être dévoilée par inadvertance.

Seuls les certificats et clés ECDSA et RSA sont autorisés dans le fichier chargé. Le certificat doit être adapté àl'utilisation avec à la fois le serveur et le client TLS, et le chargement doit inclure la chaîne complète decertificats. Les chargements peuvent se faire dans les formats suivants :

• Fichier PEM (Base64) : chaîne de certificats et clé privée ou uniquement chaîne de certificats

• PKCS#12 : chaîne de certificats et clé privée

• PKCS#7 : chaîne de certificats uniquement

Si le format chargé est PKCS#12 ou PKCS#7, l'extension de fichier correcte doit être utilisée :

• Le format PKCS#12 doit avoir .p12 ou .pfx comme extension.

• Le format PKCS#7 doit avoir .p7b comme extension.

Il est possible que l'installation du certificat échoue pour les raisons suivantes :

• Le certificat est inutilisable pour le rôle auquel il est destiné.

• Le certificat a expiré.

Maintenance et dépannageAccès à la console de l'appliance 8


• Le fichier chargé ne contient pas les certificats d'une autorité de certification dont il a besoin pour lavérification.

• Le certificat utilise un algorithme de clé publique qui n'est pas pris en charge (DSA par exemple).

Si l'installation échoue, des informations détaillées sont disponibles dans le fichier syslog de l'appliance. Pour leconsulter, connectez-vous à la console de l'appliance, sélectionnez l'option Shell, puis entrez $ grepimport_ssl_cert /var/log/messages.


1 Dans le navigateur, rendez-vous à l'adresse https://APPLIANCE:10443/certificates/ et sélectionnez l'un desliens CSR pour le téléchargement.

Deux fichiers sont disponibles : l'un contient une clé publique RSA (le fichier avec l'extension .rsa.csr) etl'autre contient une clé publique ECDSA (le fichier avec l'extension .ec.csr).

2 Suivez les instructions de votre autorité de certification pour obtenir la signature de la demande.

3 Utilisez un client SFTP, par exemple winscp, pour copier le fichier vers le répertoire /home/admin/upload/cert de l'appliance.

Le journal Evénements client indique si l'installation a réussi ou échoué.

Le fichier s'installe automatiquement.

Messages d'erreurSi l'appliance n'est pas configurée correctement, elle tente de déterminer le problème et envoie un messaged'erreur temporaire ou permanente.

Le texte entre parenthèses dans le message d'erreur fournit des informations supplémentaires sur le problème.Certains messages d'erreur relaient la réponse de l'hôte actif, et la réponse McAfee DLP Prevent contient doncl'adresse IP, qui est indiquée par x.x.x.x.

Par exemple, 442 192.168.0.1 : connexion refusée indique que l'hôte actif avec l'adresse 192.168.0.1 n'a pasaccepté la connexion SMTP.

Tableau 8-3 Messages d'erreur temporaire

Texte Cause Action recommandée

451 (Le système n'a pas aété enregistré avec unserveur ePO)

La configuration initiale n'a pas ététerminée.

Enregistrez l'appliance auprès d'unserveur McAfee ePO à l'aide de l'optionAssistant de configuration graphique de laconsole de l'appliance.

451 (Aucun serveur DNSn'a été configuré)

La configuration appliquée à partir deMcAfee ePO ne spécifie aucun serveurDNS.

Configurez au moins un serveur DNSdans la catégorie Général de la stratégieAppliance partagée.

451 (Aucun hôte actif n'aété configuré)

La configuration appliquée à partir deMcAfee ePO ne spécifie aucun hôte actif.

Configurez un hôte actif dans lacatégorie de stratégies Paramètresd'e-mail de McAfee DLP Prevent.

8 Maintenance et dépannageMessages d'erreur


Tableau 8-3 Messages d'erreur temporaire (suite)

Texte Cause Action recommandée

451 (Fichier OPG destratégie introuvable àl'emplacement configuré)

La configuration appliquée à partir deMcAfee ePO est incomplète.

• Vérifiez que l'extension Data LossPrevention est installée.

• Configurez une stratégie Data LossPrevention.

• Contactez votre représentant dusupport technique. Le fichier OPGde configuration doit être appliquéavec le fichier OPG de stratégie.

451 (Fichier OPG deconfiguration introuvableà l'emplacementconfiguré)

La configuration appliquée à partir deMcAfee ePO est incomplète.

• Vérifiez que l'extension Data LossPrevention est installée.

• Configurez une stratégie Data LossPrevention.

• Contactez votre représentant dusupport technique. Le fichier OPGde configuration doit être appliquéavec le fichier OPG de stratégie.

451 (configuration duserveur LDAPmanquante)

Cette erreur se produit lorsque les deuxconditions suivantes sont réunies :• McAfee DLP Prevent contient une règle

qui spécifie un expéditeur en tant quemembre d'un groupe d'utilisateursLDAP.

• McAfee DLP Prevent n'est pas configurépour recevoir des informations sur lesgroupes à partir du serveur LDAP quicontient ce groupe d'utilisateurs.

Vérifiez que le serveur LDAP estsélectionné dans la catégorie destratégies Utilisateurs et groupes.

451 (Erreur lors de larésolution d'unestratégie fondée surl'expéditeur)

Une stratégie contient des conditionsd'expéditeur LDAP, mais ne parvient pas àobtenir les informations à partir duserveur LDAP pour les raisons suivantes :• McAfee DLP Prevent et le serveur LDAP

ne sont pas synchronisés.

• Le serveur LDAP ne répond pas.

Vérifiez que le serveur LDAP estdisponible.

451 (échec du test FIPS) Echec des autotests de cryptographierequis pour la conformité au standardFIPS

Contactez votre représentant dusupport technique.

x.x.x.x 442 : connexionrefusée

McAfee DLP Prevent ne peut pas seconnecter à l'hôte actif pour envoyer lemessage ou la connexion à l'hôte actif aété supprimée lors d'une conversation.

Vérifiez que l'hôte actif peut recevoirdes e-mails.

Maintenance et dépannageMessages d'erreur 8


Tableau 8-4 Messages d'erreur permanente

Erreur Cause Action

550 L'hôte/le domaine n'est pasautorisé

McAfee DLP Prevent a refusé laconnexion à partir du MTA source.

Vérifiez que le MTA se trouve dans laliste des hôtes autorisés de lacatégorie de stratégies Paramètresd’e-mail de McAfee DLP Prevent.

550 x.x.x.x: Denied by policy. TLSconversation required (550 :refusé en raison d'une stratégie.Conversation TLS requise)

L'hôte actif n'a pas accepté unecommande STARTTLS mais McAfeeDLP Prevent est configuré pourtoujours envoyer les e-mails via uneconnexion TLS.

Vérifiez la configuration de TLS surl'hôte.

Tableau 8-5 Messages d'erreur ICAP

Erreur Cause Action

500 (configuration duserveur LDAPmanquante)

Cette erreur se produit lorsque les deux conditionssuivantes sont remplies :• McAfee DLP Prevent contient une règle qui spécifie un

expéditeur en tant que membre d'un grouped'utilisateurs LDAP.

• McAfee DLP Prevent n'est pas configuré pour recevoirdes informations sur les groupes à partir du serveurLDAP qui contient ce groupe d'utilisateurs.

Vérifiez que le serveurLDAP est sélectionnédans la catégorie destratégies Utilisateurs etgroupes.

500 (Erreur lors de larésolution de lastratégie basée surl'utilisateur final)

Une stratégie contient des conditions d'expéditeur LDAP,mais ne parvient pas à obtenir les informations à partir duserveur LDAP pour les raisons suivantes :• McAfee DLP Prevent et le serveur LDAP ne sont pas

synchronisés.

• Le serveur LDAP ne répond pas.

Vérifiez que le serveurLDAP est disponible.

Sauvegardes de configurationDans McAfee DLP 10.x et versions ultérieures, vous pouvez créer des sauvegardes de vos données deconfiguration qui peuvent être restaurées. Toutefois, les paramètres de l’appliance ne sont pas sauvegardés.Les tâches de sauvegarde sont exécutées si besoin depuis l’application dorsale, et ne peuvent pas êtreplanifiées.

Les éléments suivants sont inclus dans une sauvegarde McAfee DLP 10.x et versions ultérieures.

• La base de données SQL.

• Les extensions installées.

• Les clés pour la communication agent-serveur de McAfee ePO et les référentiels.

• Tous les produits qui ont été archivés dans le référentiel maître.

• Les paramètres de configuration de serveur pour Apache, les certificats SSL nécessaires pour autoriser leserveur à traiter les demandes de l’agent et les certificats de la console.

Pour créer une sauvegarde de votre configuration McAfee DLP 10.x et versions ultérieures, consultez l’articleKB66616

8 Maintenance et dépannageSauvegardes de configuration


https://kc.mcafee.com/corporate/index?page=content&id=KB66616

Index

AActive Directory 15

adresses e-mailcréation 32

importation 32

analysetypes de 40

analyse Box 40

analyse d’enregistrement 40

analyse d’inventaire 40

analyse de classification 40

analyse de correction 40

analysescréer des définitions 40

API REST 25, 32, 33

applianceétat 56

architecturedifférences entre les versions 7

authentification 17

authentification de certificat 17

authentification Windows 17

Ccartes d’intégrité du système 56

casaffectation des incidents 52

ajout de commentaires 51

création 50

envoi de notifications 51

journaux d'audit 51

mise à jour 51

Catalogue global 15

certificats 63

classification 21

création de définition de mot-clé 26

créer 28

critères 22

propriétés de document 22

définition de modèle avancé 26

définitions 21

expression régulière 28

modèle avancé 28

classification 21 (suite)options non prises en charge 26

conceptsclassification et définitions 21

définitions 23

définitions de dictionnaire et de modèle avancé 7configuration

sauvegardes 66

connexion à distanceGestion partagée des appliances 19

connexion à Secure ShellGestion partagée des appliances 19

contrôle d'accès basé sur les rôles 18

contrôle de l’accès 17

création d’utilisateur 17

Ddate et heure

Gestion partagée des appliances 19

définition de dictionnairecréer 26

Définition de serveur DNSGestion partagée des appliances 19

définitionsclassification 21

dictionnaires 24

modèle de texte 26

définitions de dictionnaire 21, 23

définitions de l’utilisateur finalLDAP 16

définitions de l’utilisateur final LDAP 16

définitions de modèle avancé 21, 23

définitions de règles 30

définitions de réseauintervalle d'adresses 32

intervalle de ports 34

dépannageMcAfee DLP Prevent et McAfee DLP Monitor 59

dictionnairesà propos de 24

création 25

importation d'entrées 25

documents enregistrésclassification 21


documents enregistrés (suite)manuellement 22

donnéesclassification 24

données DLP, classification 26

Eenregistrement du serveur LDAP 15

ensembles d'autorisations, définition 18

ensembles d’autorisationscréer un réviseur 50

exceptions aux règles 31

expressions régulièresdéfinitions 23

Ffonctionnalités

non prises en charge 7nouvelles et renommées 7

fonctionnalités non prises en charge 7

Ggénération de rapports 45

gestiondifférences entre les versions 7

Gestion des appliances 19, 45, 56

gestion des cas 45

Gestion des cas DLP 45

Gestion partagée des appliances 19

Gestionnaire d'incidents DLP 45

groupeensemble d'autorisations 7

groupe localensemble d'autorisations 7

création 18

ensemble d'autorisations de McAfee DLP Prevent 18

voir l’ensemble d'autorisations 18

Iincidents

affecter un réviseur 50

détails 47

filtrage 46

graphiques 56

mise à jour 48

notifications par e-mail 49

serveur de preuve 19

tri 46

incidents et cas 45

installation 9

Jjeux de règles 29

création 31

Journalisation à distanceGestion partagée des appliances 19

Llistes d'URL

création 33

MMcAfee DLP

tableaux de bord 45, 56

McAfee DLP Discover 39

créer des définitions d’analyse 40

créer des règles pour une analyse de correction 42

créer une analyse de classification 41

installation 9planification d’une analyse 43

planification d’une analyse unique 43

types d’analyse 40

types de référentiel 39

McAfee DLP Preventensembles d’autorisations 18

remplacer le certificat par défaut 63

McAfee DLP Prevent et McAfee DLP Monitordépannage 59

modèleclassifications et définitions 7

modèle avancécréation 26

modèles de texteà propos de 26

mot-clécréation de définition 26

mots-clésdéfinitions 23

Nnoms de produits

différences entre les versions 7

OOpérations DLP 45

Pplanification

analyses de McAfee DLP Discover 43

analyses uniques de McAfee DLP Discover 43

programme de validationalgorithme 7

programmes de validation 26

Index


propriétés de documentclassification 21, 22

Rréactions 30

référentiels 39

référentiels Box 39

référentiels CIFS 39

référentiels SharePoint 39

règle de protection de la messagerieréactions 30

règle de protection webréactions 30

règles 29

création 31

définitions 30

exceptions 31

réactions 30

règles d'équipement 31

règles d’actionréaction 7

règles de découverte de terminaux 31

règles de protection 31

rôle d’administrateurensemble d'autorisations 18

rôle de réviseurensemble d'autorisations 18

routage statiqueGestion partagée des appliances 19

Ssauvegardes

création 66

serveur de preuveajout 19

serveur OpenLDAP 15

SNMPGestion partagée des appliances 19

spécification de fuseau horaireGestion partagée des appliances 19

stratégies 29

affecter à McAfee DLP Prevent 34

jeu de règles 7surveillance 45

Gestion des appliances 56

Ttableaux de bord 45, 56

tâches de post-installation 14

terminologiedifférences entre les versions 7

Uutilisateur local

voir la création d’utilisateur 17

Wworkflow de migration 5

Index


McAfee Data Loss Prevention 10.x and 11.0 Guide de … · ATTRIBUTIONS DE MARQUES COMMERCIALES...

Documents

Transcript of McAfee Data Loss Prevention 10.x and 11.0 Guide de … · ATTRIBUTIONS DE MARQUES COMMERCIALES...