(McAfee ePolicy Orchestrator) · avis À tous les utilisateurs : lisez attentivement l'accord juridique correspondant À la licence que vous avez achetÉe. ... définitions de dictionnaire

Guide Produit de McAfee Data LossPrevention 11.0.000(McAfee ePolicy Orchestrator)

COPYRIGHTCopyright © 2018 McAfee LLC

ATTRIBUTIONS DE MARQUES COMMERCIALESMcAfee et le logo McAfee, McAfee Active Protection, ePolicy Orchestrator, McAfee ePO, Foundstone, McAfee LiveSafe, McAfee QuickClean, McAfee SECURE, SecureOS,McAfee Shredder, SiteAdvisor, McAfee Stinger, TrustedSource, VirusScan sont des marques commerciales de McAfee LLC ou de ses filiales aux Etats-Unis et dansd'autres pays. Les autres noms et marques sont la propriété de leurs détenteurs respectifs.

INFORMATIONS DE LICENCE

Accord de licenceAVIS À TOUS LES UTILISATEURS : LISEZ ATTENTIVEMENT L'ACCORD JURIDIQUE CORRESPONDANT À LA LICENCE QUE VOUS AVEZ ACHETÉE. IL DÉFINIT LES CONDITIONSGÉNÉRALES D'UTILISATION DU LOGICIEL SOUS LICENCE. SI VOUS IGNOREZ LE TYPE DE LICENCE QUE VOUS AVEZ ACQUIS, REPORTEZ-VOUS AUX DOCUMENTSCOMMERCIAUX ET AUTRES DOCUMENTS D'OCTROI DE LICENCE, OU AU BON DE COMMANDE, QUI ACCOMPAGNENT VOTRE PACKAGE LOGICIEL OU QUI VOUS ONTÉTÉ TRANSMIS SÉPARÉMENT DANS LE CADRE DE VOTRE ACHAT (SOUS LA FORME D'UN LIVRET, D'UN FICHIER INCLUS SUR LE CD DU PRODUIT OU D'UN FICHIERDISPONIBLE SUR LE SITE WEB À PARTIR DUQUEL VOUS AVEZ TÉLÉCHARGÉ LE PACKAGE LOGICIEL). SI VOUS N'ÊTES PAS D'ACCORD AVEC CERTAINS TERMES DE CETACCORD, N'INSTALLEZ PAS LE LOGICIEL. LE CAS ÉCHÉANT, VOUS POUVEZ RETOURNER LE PRODUIT À MCAFEE OU À VOTRE REVENDEUR AFIN D'EN OBTENIR LEREMBOURSEMENT INTÉGRAL.

2 Guide Produit de McAfee Data Loss Prevention 11.0.000

Sommaire

1 Présentation du produit 9Qu'est-ce que McAfee DLP ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9Fonctionnalités clés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10Fonctionnement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10McAfee DLP Endpoint et McAfee Device Control : contrôle du contenu des terminaux et des supports amovibles. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12

Fonctionnement du logiciel client . . . . . . . . . . . . . . . . . . . . . . . . . 13McAfee DLP Endpoint sur la plate-forme Microsoft Windows . . . . . . . . . . . . . . . 14McAfee DLP Endpoint sur la plate-forme OS X . . . . . . . . . . . . . . . . . . . . . 15

McAfee DLP Discover : analyse des fichiers, référentiels et bases de données . . . . . . . . . . . . 16Référentiels pris en charge . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17Types d'analyse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17

McAfee DLP Prevent - Protection du trafic web et de messagerie . . . . . . . . . . . . . . . . . 18Protection du trafic des e-mails . . . . . . . . . . . . . . . . . . . . . . . . . . 18Protection du trafic web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19

McAfee DLP Monitor : analyse du trafic réseau . . . . . . . . . . . . . . . . . . . . . . . . 20Protocoles pris en charge . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20

McAfee DLP Prevent for Mobile Email - Protection de la messagerie mobile . . . . . . . . . . . . . 21Interaction avec d'autres produits McAfee . . . . . . . . . . . . . . . . . . . . . . . . . 21

2 Planification de votre stratégie DLP 23Workflow McAfee DLP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23Processus de protection de McAfee DLP . . . . . . . . . . . . . . . . . . . . . . . . . . 24

Classer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24Localisation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25Protection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26Surveillance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28

Workflow de stratégie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28Workflow des meilleures pratiques de McAfee DLP Discover . . . . . . . . . . . . . . . . . . . 29Composants de stratégie partagés . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30

Configuration et utilisation3 Configuration des composants système 33

Configuration de McAfee DLP dans le catalogue de stratégies . . . . . . . . . . . . . . . . . . 33Importer ou exporter la configuration McAfee DLP Endpoint . . . . . . . . . . . . . . . 34Configuration client . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34Prise en charge des paramètres de configuration du client . . . . . . . . . . . . . . . . 37Configuration des paramètres du client . . . . . . . . . . . . . . . . . . . . . . . 37Configuration des paramètres de serveur . . . . . . . . . . . . . . . . . . . . . . 38

Protection des fichiers avec la gestion des droits . . . . . . . . . . . . . . . . . . . . . . . 40Fonctionnement de McAfee DLP avec la gestion des droits . . . . . . . . . . . . . . . . 40Serveurs de gestion des droits pris en charge . . . . . . . . . . . . . . . . . . . . . 41Définition d'un serveur de gestion des droits . . . . . . . . . . . . . . . . . . . . . 42

Création de rapports sur des événements avec preuve . . . . . . . . . . . . . . . . . . . . . 42

Guide Produit de McAfee Data Loss Prevention 11.0.000 3

Utilisation de preuves et du stockage de preuves . . . . . . . . . . . . . . . . . . . . 43Création de dossiers de preuves . . . . . . . . . . . . . . . . . . . . . . . . . . 45Configuration des paramètres de dossiers de preuves . . . . . . . . . . . . . . . . . . 45

Contrôle des affectations avec des utilisateurs et des ensembles d'autorisations . . . . . . . . . . . 46API REST pour importation de définitions et application de stratégies . . . . . . . . . . . . 47Création de définitions d'utilisateur final . . . . . . . . . . . . . . . . . . . . . . . 47Affectation d'ensembles d'autorisation McAfee DLP . . . . . . . . . . . . . . . . . . . 48Création d'un ensemble d'autorisations McAfee DLP . . . . . . . . . . . . . . . . . . 49

Utilisation de stratégies McAfee DLP . . . . . . . . . . . . . . . . . . . . . . . . . . . 52Définition des paramètres d'expiration de la connexion . . . . . . . . . . . . . . . . . 52Configurer un cluster d’appliances McAfee DLP Prevent . . . . . . . . . . . . . . . . . 52Fermer les ports SMTP de l’appliance McAfee DLP Prevent . . . . . . . . . . . . . . . . 53Spécification d'un niveau maximal d'imbrication des pièces jointes archivées . . . . . . . . . 53Ajout d'autres agents de transfert de messages (MTA) pouvant remettre des e-mails . . . . . . . 54Remise d'e-mails à l'aide de la répétition alternée . . . . . . . . . . . . . . . . . . . 54Limiter des connexions aux hôtes ou aux réseaux spécifiés . . . . . . . . . . . . . . . . 55Activation de TLS sur les messages entrants ou sortants . . . . . . . . . . . . . . . . . 55Configurer McAfee DLP Prevent pour analyser uniquement le trafic web chiffré . . . . . . . . 56Fermer les ports ICAP de l’appliance McAfee DLP Prevent . . . . . . . . . . . . . . . . . 56Activer une appliance McAfee DLP Prevent pour traiter les demandes de réponse . . . . . . . . 57Utilisation de serveurs d'authentification externes . . . . . . . . . . . . . . . . . . . 57Stratégie Gestion partagée des appliances . . . . . . . . . . . . . . . . . . . . . . 62Modification de la stratégie Email Gateway pour qu'elle fonctionne avec McAfee DLP Prevent . . . 62Intégration de McAfee DLP Prevent dans votre environnement web . . . . . . . . . . . . . 63

Fonctionnalités de McAfee ePO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65

4 Protection des supports amovibles 67Protection des équipements . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68Gestion des équipements avec des classes d'équipement . . . . . . . . . . . . . . . . . . . 69Définition d'une classe d'équipement . . . . . . . . . . . . . . . . . . . . . . . . . . . 70

Obtention d'un GUID . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70Création d'une classe d'équipement . . . . . . . . . . . . . . . . . . . . . . . . 71

Organisation d'équipements avec des modèles d'équipement . . . . . . . . . . . . . . . . . . 71Utilisation des modèles d'équipement . . . . . . . . . . . . . . . . . . . . . . . . 72Propriétés d'équipements . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76

Règles de contrôle des équipements . . . . . . . . . . . . . . . . . . . . . . . . . . . 79Création d'une règle pour équipements de stockage amovibles . . . . . . . . . . . . . . 79Créer une règle d'équipement Plug-and-Play . . . . . . . . . . . . . . . . . . . . . 81Créer une règle de périphérique d'accès aux fichiers de stockage amovible . . . . . . . . . . 82Création d'une règle d'équipement de type disque dur fixe . . . . . . . . . . . . . . . . 82Création d'une règle d'équipement Citrix . . . . . . . . . . . . . . . . . . . . . . . 83Création d'une règle d'équipement TrueCrypt . . . . . . . . . . . . . . . . . . . . . 84

Règles d'accès aux fichiers de stockage amovibles . . . . . . . . . . . . . . . . . . . . . . 85

5 Classification de contenu confidentiel 87Composants du module Classification . . . . . . . . . . . . . . . . . . . . . . . . . . . 87Utilisation des classifications . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88

Classification par destination de fichier . . . . . . . . . . . . . . . . . . . . . . . 89Classification par emplacement de fichier . . . . . . . . . . . . . . . . . . . . . . 91Extraction de texte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91Catégorisation des applications dans McAfee DLP Endpoint . . . . . . . . . . . . . . . . 91

Définitions de dictionnaire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92Définitions de modèle avancé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93Classification du contenu en fonction des propriétés de document ou des informations de fichier . . . . . 94Modèles d'application . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95Classification manuelle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95

Sommaire


Propriétés incorporées . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97Configuration de la classification manuelle . . . . . . . . . . . . . . . . . . . . . . 98

Documents enregistrés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98Enregistrement manuel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99Enregistrement automatique . . . . . . . . . . . . . . . . . . . . . . . . . . 100

Texte inclus dans la liste blanche . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100Création et configuration de classifications . . . . . . . . . . . . . . . . . . . . . . . . 100

Création d'une classification . . . . . . . . . . . . . . . . . . . . . . . . . . . 100Création de critères de classification . . . . . . . . . . . . . . . . . . . . . . . . 101Téléchargement de documents enregistrés . . . . . . . . . . . . . . . . . . . . . 101Chargement des fichiers vers le texte inclus dans la liste blanche . . . . . . . . . . . . . 102

Configurer des composants de classification pour McAfee DLP . . . . . . . . . . . . . . . . . 102Création de critères d'empreintes de contenu . . . . . . . . . . . . . . . . . . . . 103Affectation d'autorisations de classification manuelle . . . . . . . . . . . . . . . . . . 103Scénario d'utilisation : classification manuelle . . . . . . . . . . . . . . . . . . . . 104

Création de définitions de classification . . . . . . . . . . . . . . . . . . . . . . . . . . 105Création d'une définition de classification générale . . . . . . . . . . . . . . . . . . 105Création ou importation d'une définition de dictionnaire . . . . . . . . . . . . . . . . 105Création d'un modèle avancé . . . . . . . . . . . . . . . . . . . . . . . . . . 106Création d'une définition de liste d'URL . . . . . . . . . . . . . . . . . . . . . . . 107

Scénario d'utilisation : intégration du client Titus avec des marqueurs tiers . . . . . . . . . . . . . 108Scénario d'utilisation : intégration de Boldon James Email Classifier avec des critères de classification . . . 109

6 Protection de contenu confidentiel 111Création de stratégies avec des jeux de règles . . . . . . . . . . . . . . . . . . . . . . . 111Création de définitions de règle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111

Création d'un intervalle de ports réseau . . . . . . . . . . . . . . . . . . . . . . 112Création d'un intervalle d'adresses réseau . . . . . . . . . . . . . . . . . . . . . . 112Création d'une définition de liste d'adresses e-mail . . . . . . . . . . . . . . . . . . 113Création d'une définition d'imprimante réseau . . . . . . . . . . . . . . . . . . . . 114

Définition de règles pour protéger le contenu confidentiel . . . . . . . . . . . . . . . . . . . 114Définition de règles par réputation . . . . . . . . . . . . . . . . . . . . . . . . 115Protection des données utilisées . . . . . . . . . . . . . . . . . . . . . . . . . 115Règles de contrôle des équipements . . . . . . . . . . . . . . . . . . . . . . . . 120Règles de découverte dans McAfee DLP Endpoint et dans McAfee DLP Discover . . . . . . . . 121Règles de contrôle d'application . . . . . . . . . . . . . . . . . . . . . . . . . 121

Listes blanches . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121Personnalisation des messages aux utilisateurs finaux . . . . . . . . . . . . . . . . . . . . 122Création et configuration de règles et de jeux de règles . . . . . . . . . . . . . . . . . . . . 124

Création d'un jeu de règles . . . . . . . . . . . . . . . . . . . . . . . . . . . 124Création d'une règle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124Affectation de jeux de règles à des stratégies . . . . . . . . . . . . . . . . . . . . . 125Activation, désactivation ou suppression de règles . . . . . . . . . . . . . . . . . . . 126Sauvegarde et restauration d'une stratégie . . . . . . . . . . . . . . . . . . . . . 126Configuration de colonnes de règles ou de jeux de règles . . . . . . . . . . . . . . . . 126Création d'une définition de justification . . . . . . . . . . . . . . . . . . . . . . 127Création d'une définition de notification . . . . . . . . . . . . . . . . . . . . . . 128

Scénarios d'utilisation pour les règles . . . . . . . . . . . . . . . . . . . . . . . . . . 129Scénario d'utilisation : règle d'accès aux fichiers de stockage amovible avec processus inclus dans la listeblanche . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129Scénario d'utilisation : configurer un équipement amovible en lecture seule . . . . . . . . . 130Cas d'utilisation : bloquer et recharger un iPhone avec une règle d'équipement Plug-and-Play . . . 131Cas d'utilisation : empêcher de graver des informations confidentielles sur le disque . . . . . . 131Scénario d'utilisation - Bloquer les messages sortants qui comportent du contenu confidentiel, sauf s'ilssont envoyés à un domaine spécifié . . . . . . . . . . . . . . . . . . . . . . . . 133Scénario d'utilisation - Autoriser un groupe d'utilisateurs donné à envoyer des informations bancaires. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134

Sommaire


Scénario d'utilisation : classification des pièces jointes dans la catégorie PARTAGE-REQUIS en fonction deleur destination . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136

7 Analyse de données avec la découverte McAfee DLP Endpoint 139Protection des fichiers avec des règles de découverte . . . . . . . . . . . . . . . . . . . . 139Comment l'analyse de découverte fonctionne-t-elle ? . . . . . . . . . . . . . . . . . . . . . 140Recherche de contenu avec le robot de découverte de terminaux . . . . . . . . . . . . . . . . 141

Création et définition d'une règle de découverte . . . . . . . . . . . . . . . . . . . 141Création d'une définition de planificateur . . . . . . . . . . . . . . . . . . . . . . 142Configuration d'une analyse . . . . . . . . . . . . . . . . . . . . . . . . . . . 143Scénario d'utilisation : restauration des fichiers ou des e-mails mis en quarantaine . . . . . . . 143

8 Analyse des données avec McAfee DLP Discover 147Choix du type d'analyse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 147

Fonctionnement des analyses d'inventaire . . . . . . . . . . . . . . . . . . . . . . 148Fonctionnement des analyses de classification . . . . . . . . . . . . . . . . . . . . 148Fonctionnement des analyses de correction . . . . . . . . . . . . . . . . . . . . . 149Fonctionnement des analyses d’enregistrement . . . . . . . . . . . . . . . . . . . . 150

Informations utiles et limites des analyses . . . . . . . . . . . . . . . . . . . . . . . . . 152Référentiels et informations d'identification pour les analyses . . . . . . . . . . . . . . . . . 154Utilisation de définitions et de classifications avec des analyses . . . . . . . . . . . . . . . . . 155Utilisation de règles avec des analyses . . . . . . . . . . . . . . . . . . . . . . . . . . 156Configuration des stratégies pour les analyses . . . . . . . . . . . . . . . . . . . . . . . 157

Création de définitions pour des analyses . . . . . . . . . . . . . . . . . . . . . . 157Création de règles pour les analyses de correction . . . . . . . . . . . . . . . . . . . 162

Configuration d'une analyse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163Configuration d'une analyse d'inventaire . . . . . . . . . . . . . . . . . . . . . . 163Configuration d'une analyse de classification . . . . . . . . . . . . . . . . . . . . . 164Configuration d'une analyse de correction . . . . . . . . . . . . . . . . . . . . . . 165Configurer une analyse d’enregistrement . . . . . . . . . . . . . . . . . . . . . . 166

Exécution d'opérations d'analyse . . . . . . . . . . . . . . . . . . . . . . . . . . . . 167Analyse des données analysées . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 168

Utilisation d'OLAP dans McAfee DLP Discover . . . . . . . . . . . . . . . . . . . . 168Affichage des résultats d'analyse . . . . . . . . . . . . . . . . . . . . . . . . . 168Etude des résultats de l'analyse . . . . . . . . . . . . . . . . . . . . . . . . . . 168Affichage des résultats d'inventaire . . . . . . . . . . . . . . . . . . . . . . . . 169

Surveillance et génération de rapports9 Incidents et événements opérationnels 173

Surveillance et rapports d'événements . . . . . . . . . . . . . . . . . . . . . . . . . . 174Gestionnaire d’incidents DLP/Opérations DLP . . . . . . . . . . . . . . . . . . . . . . . 174

Fonctionnement du gestionnaire d'incidents . . . . . . . . . . . . . . . . . . . . . 175Traitement des incidents . . . . . . . . . . . . . . . . . . . . . . . . . . . . 177

Affichage des incidents . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 177Tri et filtrage des incidents . . . . . . . . . . . . . . . . . . . . . . . . . . . 178Configuration de l'affichage des colonnes . . . . . . . . . . . . . . . . . . . . . . 178Configuration de filtres d'incidents . . . . . . . . . . . . . . . . . . . . . . . . 179Affichage des détails relatifs à un incident . . . . . . . . . . . . . . . . . . . . . . 180

Gestion des incidents . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 181Mise à jour d'un incident unique . . . . . . . . . . . . . . . . . . . . . . . . . 181Mise à jour de plusieurs incidents . . . . . . . . . . . . . . . . . . . . . . . . . 182Envoyer les événements sélectionnés par e-mail . . . . . . . . . . . . . . . . . . . 183Gérer les étiquettes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 183

Utilisation des cas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 184Gérer les cas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 185

Sommaire


Créer des cas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 185Afficher les informations sur les cas . . . . . . . . . . . . . . . . . . . . . . . . 185Affecter des incidents à un cas . . . . . . . . . . . . . . . . . . . . . . . . . . 186Déplacement ou suppression d'incidents d'un cas . . . . . . . . . . . . . . . . . . . 186Mettre à jour les cas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 187Ajouter ou supprimer des étiquettes dans un cas . . . . . . . . . . . . . . . . . . . 188Supprimer des cas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 188

10 Collecte et gestion des données 189Modification des tâches serveur . . . . . . . . . . . . . . . . . . . . . . . . . . . . 189

Création d'une tâche Purge des événements . . . . . . . . . . . . . . . . . . . . . 190Création d'une tâche Notification par e-mail automatique . . . . . . . . . . . . . . . . 191Création d'une nouvelle tâche de définition du réviseur . . . . . . . . . . . . . . . . . 192

Surveillance des résultats des tâches . . . . . . . . . . . . . . . . . . . . . . . . . . . 192Création de rapports . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 193

Types de rapports . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 193Options de rapport . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 193Création d'une tâche serveur Données cumulées . . . . . . . . . . . . . . . . . . . 194

11 Journalisation et surveillance des appliances McAfee DLP 195Génération de rapports sur les événements . . . . . . . . . . . . . . . . . . . . . . . . 195

Evénements d’appliances McAfee DLP . . . . . . . . . . . . . . . . . . . . . . . 195Utilisation de syslog avec les appliances McAfee DLP . . . . . . . . . . . . . . . . . . 198

Surveillance de l'état et de l'intégrité du système . . . . . . . . . . . . . . . . . . . . . . 200Tableau de bord Gestion des appliances . . . . . . . . . . . . . . . . . . . . . . 200Intégrité du système . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 200Cartes d'intégrité du système . . . . . . . . . . . . . . . . . . . . . . . . . . 204Affichage de l'état d'une appliance . . . . . . . . . . . . . . . . . . . . . . . . . 207Téléchargement des fichiers MIB et SMI . . . . . . . . . . . . . . . . . . . . . . . 207

Maintenance et dépannage12 Diagnostics McAfee DLP Endpoint 211

Outil de diagnostic . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 211Vérification de l'état de l'agent . . . . . . . . . . . . . . . . . . . . . . . . . . 212Exécution de l'outil de diagnostic . . . . . . . . . . . . . . . . . . . . . . . . . 212Configuration des stratégies . . . . . . . . . . . . . . . . . . . . . . . . . . . 213

13 Gestion des appliances McAfee DLP et résolution de problèmes 215Surveillance des paquets supprimés sur une appliance virtuelle . . . . . . . . . . . . . . . . . 215Gestion avec la console de l’appliance McAfee DLP . . . . . . . . . . . . . . . . . . . . . 216Accès à la console de l'appliance . . . . . . . . . . . . . . . . . . . . . . . . . . . . 216Modification des paramètres réseau d'origine . . . . . . . . . . . . . . . . . . . . . . . 217Modifier les paramètres de vitesse et de duplex pour les appliances matérielles . . . . . . . . . . . 217Gestion des appliances matérielles avec le module RMM . . . . . . . . . . . . . . . . . . . 218

Configuration du module RMM . . . . . . . . . . . . . . . . . . . . . . . . . . 218Exécution de l'Assistant d'installation à l'aide du service KVM distant . . . . . . . . . . . . 219Meilleures pratiques : sécurisation du module RMM . . . . . . . . . . . . . . . . . . 219

Mise à niveau d’une appliance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 219Appliquer un patch, un Hotfix ou une nouvelle version au moyen de l’image d’installation interne 220Mettre à niveau l’appliance au moyen d’un CD . . . . . . . . . . . . . . . . . . . . 220Mettre à niveau l’appliance au moyen d’une clé USB . . . . . . . . . . . . . . . . . . 221

Redémarrage de l'appliance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 221Restauration des paramètres d'usine de l'appliance . . . . . . . . . . . . . . . . . . . . . 221Déconnexion de l'appliance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 221McAfee DLP Prevent n'accepte pas les e-mails . . . . . . . . . . . . . . . . . . . . . . . 222

Sommaire


Remplacement du certificat par défaut . . . . . . . . . . . . . . . . . . . . . . . . . . 222Régénérer la clé privée de l'appliance . . . . . . . . . . . . . . . . . . . . . . . 223

Messages d'erreur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 224Création d'un rapport pour la procédure d'escalade minimale (MER) . . . . . . . . . . . . . . . 226

A Annexe 229Conversion des stratégies et migration de données . . . . . . . . . . . . . . . . . . . . . 229Ports par défaut utilisés par McAfee DLP . . . . . . . . . . . . . . . . . . . . . . . . . 230Définitions et critères de classification . . . . . . . . . . . . . . . . . . . . . . . . . . 232Expressions régulières pour modèles avancés . . . . . . . . . . . . . . . . . . . . . . . 234Propriétés d'équipements . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 235La configuration du client prend en charge les règles de protection des données . . . . . . . . . . 237Actions des règles de protection des données . . . . . . . . . . . . . . . . . . . . . . . 240Réactions disponibles pour les types de règle . . . . . . . . . . . . . . . . . . . . . . . 242Comportement des analyses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 245Tableaux de bord prédéfinis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 246Glossaire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 248

Index 251

Sommaire


1 Présentation du produit

L'expression « fuite de données » implique la diffusion au-delà des frontières de l'entreprise d'informations denature confidentielle ou privée, à la suite d'une communication non autorisée via divers canaux de transfert,notamment des applications, des équipements physiques ou des protocoles réseau.

McAfee®

Data Loss Prevention (McAfee DLP) identifie et protège les données au sein de votre réseau. McAfeeDLP vous aide à comprendre les types de données sur votre réseau, l'accès aux données et leur transmission, etsi les données contiennent des informations confidentielles. Utilisez McAfee DLP pour créer et mettre en œuvredes stratégies de protection efficaces tout en minimisant le recours aux procédés d'« essais-erreurs ».

Sommaire Qu'est-ce que McAfee DLP ? Fonctionnalités clés Fonctionnement McAfee DLP Endpoint et McAfee Device Control : contrôle du contenu des terminaux et des supports amovibles McAfee DLP Discover : analyse des fichiers, référentiels et bases de données McAfee DLP Prevent - Protection du trafic web et de messagerie McAfee DLP Monitor : analyse du trafic réseau McAfee DLP Prevent for Mobile Email - Protection de la messagerie mobile Interaction avec d'autres produits McAfee

Qu'est-ce que McAfee DLP ?McAfee DLP est une suite de produits protégeant chacun différents types de données sur votre réseau.

• McAfee® Data Loss Prevention Endpoint (McAfee DLP Endpoint) : vérifie et contrôle le contenu et lesactions de l'utilisateur sur les terminaux.

• McAfee® Device Control : contrôle l'utilisation de supports amovibles sur les terminaux.

• McAfee® Data Loss Prevention Discover (McAfee DLP Discover) : analyse des référentiels de fichier, Box,SharePoint et de base de données pour identifier et protéger des données confidentielles. Les analysesd’enregistrement extraient des informations d’empreintes de référentiels de fichier et stockent les signaturesdans une base de données de documents enregistrés.

• McAfee® Data Loss Prevention Prevent (McAfee DLP Prevent) : collabore avec votre proxy web ou votreserveur MTA pour protéger le trafic web et le trafic des e-mails.

• McAfee® Data Loss Prevention Prevent for Mobile Email (McAfee DLP Prevent for Mobile Email) :collabore avec MobileIron pour surveiller les demandes de Microsoft Exchange ActiveSync ou deMicrosoft Office 365 ActiveSync.

• McAfee® Data Loss Prevention Monitor (McAfee DLP Monitor) : analyse passivement le trafic réseau nonchiffré afin de détecter d'éventuels incidents de fuite de données.

1


Fonctionnalités clésMcAfee DLP comprend les fonctions suivantes.

Protection avancée : utilise les empreintes, la classification et le marquage de fichier pour sécuriser lesdonnées confidentielles et non structurées, telles que la propriété intellectuelle et les secrets commerciaux.

McAfee DLP offre une protection complète pour tous les canaux de fuites potentielles, y compris leséquipements de stockage amovibles, le cloud, l'e-mail, la messagerie instantanée, le web, l'impression, lepresse-papiers, la capture d'écran et les applications de partage de fichiers.

Application de la conformité : garantit la conformité en mettant en œuvre des actions quotidiennesd'utilisateur final (envoi de messages, publication sur le cloud et téléchargement vers des équipements desupports amovibles).

Découverte et analyse : analyse les fichiers et les bases de données stockés sur les terminaux locaux, lesréférentiels partagés ou le cloud afin d'identifier les données confidentielles.

Education de l'utilisateur final : fournit des commentaires en temps réel via des messages pop-up éducatifsqui aident à développer une culture de la sécurité dans les entreprises et à sensibiliser les employés.

Gestion centralisée : intégration native avec les logiciels McAfee®

ePolicy Orchestrator®

(McAfee®

ePO™

) pourrationaliser la gestion des incidents et des stratégies.

FonctionnementTous les produits McAfee DLP identifient les données confidentielles ou l'activité de l'utilisateur, prennent desmesures sur les violations de stratégies et créent des incidents de violations.

Détecter et identifier

McAfee DLP identifie les données sur votre réseau lorsque ces données :

• sont utilisées par un utilisateur ou qu'un utilisateur y accède ;

• sont en transit dans votre réseau ou en dehors ;

• résident sur un système de fichiers local ou un référentiel partagé.

Réagir et protéger

Le logiciel peut prendre différentes mesures sur des données confidentielles, telles que :

• Signaler l'incident

• Bloquer l'accès utilisateur

• Déplacer ou chiffrer des fichiers

• Mettre en quarantaine les e-mails qui contiennent les données

Surveiller et signaler

Si des violations de stratégies sont découvertes, McAfee DLP crée un incident avec les détails de la violation.

Classement des données

McAfee DLP recueille des données et les classe par vecteurs - Données mobiles, Données stockées passivement etDonnées utilisées.

1 Présentation du produitFonctionnalités clés


Vecteur dedonnées

Description Produits

Données utilisées Actions des utilisateurs sur des terminaux, telles que lacopie de données et de fichiers sur un support amovible,l'impression de fichiers sur une imprimante locale et laprise de captures d'écran.

• McAfee DLP Endpoint

• McAfee Device Control

Données mobiles Trafic en temps réel sur votre réseau. Le trafic estanalysé, classé et stocké dans la base de donnéesMcAfee DLP.

• McAfee DLP Prevent

• McAfee DLP Prevent forMobile Email

• McAfee DLP Monitor

Données stockéespassivement

Données résidant dans des partages de fichiers, desbases de données et des référentiels. McAfee DLP peutexécuter des mesures correctives sur des donnéesstockées passivement, ainsi que les analyser et lessuivre.

• McAfee DLP Discover

• Découverte McAfee DLPEndpoint

Interaction entre les produits McAfee DLP

Installez tous les produits McAfee DLP pour utiliser l'ensemble des fonctionnalités de la suite de produits.

Ce diagramme présente un réseau simplifié où tous les produits McAfee DLP et McAfee ePO sont déployés.

Référence Description Vecteur dedonnées

1 McAfee ePO gère la configuration des stratégies et la gestion des incidentspour tous les produits McAfee DLP.

Non applicable

2 McAfee DLP Endpoint et McAfee Device Control surveillent et restreignentl’utilisation des données des utilisateurs. McAfee DLP Endpoint analyseégalement les systèmes de fichiers Endpoint et les messages.

• Donnéesutilisées

• Donnéesstockéespassivement

Présentation du produitFonctionnement 1


Référence Description Vecteur dedonnées

3 McAfee DLP Discover analyse les fichiers de référentiels locaux ou dans lecloud et de bases de données locales, pour rechercher des informationsconfidentielles. Les analyses d’enregistrement stockent les signatures dansune base de données. Vous pouvez utiliser des signatures pour définir desanalyses ou des stratégies pour McAfee DLP Prevent et McAfee DLP Monitor.

Données stockéespassivement

4 • McAfee DLP Prevent reçoit des e-mails à partir de serveurs MTA. Il analyseles messages, ajoute des en-têtes appropriés en fonction de la stratégieconfigurée et envoie les messages à un seul serveur MTA, égalementconnu sous le nom d'hôte actif.

• McAfee DLP Prevent reçoit le trafic web à partir de serveurs proxy web. Ilanalyse le trafic web, détermine si le trafic doit être autorisé ou bloqué, etrenvoie le trafic vers le serveur proxy web approprié.

• McAfee DLP Prevent for Mobile Email reçoit les e-mails d'un serveurMobileIron Sentry. Il analyse les e-mails et les pièces jointes et crée desincidents ou enregistre des preuves, en fonction de règles de protectionmobile.

Données mobiles

5 McAfee DLP Monitor acquiert des paquets réseau au moyen d'un tap réseau.Le trafic provenant de vos serveurs web et de messagerie, et des données àdestination et en provenance de vos partages réseau, est copié vers McAfeeDLP Monitor.

Non applicable

6 McAfee DLP Monitor analyse le trafic réseau, puis crée des incidents ouenregistre des preuves pour les protocoles pris en charge. Il applique desrègles de communication réseau, de protection web ou de protection de lamessagerie.

Données mobiles

McAfee DLP Endpoint et McAfee Device Control : contrôle du contenudes terminaux et des supports amovibles

McAfee DLP Endpoint inspecte les actions des utilisateurs de l'entreprise sur le contenu confidentiel sur leursordinateurs.

McAfee Device Control empêche toute utilisation non autorisée d'équipements de supports amovibles. McAfeeDLP Endpoint comprend toutes les fonctionnalités McAfee Device Control et protège, en outre, contre la pertede données grâce à de nombreux canaux de fuite de données potentiels.

Fonctions principales

McAfee Device Control :

• Contrôle les données qui peuvent être copiées sur des équipements amovibles ou contrôle les équipementseux-mêmes. Il peut bloquer complètement les équipements ou les rendre accessibles en lecture seule.

• Bloque l'exécution des fichiers exécutables sur les équipements amovibles. Des exceptions peuvent êtredéfinies pour les fichiers exécutables nécessaires, par exemple pour la protection antivirus.

• Fournit une protection pour les lecteurs USB, les smartphones, les équipements et autres supportsamovibles

McAfee DLP Endpoint offre une protection contre la fuite de données à partir des sources suivantes :

• Logiciel de presse-papiers

• Applications cloud

1 Présentation du produitMcAfee DLP Endpoint et McAfee Device Control : contrôle du contenu des terminaux et des supports amovibles


• E-mails (y compris ceux envoyés vers des appareils mobiles)

• Partages réseau

• Imprimantes

• Captures d'écran

• Applications et navigateurs spécifiés

• Publications web

Le moteur de classification McAfee DLP applique des définitions et des critères de classification qui définissentle contenu à protéger, ainsi que l'endroit et le moment où la protection est appliquée. Les règles de protectionappliquent ces critères de classification et d’autres définitions pour protéger le contenu confidentiel.

Règles Prises en charge par

Protection des données • McAfee DLP Endpoint

• McAfee Device Control (règles de protection des périphériques de stockageamovibles uniquement)

Contrôle des équipements • McAfee DLP Endpoint

• McAfee Device Control

Découverte • McAfee DLP Endpoint (découverte de terminaux)


Le robot de découverte McAfee DLP Endpoint s'exécute sur le terminal local. Il effectue une recherche dans lesystème de fichiers local et les fichiers de stockage des e-mails et applique des stratégies pour protéger lecontenu confidentiel.

Fonctionnement

McAfee DLP Endpoint protège les informations confidentielles des entreprises :

• Applique des stratégies constituées de définitions, classifications, ensembles de règles, configurations declient de terminal et planification de découverte de terminaux

• Surveille les stratégies et bloque les actions sur le contenu confidentiel, le cas échéant

• Chiffre le contenu confidentiel avant d'autoriser l'action

• Crée des rapports permettant de contrôler le processus, et peut stocker du contenu confidentiel commejustification

Fonctionnement du logiciel clientLe logiciel client McAfee DLP Endpoint est déployé sous forme de plug-in McAfee Agent et applique lesstratégies définies dans la stratégie McAfee DLP. Le logiciel client McAfee DLP Endpoint contrôle les activitésutilisateur ; il effectue des opérations de surveillance et de vérification, et empêche les utilisateurs nonautorisés de copier ou transférer des données confidentielles. Il génère ensuite des événements enregistrés parl'analyseur d'événements McAfee ePO.

Analyseur d'événements

Les événements générés par le logiciel client McAfee DLP Endpoint sont envoyés à l'analyseur d'événementsMcAfee ePO et enregistrés dans des tables de la base de données McAfee ePO. Ils sont stockés dans la base dedonnées en vue d'analyses complémentaires et utilisés par d'autres composants du système.

Présentation du produitMcAfee DLP Endpoint et McAfee Device Control : contrôle du contenu des terminaux et des supports amovibles 1


Utilisation en ligne/hors ligne

Vous pouvez appliquer différentes règles d'équipement et de protection, selon que l'ordinateur géré est en ligne(connecté au réseau de l'entreprise) ou hors ligne (déconnecté du réseau). Quelques règles permettentégalement de différencier les ordinateurs situés à l'intérieur du réseau de ceux connectés au réseau par VPN.

McAfee DLP Endpoint sur la plate-forme Microsoft WindowsLes ordinateurs Windows peuvent être protégés avec McAfee Device Control ou McAfee DLP Endpoint. Lelogiciel client McAfee DLP Endpoint utilise une technologie de découverte avancée, la reconnaissance demodèles de texte et des dictionnaires prédéfinis. Il identifie le contenu confidentiel, et intègre la gestion et lechiffrement des équipements pour garantir des niveaux de contrôle supplémentaires.

Le logiciel IRM (Information Rights Management) protège les fichiers confidentiels à l'aide du chiffrement et dela gestion des autorisations d'accès. McAfee DLP Endpoint prend en chargeMicrosoft Rights Management Service (RMS) et Seclore FileSecure en tant que méthodes supplémentaires deprotection des données. Généralement, ces méthodes permettent d'empêcher la copie de fichiers non protégéspar le logiciel IRM.

Le logiciel de classification vérifie que les e-mails et les autres fichiers sont systématiquement classés etétiquetés de manière à en protéger le contenu. McAfee DLP Endpoint s'intègre avecTitus Message Classification et Boldon James Email Classifier pour Microsoft Outlook afin de créer des règles deprotection de la messagerie en fonction des classifications appliquées. Il s'intègre avec d'autres clients declassification Titus grâce au SDK Titus pour créer d'autres règles de protection en fonction des classificationsappliquées.

Prise en charge des lecteurs d'écran

Job Access With Sound (JAWS), un logiciel de lecture d'écran pour malvoyants très répandu, est pris en chargesur les ordinateurs clients. Les fonctionnalités de McAfee DLP Endpoint suivantes sont prises en charge :

• Fenêtre pop-up de notification de l'utilisateur final : si la boîte de dialogue contextuelle est configuréepour être fermée manuellement (dans le Gestionnaire de stratégies DLP), elle est lue à haute voix afin depermettre aux malvoyants de naviguer entre les boutons et les liens.

• Boîte de dialogue de justification de l'utilisateur final : la liste déroulante est accessible avec la touchede tabulation, et la justification peut être sélectionnée avec les touches fléchées.

• Onglet Historique des notifications de la console de l'utilisateur final : lorsque cet onglet estsélectionné, JAWS lit « Notification history tab selected » (Onglet Historique des notifications sélectionné).Aucune action liée au contenu n'est disponible. Toutes les informations du volet droit sont lues à voix haute.

• Onglet Découverte de la console de l'utilisateur final : lorsque cet onglet est sélectionné, JAWS lit« Discovery tab selected » (Onglet Découverte sélectionné). Aucune action liée au contenu n'est disponible.Toutes les informations du volet droit sont lues à voix haute.

• Onglet Tâches de la console de l'utilisateur final : lorsque cet onglet est sélectionné, JAWS lit « Tasks tabselected » (Onglet Tâches sélectionné). Toutes les étapes sont accessibles via la touche de tabulation et lesinstructions correspondantes sont lues à voix haute.

• Onglet A propos de la console de l'utilisateur final : lorsque cet onglet est sélectionné, JAWS lit « Abouttab selected » (Onglet A propos sélectionné). Aucune action liée au contenu n'est disponible. Toutes lesinformations du volet droit sont lues à voix haute.

Plusieurs sessions utilisateur

Le logiciel client McAfee DLP Endpoint prend en charge le changement rapide d'utilisateur avec des sessionsutilisateur multiples sur les versions du système d'exploitation Windows qui prennent en charge cettefonctionnalité. La prise en charge du bureau virtuel peut aussi conduire à des sessions utilisateur multiples surun seul ordinateur hôte.

1 Présentation du produitMcAfee DLP Endpoint et McAfee Device Control : contrôle du contenu des terminaux et des supports amovibles


Console Endpoint

La console Endpoint permet de partager des informations avec l'utilisateur et de faciliter l'auto-correction desproblèmes. Pour la configurer, accédez à l'onglet Configuration client | Service d'interface utilisateur.

Pour activer la console sur les ordinateurs Windows, cliquez sur l'icône dans la barre d'état système etsélectionnez Gérer les fonctions | Console DLP Endpoint. Lorsqu'elle est entièrement configurée, elle comportequatre onglets :

• Historique des notifications : permet d'afficher les événements, y compris les détails des événementsagrégés.

• Découverte : permet d'afficher les détails des analyses de découverte.

• Tâches : permet de générer des codes d'identification et d'entrer des codes d'autorisation pour lecontournement de l'agent et la quarantaine.

• A propos : affiche des informations sur l'état de l'agent, la stratégie active, la configuration et le grouped'affectation d'ordinateurs, y compris les numéros d'ID de révision.

McAfee DLP Endpoint sur la plate-forme OS XMcAfee DLP Endpoint for Mac empêche toute utilisation non autorisée d’équipements amovibles et fournit uneprotection pour le contenu confidentiel sur les postes clients et les partages réseau.

McAfee DLP Endpoint for Mac prend en charge les règles pour les équipements de stockage amovibles et leséquipements Plug-and-Play. Il prend également en charge les règles de protection des données suivantes :

• Règle de protection de l'accès aux fichiers d'application

• Règles de protection du cloud

• Règles de protection du partage réseau

• Règles de protection des périphériques de stockage amovibles

Vous pouvez détecter le contenu confidentiel avec des classifications, comme sur les ordinateurs Windows,mais les documents enregistrés et le marquage ne sont pas pris en charge.

Les fonctionnalités ci-dessous sont également prises en charge :

• Classification manuelle

• Extraction de texte

Présentation du produitMcAfee DLP Endpoint et McAfee Device Control : contrôle du contenu des terminaux et des supports amovibles 1


• Chiffrement de preuves

• Définitions de justification métier

Console Endpoint

Sur les terminaux Mac, la console est activée à partir du menu McAfee de la barre d'état. Le tableau de bord estintégré à d’autres logiciels McAfee installés, tels que McAfee

®

VirusScan®

for Mac, et il affiche un aperçu de l’étatde tous les logiciels McAfee installés. La page Journal des événements affiche les événements récents relatifsaux logiciels McAfee. Cliquez sur une entrée pour en afficher les détails.

Figure 1-1 Affichage sur un terminal McAfee DLP Endpoint for Mac

Pour activer l'écran de contournement de l'agent, sélectionnez Préférences dans le menu.

McAfee DLP Discover : analyse des fichiers, référentiels et bases dedonnées

McAfee DLP Discover fonctionne sur des serveurs Microsoft Windows et analyse les systèmes de fichiers et lesbases de données du réseau pour identifier et protéger les fichiers et les données confidentiels.

McAfee DLP Discover est un logiciel évolutif et extensible adapté aux réseaux de toutes tailles. Vous pouvezdéployer McAfee DLP Discover sur autant de serveurs réseau que vous le nécessitez.

Fonctionnalités clés

Vous pouvez utiliser McAfee DLP Discover pour :

• La détection et la classification de contenu confidentiel

• Création de bases de données de signature des documents enregistrés

• Déplacement ou copie de fichiers confidentiels

1 Présentation du produitMcAfee DLP Discover : analyse des fichiers, référentiels et bases de données


• L'intégration avec les services RMS de Microsoft pour l'application de protections aux fichiers

• L'automatisation de tâches informatiques, comme rechercher les fichiers vides, déterminer les autorisationset répertorier les fichiers qui ont été modifiés au cours d'un intervalle de temps donné

Fonctionnement

McAfee ePO utilise McAfee®

Agent pour installer et déployer le logiciel McAfee DLP Discover vers un serveurDiscover, à savoir un serveur Windows désigné.

McAfee ePO applique la stratégie d’analyse aux serveurs Discover pour analyser le référentiel ou la base dedonnées à l’heure planifiée. Les données recueillies et les actions appliquées aux fichiers dépendent du type etde la configuration de l'analyse. Pour les analyses de base de données, les seules actions disponibles sont lesignalement de l’incident et le stockage de preuves.

Utilisez McAfee ePO pour effectuer des tâches de configuration et d'analyse, par exemple :

• Afficher les serveurs Discover disponibles

• Configurer et planifier les analyses

• Configurer des éléments de stratégies comme des définitions, des classifications et des règles

• Consulter les analyses de données et les résultats d'inventaire

• Consulter les incidents renvoyés par les analyses de correction

Référentiels pris en chargeMcAfee DLP Discover prend en charge les référentiels du réseau local et du cloud.

Référentiels de fichiers :

• Box

• CIFS (Common Internet File System)

• SharePoint 2010 et 2013

Les sites web SharePoint Enterprise Search Center (ESS) ne sont pas pris en charge. Un site ESS est unrassemblement d'éléments qui ne contient pas de fichiers, mais uniquement des liens vers les fichiersoriginaux. Pour les sites web ESS, vous devez analyser les collections de sites elles-mêmes ou l'applicationweb entière.

Bases de données :

• Microsoft SQL

• MySQL, éditions commerciales uniquement

• Oracle

Types d'analyseMcAfee DLP Discover prend en charge quatre types d'analyse : inventaire, classification, correction etenregistrement de document.

Analyses d'inventaire

Utilisez les analyses d'inventaire pour obtenir une vue d'ensemble des types de fichiers qui se trouvent dans leréférentiel. Cette analyse ne collecte que les métadonnées, les fichiers ne sont pas récupérés. McAfee DLPDiscover classe les métadonnées collectées par types de contenu et analyse des attributs tels que la taille du

Présentation du produitMcAfee DLP Discover : analyse des fichiers, référentiels et bases de données 1


fichier, son emplacement et son extension. Cette analyse permet d'obtenir un aperçu de votre référentiel oud'effectuer des tâches informatiques telles que la localisation des fichiers rarement utilisés. Vous pouvezeffectuer des analyses d'inventaire sur tous les référentiels de fichiers et bases de données pris en charge.

Analyses de classification

Utilisez les analyses de classification pour mieux visualiser les données qui se trouvent dans le référentiel ciblé.En comparant le contenu analysé avec diverses classifications (comme des modèles de texte ou desdictionnaires), vous pouvez analyser des modèles de données pour créer des analyses de correctionoptimisées. Vous pouvez effectuer des analyses de classification sur tous les référentiels de fichiers et bases dedonnées pris en charge.

Analyses de correction

Utilisez des analyses de correction pour rechercher les données en violation d’une stratégie. Vous pouvezeffectuer des analyses de correction sur tous les référentiels de fichiers et bases de données pris en charge.Vous pouvez surveiller des fichiers, leur appliquer une stratégie de gestion des droits, ou encore les copier oules exporter. Toutes les actions peuvent produire des incidents, qui sont signalés au Gestionnaire des incidentsde McAfee ePO.

Les analyses de bases de données vous permettent de surveiller, de signaler des incidents et de stocker despreuves.

Analyses d’enregistrement

Utilisez les analyses d’enregistrement de document pour extraire du contenu de fichiers, selon des critèresd’empreintes sélectionnés, et enregistrez les données dans une base de données de signatures.

Les documents enregistrés peuvent définir des analyses de classification et de correction, ou des stratégiespour McAfee DLP Prevent et McAfee DLP Monitor. Vous pouvez effectuer des analyses d’enregistrement dedocument uniquement sur les référentiels de fichiers pris en charge et non sur les bases de données. Un fichierpeut potentiellement être sélectionné par plusieurs analyses d’enregistrement de document. Dans ce cas, il estclassifié sur la base de plusieurs jeux de critères, et ses signatures sont conservées dans plusieurs documentsenregistrés.

McAfee DLP Prevent - Protection du trafic web et de messagerieMcAfee DLP Prevent s'intègre avec un serveur MTA ou un proxy web pour surveiller le trafic web et demessagerie, et empêcher tout incident de fuite de données potentielle.

Protection du trafic des e-mailsMcAfee DLP Prevent s'intègre avec tout agent de transfert de messages (MTA) qui prend en charge l'inspectiondes en-têtes.


McAfee DLP Prevent interagit avec votre trafic d'e-mails, génère des incidents et enregistre ces derniers dansMcAfee ePO pour examiner les cas ultérieurement.

1 Présentation du produitMcAfee DLP Prevent - Protection du trafic web et de messagerie


Fonctionnement

Figure 1-2 Flux de trafic des e-mails McAfee DLP Prevent

1 Utilisateurs : les e-mails entrants ou sortants sont dirigés vers le serveur MTA.

2 Serveur MTA : transfère les e-mails à McAfee DLP Prevent.

3 McAfee DLP Prevent : reçoit des connexions SMTP du serveur MTA et :• Décompose les composants de l'e-mail

• Extrait le texte pour l'identification par empreinte et l'analyse par la règle

• Analyse l'e-mail pour détecter des violations de stratégie

• Ajoute un en-tête X-RCIS-Action

• Envoie le message à l'hôte actif configuré

Dans cet exemple, l'hôte actif configuré est le MTA d'origine.

4 Serveur MTA : selon les informations qu'il obtient de l'en-tête X-RCIS-Action, le serveur MTA applique uneaction à l'e-mail.

Protection du trafic web


McAfee DLP Prevent reçoit les connexions ICAP d'un serveur proxy web, analyse le contenu et détermine si letrafic doit être autorisé ou bloqué.

Fonctionnement

Figure 1-3 Flux de trafic web McAfee DLP Prevent

Présentation du produitMcAfee DLP Prevent - Protection du trafic web et de messagerie 1


Etape Description

1 Les utilisateurs envoient le trafic web au serveur proxy web.

2 Le serveur proxy web transfère le trafic web à McAfee DLP Prevent.

3 McAfee DLP Prevent examine le trafic web et renvoie une réponse au serveur proxy web pourautoriser le trafic via le serveur de destination ou refuser l'accès.

Le serveur proxy web envoie le trafic web inspecté vers les destinations voulues.

McAfee DLP Monitor : analyse du trafic réseauUtilisez McAfee DLP Monitor pour en savoir plus sur la quantité et les types de données transférées sur leréseau. McAfee DLP Monitor ne bloque pas et ne modifie pas le trafic réseau : vous pouvez donc l’intégrer dansun environnement de production sans affecter le trafic en cours.

Types de règles de protection

McAfee DLP Monitor peut appliquer l’une de ces règles de protection McAfee DLP à votre trafic réseau.

• Protection de la messagerie : par défaut, McAfee DLP Monitor examine le trafic SMTP en utilisant les règles deprotection de la messagerie, qui incorporent des informations spécifiques au protocole telles que lesadresses e-mail de l’expéditeur et du destinataire.

• Protection web : par défaut, McAfee DLP Monitor examine le trafic HTTP et FTP en utilisant les règles deprotection web, qui incorporent des informations spécifiques au protocole telles que l’URL.

• Protection des communications réseau : McAfee DLP Monitor peut contrôler tout le trafic pris en charge à l’aidedes règles de protection des communications réseau, qui n’incorporent aucune information spécifique auprotocole.

Si vous ne souhaitez pas analyser le trafic SMTP, HTTP ou FTP avec des règles de protection web et deprotection de la messagerie, vous pouvez configurer McAfee DLP Monitor pour utiliser des règles deprotection des communications. Accédez à Menu | Catalogue de stratégies | Gestion des appliances DLP |Paramètres de McAfee DLP Monitor.

L’utilisation des règles de protection de la messagerie et de protection web vous permet de partager des règles avecMcAfee DLP Prevent.

Protocoles pris en chargeMcAfee DLP Monitor examine plusieurs protocoles.

• SMTP* • Telnet

• IMAP* • FTP

• POP3* • IRC

• HTTP • SMB**

• LDAP

McAfee DLP Monitor peut également analyser le trafic encapsulé dans SOCKS.

* Ces protocoles prennent en charge STARTTLS (connexion initiale au format de texte brut, convertie en TLS/SSLaprès la commande STARTTLS). McAfee DLP Monitor traite ces protocoles comme chiffrés et ne les analyse passi STARTTLS est utilisé.

1 Présentation du produitMcAfee DLP Monitor : analyse du trafic réseau


** Les données transférées à l’aide de SMB peuvent être chiffrées, selon la version du protocole et votreconfiguration.

McAfee DLP Monitor n’analyse pas directement le contenu des connexions chiffrées. Vous pouvez utiliser unepasserelle dédiée (par exemple la fonctionnalité Capture SSL dans Web Gateway) pour intercepter la connexionchiffrée et envoyer les données déchiffrées à McAfee DLP Monitor pour analyse. Pour plus d’informations,consultez la documentation de votre passerelle. Si McAfee DLP Monitor ne peut pas classifier une connexion sousun protocole connu, il indique la connexion comme étant inconnue.

McAfee DLP Prevent for Mobile Email - Protection de la messageriemobile

McAfee DLP Prevent for Mobile Email s'intègre avec les serveurs MDM (Mobile Device Management) MobileIronpour analyser les e-mails envoyés à des appareils mobiles.


McAfee DLP Prevent for Mobile Email analyse le trafic des e-mails de Microsoft Exchange ActiveSync ouMicrosoft Office 365 ActiveSync, génère des incidents et enregistre les incidents et les preuves dans McAfee ePOpour permettre l'examen ultérieur des cas.

Fonctionnement

A l'aide de la fonctionnalité ActiveSync de Microsoft Exchange, les applications de messagerie pour mobilespeuvent se connecter directement à Exchange pour envoyer et recevoir des e-mails. Ce trafic n'utilise pas SMTP,et ne peut donc pas être détecté par la protection de la messagerie McAfee DLP Prevent. Le serveur MobileIronMDM Sentry fait office de proxy ActiveSync frontal qui intercepte le trafic de messagerie mobile.

McAfee DLP Prevent for Mobile Email est un proxy inverse pour le serveur Microsoft Exchange. Il reçoit desdemandes ActiveSync en provenance du serveur MobileIron Sentry et il les délègue à Microsoft Exchange. Ilanalyse ensuite les réponses en provenance de Microsoft Exchange et il identifie les informations d’entrepriseconfidentielles ouvertes par des clients de messagerie sur les équipements Mobile connectés au serveurExchange d’entreprise. Le contenu confidentiel déclenche un événement dans le gestionnaire d'incidents DLP,lequel permettra ensuite d'examiner le cas.

Interaction avec d'autres produits McAfeeMcAfee DLP s'intègre avec d'autres produits McAfee, ce qui étend les fonctionnalités de la suite de produits.

Produit Description

McAfee ePO Tous les produits McAfee DLP s’intègrent avec McAfee ePO pour laconfiguration, la gestion, la surveillance et la génération de rapports.

McAfee® Email Gateway Intégration avec McAfee DLP Prevent pour fournir une protection de lamessagerie.

McAfee® File and RemovableMedia Protection (FRP)

S'intègre avec McAfee DLP Endpoint pour chiffrer les fichiers sensibles. Non prisen charge sur McAfee DLP Endpoint for Mac.

McAfee® Logon Collector Intégration avec McAfee DLP Monitor et McAfee DLP Prevent pour lesinformations d’authentification utilisateur.

McAfee® Web Gateway Intégration avec McAfee DLP Prevent pour fournir une protection web.

Présentation du produitMcAfee DLP Prevent for Mobile Email - Protection de la messagerie mobile 1


1 Présentation du produitInteraction avec d'autres produits McAfee


2 Planification de votre stratégie DLP

Présentation des workflows et des composants de stratégie pour vous aider à choisir votre approche pour DLP.

Sommaire Workflow McAfee DLP Processus de protection de McAfee DLP Workflow de stratégie Workflow des meilleures pratiques de McAfee DLP Discover Composants de stratégie partagés

Workflow McAfee DLPCe workflow fournit des indications générales pour utiliser vos produits McAfee DLP.

• Connaître vos données : détectez et déterminez les types de données qui se trouvent sur votre réseau.

1 Utilisez McAfee DLP pour surveiller passivement les données et les actions des utilisateurs sur le réseau.Vous pouvez utiliser les règles prédéfinies ou créer une stratégie de base.

2 Passez en revue les incidents et analysez les résultats des analyses pour détecter d'éventuelles violationsde stratégie. Utilisez ces informations pour créer une stratégie efficace.

• Configurer une stratégie : utilisez les règles pour réagir aux violations et protéger les données.

1 Classez et définissez les données sensibles en configurant des classifications et des définitions.

2 Assurez le suivi des données et des fichiers sensibles grâce à l'identification de contenu par empreinte etaux documents enregistrés.

3 Protégez les données avec des analyses et des règles. Configurez l'action à entreprendre lorsque desdonnées confidentielles sont découvertes, consultées ou transmises.

• Surveiller les résultats : surveillez les incidents et créez des rapports.

1 Passez en revue les incidents pour distinguer les faux positifs des véritables violations de stratégie.

2 Regroupez les incidents liés en dossiers (cas), pouvant être transmis à d'autres services, comme ledépartement juridique ou les ressources humaines.

• Affiner la stratégie : affinez votre stratégie en fonction de vos besoins. Continuez à surveiller les incidentset les résultats des analyses, et ajustez la stratégie en fonction des types de violation et des faux positifs quevous rencontrez.

2


Processus de protection de McAfee DLPLes fonctionnalités et les composants des stratégies McAfee DLP constituent un processus de protection intégréau workflow général.

Figure 2-1 Processus de protection de McAfee DLP

ClasserPour protéger le contenu confidentiel, commencez par définir et par classer les informations confidentielles àprotéger.

Le contenu est classé sur la base de classifications et de critères de classification que vous définissez. Les critèresde classification définissent les conditions de classification des données. Les méthodes pour définir les critèressont les suivantes :

• Modèles avancés : expressions régulières combinées avec des algorithmes de validation, utilisées pourrechercher des modèles, par exemple pour détecter les numéros de carte de crédit.

• Dictionnaires : listes de mots ou de termes spécifiques ; par exemple, termes médicaux pour détecterd'éventuelles violations HIPAA.

• Types de fichiers réels : propriétés de document, informations sur le fichier ou application qui a créé lefichier

• Emplacement source ou de destination : URL, partages réseau ou application/utilisateur ayant créé oureçu le contenu.

2 Planification de votre stratégie DLPProcessus de protection de McAfee DLP


Les appliances McAfee DLP Endpoint et McAfee DLP prennent en charge les logiciels de classification tiers. Vouspouvez classer les e-mails à l'aide de Boldon James Email Classifier. Vous pouvez classer les e-mails ou d'autresfichiers à l'aide des clients de classification Titus : Titus Message Classification, Titus Classification for Desktop etTitus Classification Suite. Pour implémenter l'assistance Titus, le SDK Titus doit être installé sur les ordinateursclients.

McAfee DLP Prevent prend en charge les classifications Titus. Il ne prend pas en charge les classifications BoldonJames.

LocalisationMcAfee DLP peut localiser du contenu en fonction de son emplacement de stockage ou de l'application utiliséepour le créer.

Les mécanismes utilisés pour localiser le contenu sont les suivants :

• Identification de contenu par empreinte : prise en charge sur McAfee DLP Endpoint pour Windowsuniquement.

• Documents enregistrés : prise en charge sur McAfee DLP Endpoint pour Windows, McAfee DLP Discover,McAfee DLP Prevent et McAfee DLP Monitor.

L’enregistrement manuel, effectué dans le module Classification, est pris en charge sur McAfee DLP Endpointpour Windows, McAfee DLP Monitor et McAfee DLP Prevent. L’enregistrement automatique, effectué par lesanalyses d’enregistrement de McAfee DLP Discover, est pris en charge sur tous les autres produits McAfeeDLP.

• Classifications manuelles : créées par les utilisateurs de McAfee DLP Endpoint, mais prises en charge surtous les produits McAfee DLP.

Identification du contenu par empreinte

L’identification de contenu par empreinte est une technique d’identification et de localisation de contenu.L’administrateur crée un ensemble de critères d’identification de contenu par empreinte Les critères définissentsoit l'emplacement du fichier, soit l'application utilisée pour y accéder, ainsi que la classification à placer sur lesfichiers. Le client McAfee DLP Endpoint localise tous les fichiers ouverts à partir des emplacements, ou par lesapplications, définis dans les critères d'identification du contenu par empreinte et crée des signaturesd'empreinte de ces fichiers en temps réel dès que des utilisateurs y accèdent. Il utilise ensuite ces signaturespour localiser les fichiers ou des fragments de ceux-ci. Les critères d'identification de contenu par empreintepeuvent être définis par l'application, par chemin UNC (emplacement) ou par URL (application web).

Prise en charge de la conservation des informations d'empreinte

Les signatures d'empreinte de contenu sont stockées dans les attributs étendus (EA) du fichier ou dans d'autresflux de données (ADS). Lorsqu'un utilisateur accède à ces fichiers, le logiciel McAfee DLP Endpoint localise lestransformations de données et maintient la classification comme contenu confidentiel, quelle que soitl'utilisation qui est faite des données. Par exemple, si un utilisateur ouvre un document Word auquel uneempreinte a été appliquée, en copie quelques paragraphes dans un fichier texte et joint ce dernier à un e-mail,le message sortant possède la même signature que le document d'origine.

Pour les systèmes de fichiers qui ne prennent pas en charge les attributs étendus (EA) de fichier ou les autresflux de données (ADS), le logiciel McAfee DLP Endpoint stocke les informations des signatures sous la formed'un métafichier sur le disque. Les métafichiers sont stockés dans un dossier masqué nommé ODB$ qui estcréé automatiquement par le logiciel client McAfee DLP Endpoint.

Les signatures et les critères d’identification par empreinte ne sont pas pris en charge dans McAfee DeviceControl.

Planification de votre stratégie DLPProcessus de protection de McAfee DLP 2


Documents enregistrésLa technique des documents enregistrés consiste à pré-analyser l'ensemble des fichiers issus de répertoiresspécifiés (tels que votre site SharePoint d'ingénierie) et à créer des signatures de fragments pour chacun de cesfichiers. McAfee DLP Endpoint et les produits réseau McAfee DLP utilisent des versions de documentsenregistrés légèrement différentes.

McAfee DLP Endpoint utilise l’enregistrement manuel. Les signatures de fichiers sont chargées manuellementvers une base de données McAfee ePO par McAfee DLP. Ces signatures sont ensuite distribuées sur tous lesterminaux managés. Le client McAfee DLP Endpoint est alors en mesure de localiser n’importe quel paragraphecopié à partir d’un de ces documents et de le classer en fonction de la classification associée à la signature dudocument enregistré. McAfee DLP Prevent et McAfee DLP Monitor accèdent également à la base de donnéesMcAfee ePO pour utiliser des documents enregistrés.

McAfee DLP Discover exécute des analyses d’enregistrement sur les référentiels de fichiers. Les signaturescréées par cet enregistrement automatique sont stockées dans les bases de données de signatures sur lesserveurs désignés comme étant des DLP Servers (Serveurs DLP). Elles sont utilisées par McAfee DLP Discoverpour créer des analyses de classification et de correction. Elles sont également utilisées par McAfee DLP Preventet McAfee DLP Monitor pour définir des règles.

Les documents enregistrés utilisent une grande quantité de mémoire, ce qui peut réduire les performances dusystème. En effet, le logiciel McAfee DLP compare chaque document inspecté à l’ensemble des signatures desdocuments enregistrés afin d’identifier son origine.

Meilleure pratique : pour réduire le nombre de signatures et les répercussions de cette technique sur lesperformances du système, n'utilisez les documents enregistrés que pour localiser les documents les plussensibles.

Classification manuelleLes utilisateurs qui emploient la classification manuelle ont la possibilité d'appliquer des empreintes ou desclassifications de contenu à leurs fichiers. Les empreintes de contenu appliquées manuellement fonctionnentexactement comme l'identification par empreintes automatiques décrite précédemment. Les classifications decontenu appliquées manuellement incorporent un marqueur physique dans le fichier. Ce marqueur permet delocaliser le fichier quel que soit l'emplacement où il est copié, mais il ne crée pas de signatures. Le contenucopié à partir de ces fichiers dans d’autres fichiers ne peut pas être localisé.

La classification manuelle est prise en charge sur les ordinateurs Microsoft Windows et Mac. Si un utilisateurtente de classer un type de fichier qui ne prend pas en charge le marquage (par exemple, les fichiers TXT), unmessage d’erreur s’affiche.

ProtectionCréez des règles afin de détecter les données confidentielles et de prendre les mesures appropriées.Les règles sont constituées de conditions, d'exceptions et d'actions. Les conditions comportent plusieursparamètres (tels que les classifications) qui permettent de définir les données ou les actions de l'utilisateur àrechercher. Les exceptions spécifient des paramètres pour lesquels la règle n'est pas déclenchée. Les actionsdéfinissent le comportement de la règle lorsqu'elle est déclenchée, par exemple, si elle bloque l'accès desutilisateurs, si elle chiffre un fichier ou si elle crée un incident.

Règles de protection des donnéesLes règles de protection des données sont utilisées par McAfee DLP Endpoint, Device Control, McAfee DLPPrevent et McAfee DLP Monitor pour empêcher la distribution non autorisée de données confidentielles.Lorsqu'un utilisateur tente de copier ou de joindre des données confidentielles, McAfee DLP intercepte latentative et utilise les règles de protection des données afin de déterminer les mesures à prendre. Par exemple,McAfee DLP Endpoint peut interrompre la tentative et afficher une boîte de dialogue à l'utilisateur. Ce dernierdoit alors indiquer la justification de la tentative, puis le traitement continue.

2 Planification de votre stratégie DLPProcessus de protection de McAfee DLP


McAfee DLP Prevent utilise des règles de protection du web et de la messagerie pour surveiller lescommunications issues d'un serveur MTA ou d'un serveur proxy web, et leur appliquer des actions.

McAfee DLP Monitor peut appliquer les règles de protection des communications réseau, de protection de lamessagerie ou de protection web pour analyser le trafic pris en charge sur votre réseau.

McAfee Device Control utilise uniquement des règles de protection des données des équipements de stockageamovibles.

Règles de contrôle des équipements

Les règles de Contrôle des équipements surveillent le système et l'empêchent éventuellement de charger deséquipements physiques, notamment des équipements de stockage amovibles, Bluetooth, Wi-Fi et autreséquipements Plug-and-Play. Les règles de Contrôle des équipements sont constituées de modèlesd'équipement et de spécifications de réactions. Vous pouvez les affecter à des groupes d'utilisateurs finauxspécifiques en les filtrant à l'aide de définitions de groupes d'utilisateurs finaux.

Règles de contrôle d'application

Les règles de contrôle d’application bloquent l’application, plutôt que du contenu. Par exemple, une règle decontrôle d'application web bloque une URL spécifiée par nom ou par réputation.

Règles de découverte

Les règles de découverte sont utilisées par McAfee DLP Endpoint et McAfee DLP Discover pour analyser desfichiers et des données.

Découverte Endpoint est un robot qui s'exécute sur des ordinateurs managés. Il analyse le système de fichiersEndpoint local, ainsi que la boîte de réception des e-mails (en cache) et les fichiers PST locaux. Les règles dedécouverte du système de fichiers local et du stockage des e-mails précisent si le contenu doit être mis enquarantaine, marqué ou chiffré. Elles permettent également d'indiquer si le fichier ou l'e-mail classé doit êtresignalé comme un incident et si le fichier ou l'e-mail doit être stocké dans l'incident comme preuve.

Les analyses du système de fichiers ne sont pas prises en charge sur les systèmes d'exploitation de serveur.

McAfee DLP Discover analyse les référentiels de fichier et de base de données et peut déplacer ou copier desfichiers, appliquer des stratégies de gestion des droits aux fichiers et créer des incidents.

Jeux de règles

Les règles sont regroupées en jeux de règles. Un jeu de règles peut contenir n'importe quelle combinaison detypes de règles.

Stratégies

Les stratégies contiennent des jeux de règles actifs et sont déployées depuis McAfee ePO au logiciel clientMcAfee DLP Endpoint, au serveur de découverte ou à une appliance McAfee DLP. Les stratégies McAfee DLPEndpoint contiennent également des définitions et des informations d'affectation de stratégie.

Planification de votre stratégie DLPProcessus de protection de McAfee DLP 2


SurveillancePassez en revue les incidents afin de détecter les violations de stratégie.

Les fonctions de surveillance sont les suivantes :

• Gestionnaire d'incidents : les incidents sont envoyés à l'analyseur d'événements McAfee ePO et stockésdans une base de données. Les incidents contiennent les détails concernant la violation et peuventéventuellement inclure des informations de preuve. Vous pouvez afficher les preuves et les incidents dèsleur réception dans la console Gestionnaire d'incidents DLP.

• Gestion des cas : permet de regrouper des incidents liés dans des dossiers (cas) pour être analysés dans laconsole Gestion de cas DLP.

• Evénements opérationnels : permet d'afficher les erreurs et les événements administratifs dans la consoleOpérations DLP.

• Collecte des preuves : pour les règles qui sont configurées de manière à collecter des preuves, une copiedes données ou du fichier est enregistrée et associée à l'incident en question. Ces informations permettentde déterminer la gravité de l'événement ou le degré d'exposition associé. Les preuves sont chiffrées à l'aidede l'algorithme AES avant d'être enregistrées.

• Surlignage de correspondances : les preuves peuvent être enregistrées avec mise en surbrillance du texteresponsable de l'incident. Les preuves mises en surbrillance sont stockées dans un fichier HTML chiffrédistinct.

• Rapports : McAfee DLP Endpoint peut créer des rapports, des graphiques et des diagrammes de tendancequi sont affichés dans les tableaux de bord McAfee ePO.

Workflow de stratégieLes produits McAfee DLP utilisent un workflow similaire pour créer des stratégies.

Une stratégie se compose de règles, regroupées en jeux de règles. Les règles utilisent des classifications et desdéfinitions pour spécifier les éléments que McAfee DLP doit détecter. Les réactions des règles déterminentl'action à entreprendre si des données déclenchent la règle.

Utilisez le workflow suivant pour créer des stratégies.

1 Créez des classifications et des définitions.

2 Créez des règles de protection des données, de protection des équipements et de découverte. Toutes lesrègles requièrent des classifications ou des définitions.

2 Planification de votre stratégie DLPWorkflow de stratégie


3 Affectez des jeux de règles aux stratégies DLP. Pour McAfee DLP Discover, créez des définitions d'analyse.

4 Affectez et déployez les stratégies dans l'arborescence des systèmes. Pour McAfee DLP Discover, appliquezune stratégie à des serveurs Discover.

Figure 2-2 Composants d'une stratégie

Les options et la disponibilité de ces composants varient selon le produit McAfee DLP que vous utilisez.

Workflow des meilleures pratiques de McAfee DLP DiscoverCe workflow vous servira de guide lors de l'implémentation de McAfee DLP Discover, notamment dans lesnouveaux environnements.

1 Pour collecter des métadonnées sur les fichiers des référentiels de votre organisation, effectuez une analysed'inventaire. Les résultats de l'analyse vous aident à comprendre quels fichiers se trouvent dans lesréférentiels.

2 Configurez des classifications pour détecter des informations sensibles ou confidentielles. Utilisez cesclassifications pour définir et exécuter une analyse de classification.

3 Les résultats de l'analyse de classification vous permettent de localiser les informations sensibles.

4 Configurez une analyse de correction pour chiffrer les fichiers sensibles ou les déplacer vers un référentielplus sûr.

Planification de votre stratégie DLPWorkflow des meilleures pratiques de McAfee DLP Discover 2


5 Continuez à effectuer régulièrement des analyses, et vérifiez-en les résultats, ainsi que les incidents générés.Affinez les analyses sur la base des résultats ou des modifications apportées à la stratégie de votreorganisation.

6 Les documents enregistrés ont un impact important sur la mémoire RAM. Effectuez des analysesd’enregistrement sur les référentiels les plus confidentiels uniquement.

Composants de stratégie partagésLes produits McAfee DLP partagent de nombreux composants de configuration de stratégie.

Composant DeviceControl

McAfee DLPEndpoint

McAfee DLPDiscover

McAfee DLP Preventet McAfee DLPMonitor

Définitions X X X X

Classifications X* X X X

Critères de classificationde contenu

X* X X X

Critères d'identification ducontenu par empreinte

X

Classifications manuelles X X** X**

Documents enregistrés Enregistrementmanuel uniquement

Enregistrementautomatiqueuniquement

Enregistrementmanuel et

automatique

Texte inclus dans la listeblanche

X X

Règles et jeux de règles X X X X

Configuration client X X

Configuration du serveur X X

Preuves X* X X X

Gestion des droits X X

*Device Control utilise des classifications, des critères de classification du contenu et des preuves uniquementdans les règles de protection des périphériques de stockage amovibles.

**McAfee DLP Discover, McAfee DLP Monitor et McAfee DLP Prevent peuvent analyser les fichiers pour yrechercher des classifications manuelles, mais ces produits ne peuvent pas affecter de classificationsmanuelles.

2 Planification de votre stratégie DLPComposants de stratégie partagés


Configuration et utilisationConfigurez le logiciel pour bénéficier d'une utilisation optimisée dansl'environnement d'entreprise en fonction des décisions de gestion concernant lescontenus à protéger et la meilleure façon de les protéger.

Chapitre 3 Configuration des composants systèmeChapitre 4 Protection des supports amoviblesChapitre 5 Classification de contenu confidentielChapitre 6 Protection de contenu confidentielChapitre 7 Analyse de données avec la découverte McAfee DLP EndpointChapitre 8 Analyse des données avec McAfee DLP Discover


Configuration et utilisation


3 Configuration des composants système

Les composants système peuvent être personnalisés de manière à répondre parfaitement aux besoins de votreentreprise. La configuration des options de l'agent et du système permet d'optimiser la protection desinformations confidentielles de l'entreprise.

Sommaire Configuration de McAfee DLP dans le catalogue de stratégies Protection des fichiers avec la gestion des droits Création de rapports sur des événements avec preuve Contrôle des affectations avec des utilisateurs et des ensembles d'autorisations Utilisation de stratégies McAfee DLP Fonctionnalités de McAfee ePO

Configuration de McAfee DLP dans le catalogue de stratégiesMcAfee DLP utilise le Catalogue de stratégies dans McAfee ePO pour stocker des stratégies et desconfigurations client.

McAfee DLP crée des stratégies dans le Catalogue de stratégies. Ces stratégies sont affectées à des postesclients dans l’Arborescence des systèmes McAfee ePO.

• Stratégie DLP : contient les jeux de règles actives affectés à la stratégie, les analyses de découverte Endpointplanifiées, les paramètres pour la stratégie d'application, les remplacements de classe d'équipement et lesutilisateurs avec privilèges, ainsi que la validation de stratégie.

• Configuration serveur : contient les configurations McAfee DLP Discover, McAfee DLP Prevent, McAfee DLPMonitor et McAfee DLP Prevent for Mobile Email. Permet de définir les options du service de copie depreuve et de journalisation, les paramètres de SharePoint et de gestion des droits, ainsi que les optionsd'extracteur de texte.

La configuration serveur s’affiche uniquement si une licence McAfee DLP Discover, McAfee DLP Prevent ouMcAfee DLP Monitor est enregistrée.

Meilleure pratique : créez des configurations de serveur séparées pour McAfee DLP Discover, McAfee DLPPrevent, McAfee DLP Monitor et McAfee DLP Prevent for Mobile Email.

McAfee DLP Prevent et McAfee DLP Monitor utilisent uniquement la section Service de copie de preuve de laconfiguration serveur. McAfee DLP Prevent for Mobile Email utilise uniquement Proxy ActiveSync. McAfeeDLP Discover utilise toutes les sections sauf Proxy ActiveSync.

• Configurations client : des configurations séparées pour les ordinateurs Microsoft Windows et OS Xcontiennent les paramètres de configuration pour les clients McAfee DLP Endpoint. Les paramètresdéterminent la façon dont les clients appliquent les stratégies McAfee DLP sur les postes clients.

Les configurations client sont uniquement affichées si une licence McAfee DLP Endpoint est enregistrée.

3


La stratégie DLP comprend des jeux de règles actifs, la configuration Endpoint Discovery, des paramètres et lavalidation de stratégie.

Les stratégies de configuration client (Windows, OS X) contiennent des paramètres qui déterminent l'utilisationdes stratégies par les postes clients. Ils se trouvent à l'emplacement où vous activez le service de copie de preuvepour McAfee DLP Endpoint.

Utilisez les stratégies de configuration serveur pour McAfee Data Loss Prevention Discover, McAfee DLPMonitor et McAfee DLP Prevent. Configurez les paramètres tels que ceux du service de copie de preuve et de lajournalisation.

Importer ou exporter la configuration McAfee DLP EndpointLes configurations de stratégie Endpoint peuvent être enregistrées au format HTML pour la sauvegarde ou pourle transfert de stratégies vers d'autres serveurs McAfee ePO.

N'utilisez pas cette procédure pour enregistrer des configurations de stratégie DLP. Bien que l'option Exporterenregistre le fichier, l'option Importer ne parvient pas à l'importer. Pour enregistrer des stratégies DLP, utilisez lapage Sauvegarde et restauration dans Paramètres DLP.

Procédure

1 Dans McAfee ePO, sélectionnez Catalogue de stratégies | Produit | Data Loss Prevention.

2 Effectuez l'une des actions suivantes :

• Pour exporter, cliquez sur Exporter. Dans la fenêtre Exporter, cliquez avec le bouton droit de la souris surle lien du fichier et sélectionnez Enregistrer le lien sous pour enregistrer la stratégie en tant quefichier XML.

Le bouton Exporter permet d'exporter toutes les stratégies. Vous pouvez exporter une stratégieindividuelle en sélectionnant Exporter dans la colonne Actions de la ligne du nom de la stratégie.

• Pour importer une stratégie enregistrée, cliquez sur Importer. Dans la fenêtre Importer des stratégies,accédez à une stratégie enregistrée, cliquez sur Ouvrir, puis sur OK.

La fenêtre d'importation s'ouvre, indiquant les stratégies que vous êtes sur le point d'importer et laprésence de conflit de noms, le cas échéant. Vous pouvez désélectionner toutes les stratégies en conflitet ne pas les importer. Si vous choisissez d'importer une stratégie qui présente un conflit de noms, elleremplace la stratégie actuelle et prend ses affectations.

Configuration clientLe logiciel client McAfee DLP Endpoint pour McAfee Agent réside sur des ordinateurs d'entreprise et exécute lastratégie définie. Le logiciel surveille également les activités utilisateur impliquant du contenu confidentiel. Laconfiguration client est stockée dans la stratégie, qui est elle-même déployée sur les ordinateurs managés.

Le catalogue de stratégies comprend les stratégies par défaut de McAfee pour la configuration des terminauxWindows et OS X, ainsi que la stratégie DLP. Cliquez sur Dupliquer (dans la colonne Actions) pour créer une copiemodifiable qui servira de base pour votre stratégie.

La configuration cliente est stockée dans la stratégie, qui est elle-même déployée sur les ordinateurs managéspar McAfee ePO. Si la configuration est mise à jour, vous devez redéployer la stratégie.

Surveillance du service client

La surveillance du service client n'est pas pris en charge sur McAfee DLP Endpoint for Mac.

3 Configuration des composants systèmeConfiguration de McAfee DLP dans le catalogue de stratégies


Pour maintenir un fonctionnement normal du logiciel McAfee DLP Endpoint même en cas d'interférencemalveillante, McAfee DLP Endpoint exécute un service de protection appelé Surveillance du service client. Ceservice surveille le logiciel McAfee DLP Endpoint et le redémarre s'il est arrêté pour une raison quelconque. Leservice est activé par défaut. Pour vérifier que le service est en cours d'exécution, recherchez le servicefcagswd.exe parmi les processus du Gestionnaire des tâches Microsoft Windows.

Paramètres de configuration client

Les paramètres de configuration du client déterminent le mode de fonctionnement du logiciel Endpoint. Laplupart des paramètres de configuration client ont des valeurs par défaut raisonnables qui peuvent êtreutilisées pour le test et la configuration initiale sans modification.

Meilleure pratique : pour vérifier que les paramètres de configuration client continuent de répondre à vosexigences, contrôlez-les régulièrement.

Le tableau suivant répertorie les paramètres les plus importants à vérifier.

Tableau 3-1 Configuration du terminal

Paramètre Détails Description

Configuration avancée Exécutez le client DLP enmode sans échecS'applique aux clientsWindows uniquement

Option désactivée par défaut. Lorsque ce paramètreest activé, McAfee DLP Endpoint est entièrementfonctionnel lorsque l'ordinateur est démarré en modesans échec. Un mécanisme de récupération existe si leclient McAfee DLP Endpoint provoque une panne audémarrage.

Contournement de l'agentS'applique à la fois auxclients Windows etMac OS X

Arrête le contournement de l'agent quand unenouvelle configuration client est chargée. Cette optionest désélectionnée par défaut.

Suivi du contenuS'applique à la fois auxclients Windows etMac OS X

Utilisez la page de codeANSI de la fonction desecours suivante

Si aucun langage n'est défini, l'option de secoursutilisée est le langage par défaut de l'ordinateur client.

Processus inclus dans laliste blanche

Ajoute des processus et des extensions à la listeblanche.

Connectivité d'entrepriseS'applique à la fois auxclients Windows etMac OS X

Détection de réseaud'entreprise

Détection VPNd'entreprise

Vous pouvez appliquer différentes mesurespréventives sur les ordinateurs clients dans le réseaude l'entreprise ou en dehors. Pour certaines règles,vous pouvez appliquer différentes mesurespréventives en cas de connexion par VPN. Pour utiliserl'option VPN ou pour déterminer la connectivitéréseau par serveur d'entreprise plutôt que par laconnexion à McAfee ePO, définissez l'adresse IP duserveur dans la section correspondante.

Protection de la messagerieS'applique aux clientsWindows uniquement

Mise en cache des e-mails Permet de stocker les signatures de marqueurs dese-mails sur le disque pour éviter de les analyserplusieurs fois.

API de gestion d'e-mail Les messages sortants sont pris en charge par OOM(Outlook Object Model) ou MAPI (MessagingApplication Programming Interface). OOM est l'API pardéfaut, mais certaines configurations nécessitentMAPI.

Intégration ducomplément Outlook detierce partie

Deux applications de classification tierces sont prisesen charge : Titus et Boldon James.

Configuration des composants systèmeConfiguration de McAfee DLP dans le catalogue de stratégies 3


Tableau 3-1 Configuration du terminal (suite)

Paramètre Détails Description

Stratégie de délaid'expiration d'e-mail

Définit le délai maximal pour l'analyse d'un e-mail et lamesure à entreprendre en cas de dépassement dudélai.

Service de copie de preuveS'applique à la fois auxclients Windows etMac OS X

Partage du stockage depreuves UNC

Remplacez l'exemple de texte par le partage destockage de preuves.

Paramètres client Vous pouvez modifier l'affichage de l'option de miseen surbrillance en définissant les correspondances declassification sur toutes les correspondances ou tousles résultats abrégés.

Mode de fonctionnement etmodulesS'applique à la fois auxclients Windows etMac OS X

Mode de fonctionnement Définissez le mode Device Control ou le mode McAfeeDLP Endpoint complet. Redéfinissez ce paramètre sivous effectuez une mise à niveau ou un déclassementde licence.

Modules de protection desdonnées

Activent les modules requis

Meilleure pratique : pour améliorer lesperformances, désélectionnez les modules quevous n'utilisez pas.

Web ProtectionS'applique aux clientsWindows uniquement

Evaluation de laprotection web

Sélectionnez des paramètres pour l'évaluation de lademande web lorsque des règles de protection websont déclenchées. Ces paramètres permettent debloquer les demandes envoyées par A JAX vers uneURL différente de celle indiquée dans la barred'adresse. Vous devez sélectionner au moins uneoption.

Traiter les demandesHTTP GET

Les demandes GET sont désactivées par défaut, carelles consomment beaucoup de ressources. Utilisezcette option avec discernement.

Versions de Chromeprises en charge

Si vous utilisez Google Chrome, cliquez sur Parcourirpour ajouter la liste actuelle des versions prises encharge. La liste est un fichier XML que voustéléchargez à partir du support technique McAfee.

Stratégie de délaid'expiration web

Permet de définir le délai d'expiration de l'analyse dela publication web, l'action à appliquer en cas dedépassement du délai d'expiration et éventuellementun message destiné aux utilisateurs.

URL incluses dans la listeblanche

Fournit la liste des URL exclues des règles deprotection web.



Prise en charge des paramètres de configuration du clientMcAfee DLP Endpoint pour Windows et McAfee DLP Endpoint for Mac sont configurés dans des stratégies clientdistinctes.

Tableau 3-2 Page Débogage et journalisation

Paramètre Prise en charge du système d'exploitation

Evénements d'administrationsignalés par les clients

Les paramètres de filtre qui s'appliquent à la fois à McAfee DLP Endpoint pourWindows et à McAfee DLP Endpoint for Mac sont les suivants :• Le client passe en mode de contournement

• Le client quitte le mode de contournement

• Client installé

Tous les autres paramètres s'appliquent à McAfee DLP Endpoint pour Windowsuniquement.

Journalisation Pris en charge sur McAfee DLP Endpoint pour Windows et sur McAfee DLPEndpoint for Mac.

Tableau 3-3 Page Composants de l'interface utilisateur

Section Paramètre Prise en charge du systèmed'exploitation

Interface utilisateur du client Afficher la console DLP (toutesles options)

McAfee DLP Endpoint pour Windowsuniquement

Activer la fenêtre pop-up denotification de l'utilisateur final

McAfee DLP Endpoint pour Windows etMcAfee DLP Endpoint for Mac

Afficher la boîte de dialogueJustification de la demande

McAfee DLP Endpoint pour Windows etMcAfee DLP Endpoint for Mac

Demande d'authentification etréponse

Toutes les options McAfee DLP Endpoint pour Windows etMcAfee DLP Endpoint for Mac

Stratégie de déverrouillage du coded'autorisation

Toutes les options McAfee DLP Endpoint pour Windows etMcAfee DLP Endpoint for Mac

Image de la bannière du client Toutes les options McAfee DLP Endpoint pour Windowsuniquement

Configuration des paramètres du clientConfigurez les paramètres pour McAfee DLP Endpoint.

Procédure

1 Dans McAfee ePO, sélectionnez Menu | Stratégie | Catalogue de stratégies.

2 Dans la liste déroulante Produit, sélectionnez Data Loss Prevention 10.

3 (Facultatif) Dans la liste déroulante Catégorie, sélectionnez Configuration du client Windows ou Configurationdu client Mac OS X.

4 Sélectionnez une configuration à modifier ou cliquez sur Dupliquer pour la configuration de McAfee Default.

5 Sur la page Service de copie de preuve, indiquez le partage de stockage et les informations d'identification.

6 Mettez à jour les paramètres sur les autres pages selon vos besoins.

7 Cliquez sur Appliquer la stratégie.



Configuration des paramètres de serveurConfigurez les paramètres pour McAfee DLP Discover, McAfee DLP Prevent, McAfee DLP Monitor et McAfee DLPPrevent for Mobile Email.

Avant de commencerPour les paramètres serveur de McAfee DLP Discover :

• Si vous utilisez un serveur de gestion des droits, obtenez le nom de domaine, le nom utilisateuret le mot de passe.

• Si vous envisagez d'exécuter des analyses de correction sur des serveurs SharePoint, vérifiez siles serveurs SharePoint de votre entreprise utilisent la corbeille. Une mauvaise définition de ceparamètre peut entraîner des erreurs ou un comportement inattendu lors de l'analyse decorrection.

Pour le serveur McAfee DLP Prevent for Mobile Email :

Configurez le serveur MobileIron Sentry pour qu’il transfère toutes les demandes ActiveSync àMcAfee DLP Prevent for Mobile Email comme suit :

1 Ouvrez l’interface utilisateur du portail d’administration MobileIron.

2 Sur la barre d’outils supérieure, cliquez sur Paramètres.

3 Dans le sous-menu des paramètres, cliquez sur Sentry pour afficher la liste des serveursMobileIron Sentry.

4 Cliquez sur Modifier sur le serveur MobileIron Sentry spécifique qui transfère les demandesActiveSync à McAfee DLP Prevent for Mobile Email.

La boîte de dialogue Edit Standalone Sentry (Modifier Standalone Sentry) s’ouvre.

5 Dans la boîte de dialogue Edit Standalone Sentry (Modifier Standalone Sentry), modifiez la sectionActiveSync Configuration (Configuration ActiveSync) et définissez les valeurs suivantes :

• Authentification du serveur : Autorisé à être transmis

• Serveur(s) ActiveSync : [adresse IP du serveur McAfee DLP Prevent for Mobile Email]

6 (Facultatif) Pour sécuriser la communication entre le serveur MobileIron Sentry et le serveurMcAfee DLP Prevent for Mobile Email, configurez un certificat SSL dans le serveur IIS s’exécutantau sein du serveur McAfee DLP Prevent for Mobile Email.

Pour plus d’informations sur la configuration de certificats SSL dans un serveur IIS, reportez-vous àla documentation Microsoft.

• McAfee DLP Prevent for Mobile Email utilise les paramètres Proxy ActiveSync uniquement.

• McAfee DLP Prevent et McAfee DLP Monitor utilisent les paramètres Service de copie de preuve uniquement.

• McAfee DLP Discover peut utiliser toutes les options des paramètres serveur, à l’exception de ProxyActiveSync, même si certaines sont facultatives.

Procédure



3 (Facultatif) Dans la liste déroulante Catégorie, sélectionnez Configuration du serveur.



https://technet.microsoft.com/en-us/library/cc732230(v=ws.10).aspx)

4 Effectuez l'une des actions suivantes.

• Sélectionnez une configuration serveur à modifier.

• Cliquez sur Dupliquer pour la configuration McAfee Default.

5 (Facultatif, McAfee DLP Discover uniquement) Sur la page Box, vérifiez les options de la Corbeille et del'historique des versions.

6 Sur la page Service de copie de preuve, indiquez le partage de stockage et les informations d’identification.

Pour McAfee DLP Prevent ou McAfee DLP Monitor, indiquez un nom d’utilisateur et un mot de passe. Nesélectionnez pas l’option de compte système local.

Meilleure pratique : utilisez les valeurs par défaut pour les paramètres serveur McAfee DLP Prevent et McAfeeDLP Monitor ignorent le paramètre de bande passante de transmission.

7 (Facultatif, McAfee DLP Discover uniquement) Sur la page Journalisation, définissez le type de sortie desjournaux et le niveau de journalisation.

Meilleures pratiques : utilisez les valeurs par défaut.

8 (Serveur McAfee DLP pour mobile uniquement) Sur la page Proxy ActiveSync, entrez le nom DNS du serveurActiveSync.

9 (Facultatif, McAfee DLP Discover uniquement) Sur la page Documents enregistrés :

a Vérifiez que le Moteur de classification des documents enregistrés est activé.

Le moteur de classification stocke une copie de la base de données de documents enregistrés dans lamémoire RAM, ce qui permet au serveur d’utiliser des documents enregistrés dans les analyses declassification et de correction. Si vous n’utilisez pas de documents enregistrés, vous pouvez désactiver lemoteur de classification.

b Définissez le serveur Copy content fingerprints (Copier les empreintes de contenu).

• Pour utiliser des documents enregistrés sur un seul LAN, acceptez la configuration par défaut.

• Pour utiliser des documents enregistrés sur plusieurs LAN, orientez le serveur McAfee DLP Discover versle serveur d’enregistrement sur le même LAN.

10 (McAfee DLP Discover uniquement) Sur la page Gestion des droits, définissez les informations d'identificationdu service de gestion des droits.

11 (McAfee DLP Discover uniquement) Sur la page SharePoint, sélectionnez ou désélectionnez l’option Utiliser lacorbeille lors de la suppression d’un fichier.

Si vous activez cette option alors que le serveur SharePoint n’utilise pas la corbeille, toute action Déplacereffectuée sur des fichiers échoue et elle est remplacée par l’action Copier. Dans SharePoint, la corbeille estactivée par défaut.

12 (Facultatif, McAfee DLP Discover uniquement) Sur la page Extracteur de texte, configurez les paramètresd'extraction de texte.

Meilleures pratiques : utilisez les valeurs par défaut.

a Définissez la page de code ANSI de secours.

La valeur par défaut utilise la langue par défaut du serveur Discover.

b Définissez la taille maximale des fichiers d'entrée et de sortie, ainsi que les délais d'expiration.




Protection des fichiers avec la gestion des droitsMcAfee DLP Endpoint et McAfee DLP Discover peuvent s'intégrer avec des serveurs de gestion des droits, afinde protéger les fichiers qui entrent dans des classifications de règles.

Avec McAfee DLP Endpoint versions 10.x et 11.x, vous devez installer Active Directory Rights ManagementServices Client 2.1 build 1.0.2004.0 sur chaque poste client à l’aide des services de gestion des droits. Lacommande Appliquer la gestion des droits ne fonctionne pas sans cette version du client RM.

McAfee DLP Prevent et McAfee DLP Monitor peuvent identifier si une protection de gestion des droits estappliquée à un e-mail ou à une pièce jointe. Cependant, ils ne permettent pas d’appliquer des stratégies degestion des droits.

Vous pouvez appliquer une réaction de stratégie de gestion des droits aux règles de protection des données etde découverte suivantes :

• Protection du cloud • Protection des serveurs de fichiers (CIFS)

• Système de fichiers Endpoint • Protection de SharePoint

• Protection Box

Les stratégies de gestion des droits ne peuvent pas être utilisées avec des règles Device Control.

McAfee DLP peut reconnaître des fichiers protégés par la gestion des droits en ajoutant une propriété dechiffrement aux critères de classification ou d'empreintes de contenu. Ces fichiers peuvent être inclus dans laclassification ou en être exclus.

Fonctionnement de McAfee DLP avec la gestion des droitsMcAfee DLP suit un workflow particulier pour appliquer des stratégies de gestion des droits aux fichiers.

Workflow de gestion des droits

1 Créez et appliquez une règle de protection des données ou de découverte avec une réaction indiquantd'appliquer une stratégie de gestion des droits. Cette réaction requiert un serveur de gestion des droits etune entrée de stratégie de gestion des droits.

2 Quand un fichier déclenche la règle, McAfee DLP l'envoie sur le serveur de gestion des droits.

3 Ce dernier applique les protections basées sur la stratégie spécifiée : chiffrement du fichier, limitation desutilisateurs autorisés à accéder au fichier ou à le déchiffrer, ou limitation des conditions dans lesquelles lefichier est accessible.

4 Le serveur de gestion des droits renvoie le fichier à la source avec les protections appliquées.

5 Si vous avez configuré une classification pour le fichier, McAfee DLP peut le surveiller.

Limitations

Le logiciel McAfee DLP Endpoint ne contrôle pas le contenu des fichiers protégés par la gestion des droits.Lorsqu'une classification est appliquée à un fichier qui est protégé par la gestion des droits, seuls les critèresd'empreintes de contenu (emplacement, application ou application web) sont conservés. Si un utilisateurmodifie le fichier, toutes les signatures d'empreinte sont perdues lors de son enregistrement.

3 Configuration des composants systèmeProtection des fichiers avec la gestion des droits


Serveurs de gestion des droits pris en chargeMcAfee DLP Endpoint prend en charge Microsoft RMS (Windows Rights Management Services) et les services degestion des droits d'information (IRM) de Seclore FileSecure™. McAfee DLP Discover prend en charge MicrosoftRMS.

Microsoft RMS

McAfee DLP prend en charge Microsoft RMS sur Windows Server 2003 et Active Directory RMS (AD-RMS) surWindows Server 2008 et 2012. Vous pouvez appliquer la protection Windows RMS aux applications suivantes :

Type de document Version

Microsoft Word 2010, 2013 et 2016

Microsoft Excel

Microsoft PowerPoint

SharePoint 2007

Serveur Exchange

Avec Microsoft RMS, McAfee DLP peut contrôler le contenu des fichiers protégés si l'utilisateur connectépossède des autorisations de consultation.

Pour plus d'informations sur Microsoft RMS, consultez la page http://technet.microsoft.com/fr-fr/library/cc772403.aspx.

Seclore IRM

McAfee DLP Endpoint prend en charge Seclore FileSecure RM, qui gère 140 formats de fichiers y compris lesformats de document les plus courants :

• Documents Microsoft Office

• Documents Open Office

• PDF

• Textes et formats texte, y compris CSV, XML et HTML

• Formats image, y compris JPEG, BMP, GIF, etc.

• Formats de conception ingénierie, y compris DWG, DXF et DWF

Le client McAfee DLP Endpoint peut être associé au client de bureau FileSecure pour bénéficier d'uneintégration en ligne et hors ligne.

Pour plus d'informations sur Seclore IRM, consultez la page http://seclore.com/seclorefilesecure_overview.html.

Configuration des composants systèmeProtection des fichiers avec la gestion des droits 3


http://technet.microsoft.com/en-us/library/cc772403.aspx

http://technet.microsoft.com/en-us/library/cc772403.aspx

http://seclore.com/seclorefilesecure_overview.html

Définition d'un serveur de gestion des droitsMcAfee DLP Endpoint prend en charge deux systèmes de gestion des droits : Microsoft Windows RightsManagement Services (RMS) et Seclore FileSecure™. Pour utiliser ces systèmes, configurez le serveur fournissantles stratégies de gestion des droits dans McAfee ePO.

Avant de commencer• Configurez les serveurs de gestion des droits et créez des stratégies et des utilisateurs. Obtenez

l'URL et le mot de passe de tous les serveurs : modèle de stratégie, certification et licence. PourSeclore, vous devez disposer de l'ID de fichier CAB Hot Folder et de la phrase secrète, ainsi que desinformations sur les éventuelles licences avancées, s'il y en a.

• Vérifiez que vous disposez des autorisations nécessaires pour afficher, créer et modifier desserveurs Microsoft RMS et Seclore. Dans McAfee ePO, sélectionnez Menu | Gestion des utilisateurs| Ensembles d'autorisations, et vérifiez que vous appartenez à un groupe disposant desautorisations requises dans Serveurs enregistrés.

Procédure

1 Dans McAfee ePO, sélectionnez Menu | Serveurs enregistrés.

2 Cliquez sur Nouveau serveur.

La page de description Serveurs enregistrés s'ouvre.

3 Dans la liste déroulante Type de serveur, sélectionnez le type de serveur à configurer : Serveur Microsoft RMSou Serveur Seclore.

4 Attribuez un nom à la configuration du serveur, puis cliquez sur Suivant.

5 Saisissez les détails requis. Une fois que vous avez renseigné les champs requis, cliquez sur Tester laconnectivité pour vérifier les données saisies.

• Les paramètres RMS comprennent aussi une section Paramètres de mise en œuvre DLP. Le champ Chemind'accès local vers le modèle RMS est facultatif, mais les champs d'URL pour la certification et les licencessont obligatoires, sauf si vous choisissez l'option de découverte de service automatique AD.

• Pour Seclore, les informations du fichier CAB Hot Folder sont obligatoires, mais les autres informationsde licence sont facultatives.

6 Cliquez sur Enregistrer lorsque vous avez terminé la configuration.

Création de rapports sur des événements avec preuveUne preuve est une copie des données ayant provoqué la publication d'un événement de sécurité dans leGestionnaire d'incidents DLP.

Plusieurs fichiers de preuve sont créés pour un événement lorsque cela est possible. Par exemple, si une règlede protection de la messagerie est déclenchée, l'e-mail, le corps du texte et les pièces jointes sont tousenregistrés comme fichiers de preuve.

Si une correspondance avec une classification est détectée dans l'en-tête des e-mails, aucune preuve distincten'est écrite, car la classification peut être trouvée dans le message lui-même. Le texte détecté est inclus dans lescorrespondances surlignées de la preuve créée pour le corps du message.

3 Configuration des composants systèmeCréation de rapports sur des événements avec preuve


Utilisation de preuves et du stockage de preuvesLa plupart des règles permettent d'enregistrer des preuves. Lorsque cette option est sélectionnée, une copiechiffrée du contenu bloqué ou surveillé est enregistrée dans le dossier de preuves prédéfini.McAfee DLP Endpoint stocke les preuves dans un emplacement temporaire du client, entre les intervalles decommunication agent-serveur. Lorsque McAfee Agent transmet les informations au serveur, le dossier estpurgé et les preuves sont enregistrées dans le dossier de preuves du serveur. Vous pouvez spécifier la taille etl'âge maximum du stockage de preuves locales lorsque l'ordinateur est hors ligne.

Prérequis relatifs au stockage des preuvesL'activation du stockage de preuves est la condition par défaut pour McAfee DLP. Si vous ne souhaitez pasenregistrer les preuves, vous pouvez améliorer les performances en désactivant le service de preuve. Leséléments suivants sont requis ou définis comme valeurs par défaut lors de la configuration du logiciel.

• Dossier de stockage de preuves : pour appliquer une stratégie à McAfee ePO, vous devez créer un dossierde stockage de preuves réseau et indiquer le chemin UNC vers le dossier. Spécifiez le chemin d'accès sur lapage Paramètres DLP. Le chemin UNC par défaut est copié vers les pages Service de copie de preuves de laconfiguration serveur (McAfee DLP Discover, McAfee DLP Prevent et McAfee DLP Monitor) et desconfigurations de client (McAfee DLP Endpoint) dans le Catalogue de stratégies. Vous pouvez modifier lesvaleurs par défaut afin de spécifier des dossiers de stockage de preuves différents dans les configurations.

• Service de copie de preuve : le service de copie de preuve pour McAfee DLP Endpoint est activé à la pageMode de fonctionnement et modules de la stratégie de configuration client. Il s’agit d’une sous-entrée du servicede notification, qui doit également être activée pour la collecte des preuves. Pour McAfee DLP Discover,McAfee DLP Prevent et McAfee DLP Monitor, le service est activé dans la stratégie de configuration duserveur.

mémoire et stockage de preuvesLe nombre de fichiers de preuve stockés pour chaque événement a des répercussions sur le volume destockage, les performances de l'analyseur d'événements et l'affichage à l'écran (et donc sur l'expérienceutilisateur) des pages Gestionnaire d'incidents DLP et Opérations DLP. Pour gérer les différentes exigences enmatière de preuve, le logiciel McAfee DLP fonctionne comme suit :

• Le nombre maximal de fichiers de preuve à stocker par événement est défini sur la page Service de copie depreuve.

• Si un grand nombre de fichiers de preuve est lié à un événement, seuls les 100 premiers noms de fichiersont enregistrés dans la base de données et affichés dans la page des détails du gestionnaire d'incidents DLP.Les fichiers de preuves restants (jusqu'à la valeur maximale définie) sont stockés dans le stockage depreuves partagé, mais ils ne sont pas associés à l'événement. Les rapports et les requêtes qui filtrent lespreuves par nom de fichier n'ont accès qu'à ces 100 premiers noms de fichier.

• Dans Gestionnaire d'incidents DLP, le champ Nombre total de correspondances affiche le nombre total depreuves.

• Si le stockage de preuves devient trop plein, McAfee DLP Prevent rejette temporairement le message avecune erreur SMTP. Un événement est répertorié dans le journal Evénements client et une alerte apparaît dansle tableau de bord Gestion des appliances.

Surlignage de correspondancesL'option de mise en surbrillance des résultats aide les administrateurs à identifier le contenu confidentiel àl'origine d'un événement.Lorsqu'elle est sélectionnée, elle enregistre un fichier de preuve HTML chiffré avec du texte extrait.

Le fichier de preuves est constitué d'extraits, où un extrait pour des classifications ou des empreintes decontenu contient généralement le texte confidentiel, avec 100 caractères qui le précèdent et 100 caractères quile suivent (pour le contexte). Il est organisé par la classification ou l'empreinte de contenu qui a déclenché

Configuration des composants systèmeCréation de rapports sur des événements avec preuve 3


l'événement, et comprend un décompte du nombre d'événements par classification ou empreinte de contenu.S'il existe plusieurs occurrences dans les 100 caractères de l'occurrence précédente, ces occurrences sont misesen surbrillance. Le texte en surbrillance et les 100 caractères suivants sont ajoutés à l'extrait. Si l'occurrence estdans l'en-tête ou le pied de page d'un document, l'extrait contient le texte en surbrillance sans le préfixe ou lesuffixe de 100 caractères.

Les options d'affichage sont définies sur la page Service de copie de preuve de la stratégie de configuration clientou serveur dans le champ La classification correspond au fichier :

• Créer des résultats abrégés (option par défaut)

• Créer toutes les correspondances

• Désactivé : désactive la fonctionnalité de mise en surbrillance des occurrences.

Les résultats abrégés peuvent contenir jusqu'à 20 extraits. Un fichier d'occurrence de toutes lescorrespondances mis en surbrillance peut contenir un nombre illimité d'extraits, mais le nombre d'occurrencespar classification est limité. Pour les classifications Modèle avancé et Mot clé, la limite est de 100 occurrences.Pour les classifications Dictionnaire, la limite est de 250 occurrences par entrée de dictionnaire. S'il y a plusieursclassifications dans un fichier d'occurrence mis en surbrillance, les noms de classification et les nombres decorrespondances sont affichés au début du fichier, avant les extraits.

Règles autorisant le stockage de preuvesCes règles possèdent une option de stockage de preuves.

Tableau 3-4 Preuves enregistrées par des règles

Règle Ce qui est enregistré Produit

Règle de protection de l'accès aux fichiersd'application

Copie du fichier McAfee DLP Endpoint

Règle de protection du Presse-papiers Copie du Presse-papiers

Règle de protection du cloud Copie du fichier

Règle de protection de la messagerie Copie de l'e-mail • McAfee DLP Endpoint



Règle de protection mobile Copie de l'e-mail McAfee DLP Prevent for MobileEmail

Règle de protection des communications réseau Copie du contenu McAfee DLP Endpoint et McAfeeDLP Monitor

Règles de protection du partage réseau Copie du fichier McAfee DLP Endpoint

Règle de protection contre l'impression Copie du fichier

Règle de protection des périphériques destockage amovibles

Copie du fichier

Règle de protection contre les captures d'écran JPEG de l'écran

Règle de découverte du système de fichiers Copie du fichier

Règle de découverte du stockage des e-mails Copie du fichier .msg

Règle de protection web Copie de la publication web • McAfee DLP Endpoint



Règle de protection de Box Copie du fichier McAfee DLP Discover

3 Configuration des composants systèmeCréation de rapports sur des événements avec preuve


Tableau 3-4 Preuves enregistrées par des règles (suite)

Règle Ce qui est enregistré Produit

Règle de protection des serveurs de fichiers(CIFS)

Copie du fichier

Règle de protection de SharePoint Copie du fichier

Database Protection Rule (Règle de protectiondes bases de données)

Copie de la table

Création de dossiers de preuvesLes dossiers de preuves contiennent des informations utilisées par tous les produits logiciels McAfee DLP pourcréer des stratégies et pour générer des rapports. En fonction de votre installation McAfee DLP, vous devezcréer des dossiers et des partages réseau, puis configurer les propriétés et les paramètres de sécuritécorrespondants.

Les chemins d'accès des dossiers de preuves se trouvent à des endroits différents dans les différents produitsMcAfee DLP. Lorsque plusieurs produits McAfee DLP sont installés dans McAfee ePO, les chemins d'accès UNCpour les dossiers de preuves sont synchronisés. Il est généralement préférable (mais non obligatoire) de placerles dossiers sur le même ordinateur que le serveur de base de données McAfee DLP.

Le chemin d'accès de stockage de preuves doit être un chemin de partage réseau, c'est-à-dire qu'il doit inclure lenom du serveur.

• Dossier de preuves : certaines règles permettent de stocker des preuves. Vous devez donc désigner àl'avance un emplacement où les stocker. Si, par exemple, un fichier est bloqué, une copie de celui-ci estplacée dans le dossier de preuves.

• Copier et déplacer des dossiers : utilisé par McAfee DLP Discover pour appliquer des mesures correctivesà des fichiers.

Nous vous suggérons d'utiliser les chemins d'accès aux dossiers, les noms de dossiers et les noms de partagessuivants. Vous pouvez toutefois en créer d'autres, selon les besoins de votre environnement.

• c:\dlp_resources\

• c:\dlp_resources\evidence

• c:\dlp_resources\copy

• c:\dlp_resources\move

Configuration des paramètres de dossiers de preuvesLes dossiers de preuves stockent des informations de preuve lorsque des fichiers sont détectés par une règle.

En fonction de votre installation McAfee DLP, vous devez créer des dossiers et des partages réseau, puisconfigurer les propriétés et les paramètres de sécurité correspondants. Le champ obligatoire Stockage depreuves par défaut dans Paramètres DLP répond aux besoins de base, mais nous vous recommandons dedéfinir des partages de preuves distincts pour chaque produit McAfee DLP. La procédure de configuration departages de preuves décrite ci-dessous remplace le paramètre par défaut.

Vous devez configurer une autorisation en écriture pour le compte utilisateur qui écrit dans le dossier de preuves(le compte du système local sur le serveur, par exemple). Pour afficher les fichiers de preuve dans McAfee ePO,vous devez accorder un accès en lecture au compte du système local du serveur McAfee ePO.

Configuration des composants systèmeCréation de rapports sur des événements avec preuve 3


Procédure



3 Dans la liste déroulante Catégorie, sélectionnez l'une des options suivantes selon le produit à configurer.

• Configuration du client Windows : McAfee DLP Endpoint pour Windows

• Configuration du client Mac OS X : McAfee DLP Endpoint for Mac

• Configuration serveur : McAfee DLP Discover, McAfee DLP Prevent et McAfee DLP Monitor

4 Sélectionnez une configuration à modifier ou cliquez sur Dupliquer pour la configuration de McAfee Default.

5 Sur la page Service de copie de preuve :

a Choisissez d'activer ou de désactiver le service.

Le service de copie de preuve permet de stocker des preuves lorsque des règles sont déclenchées. Si leservice est désactivé, les preuves ne sont pas collectées et seuls des incidents sont générés.

b Si nécessaire, entrez le chemin UNC du partage du stockage des preuves. Si vous ne voulez pas utiliser lecompte système local, saisissez un nom d’utilisateur et un mot de passe pour stocker les preuves.

Pour McAfee DLP Prevent et McAfee DLP Monitor, vous devez indiquer un nom d’utilisateur et un mot depasse.

Par défaut, le chemin UNC est celui entré sur la page Paramètres DLP lors de la configuration de lalicence. Vous pouvez modifier ce chemin UNC pour chaque stratégie de travail que vous créez ouconserver les paramètres par défaut.

c (Facultatif) Rétablissez les filtres Taille maximum du fichier de preuve et Bande passante maximale detransmission des preuves par défaut.

McAfee DLP Prevent et McAfee DLP Monitor ignorent le paramètre de bande passante de transmission.

d Indiquez si le stockage du fichier original doit être activé ou désactivé.

Si vous sélectionnez Désactivé, le paramètre Stocker le fichier original est remplacé dans les règlesindividuelles.

e Indiquez si toutes les correspondances doivent être affichées en cas de détection de classification, ouseulement des résultats abrégés. Ce contrôle permet également de désactiver la recherche decorrespondances.


Contrôle des affectations avec des utilisateurs et des ensemblesd'autorisations

McAfee DLP utilise les options Utilisateurs et Ensembles d'autorisations de McAfee ePO pour affecter différentesparties de l'administration McAfee DLP à des utilisateurs ou à des groupes distincts.

Meilleure pratique : créez des ensembles d'autorisations, des utilisateurs et des groupes McAfee DLPspécifiques.

Créez divers rôles en affectant des autorisations d'administrateur et de réviseur spécifiques pour les différentsmodules McAfee DLP de McAfee ePO.

3 Configuration des composants systèmeContrôle des affectations avec des utilisateurs et des ensembles d'autorisations


Prise en charge des autorisations de filtrage de l'Arborescence des systèmes

McAfee DLP prend en charge les autorisations de filtrage de l'arborescence des systèmes de McAfee ePO dans lesconsoles Gestionnaire d'incidents DLP et Opérations DLP. Lorsque le filtrage de l'Arborescence des systèmes estactivé, les opérateurs McAfee ePO peuvent uniquement voir les incidents des ordinateurs figurant dans lapartie de l'Arborescence des systèmes pour laquelle ils disposent d'autorisations. Par défaut, les administrateursde groupes ne disposent d'aucune autorisation dans l'arborescence des systèmes de McAfee ePO. Quelles quesoient les autorisations affectées dans l'ensemble d'autorisations Data Loss Prevention, ils ne peuvent voir aucunincident dans les consoles Gestionnaire d'incidents DLP et Opérations DLP. Le filtrage de l'arborescence dessystèmes est désactivé par défaut, mais peut être activé dans les paramètres DLP.

Meilleure pratique : pour les clients qui utilisent Administrateurs de groupe dans l'ensemble d'autorisations DataLoss Prevention attribuez les autorisations suivantes aux administrateurs de groupe :

·Afficher l'onglet "Arborescence des systèmes" (sous Systèmes)·Accès à l'arborescence des systèmes au niveau approprié

Rédaction de données confidentielles et ensembles d'autorisations de McAfee ePO

Pour répondre à l'exigence légale de protection en toutes circonstances des données confidentielles, en vigueursur certains marchés, le logiciel McAfee DLP propose une fonctionnalité de rédaction de données. Les champsdes consoles Gestionnaire d'incidents et Opérations DLP qui contiennent des informations confidentiellespeuvent être rédigés de manière à empêcher toute consultation non autorisée. Les liens vers les preuvesconfidentielles sont masqués. La fonctionnalité est conçue avec une libération « double clé ». Ainsi, pourl'utiliser, vous devez créer deux ensembles d'autorisations : un pour afficher les incidents et les événements, et unautre pour afficher les champs rédigés (autorisation du superviseur). Les deux rôles peuvent être affectés aumême utilisateur.

API REST pour importation de définitions et application de stratégiesMcAfee DLP utilise une architecture REST (REpresentational State Transfer) pour certaines fonctions afin deréduire la bande passante.

Les appels d’API REST peuvent être utilisés pour créer des stratégies dans certaines circonstances et pourimporter certaines définitions. Pour utiliser cette fonctionnalité, les administrateurs McAfee DLP doivent êtredes utilisateurs McAfee ePO valides, avec des autorisations leur permettant d'effectuer les actions invoquéespar les API.

Vous pouvez créer des appels d'API REST dans le langage de programmation de votre choix. Voir l'articleKB87855 pour des exemples de code source Java expliquant comment utiliser les API REST.

Création de définitions d'utilisateur finalMcAfee DLP accède aux serveurs Active Directory (AD) ou Lightweight Directory Access Protocol (LDAP) pourcréer des définitions d'utilisateur final.

Les groupes d'utilisateurs finaux sont utilisés pour les affectations et les autorisations d'administrateur, ainsique dans les règles d'équipement et de protection. Ils peuvent être constitués d'utilisateurs, de groupesd'utilisateurs ou d'unités organisationnelles (Organizational Unit - OU), permettant ainsi à l'administrateur dechoisir un modèle approprié. Les entreprises organisées sur un modèle OU peuvent continuer à utiliser cemodèle, et les autres peuvent utiliser des groupes ou des utilisateurs individuels, si nécessaire.

Les objets LDAP peuvent être identifiés par leur nom ou ID de sécurité (SID). Les SID sont plus sûrs et lesautorisations peuvent être maintenues, même si les comptes sont renommés. D'autre part, ils sont stockés auformat hexadécimal et doivent être décodés pour les convertir en un format lisible.

Configuration des composants systèmeContrôle des affectations avec des utilisateurs et des ensembles d'autorisations 3


https://kc.mcafee.com/corporate/index?page=content&id=KB87855&actp=null&viewlocale=en_US&showDraft=false&platinum_status=false&locale=en_US

Procédure

1 Dans McAfee ePO, sélectionnez Menu | Protection des données | Gestionnaire de stratégies DLP.

2 Cliquez sur l'onglet Définitions.

3 Sélectionnez Source/Destination | Groupe d'utilisateurs finaux, puis Actions | Nouveau.

4 Sur la page Nouveau groupe d'utilisateurs, saisissez un nom unique et une description (facultatif).

5 Sélectionnez la méthode d'identification des objets (SID ou nom).

6 Cliquez sur l'un des boutons Ajouter (Ajouter des utilisateurs, Ajouter des groupes, Ajouter une unitéorganisationnelle).

La fenêtre de sélection s'ouvre et affiche le type d'informations sélectionné.

L'affichage peut prendre quelques secondes si la liste est longue. Si aucune information n'apparaît,sélectionnez Conteneur et enfants dans le menu déroulant Prédéfinir.

7 Sélectionnez les noms et cliquez sur OK pour les ajouter à la définition.

Répétez l'opération en fonction des besoins pour ajouter des utilisateurs, des groupes ou des utilisateursorganisationnels supplémentaires.

8 Cliquez sur Enregistrer.

Affectation d'ensembles d'autorisation McAfee DLPLes ensembles d'autorisations McAfee DLP affectent les autorisations de consultation et de sauvegarde desstratégies et les autorisations d'affichage des champs rédigés. Ils servent aussi à affecter le contrôle d'accèsbasé sur les rôles (RBAC).

Lors de l'installation du logiciel du serveur McAfee DLP, l'ensemble d'autorisations McAfee ePO est ajouté :prévention contre la fuite de données. Si une version précédente de McAfee DLP est installée sur le mêmeserveur McAfee ePO, cet ensemble d'autorisations apparaît également.

Les ensembles d'autorisations couvrent toutes les sections de la console de gestion. Il existe trois niveauxd'autorisation :

• Utilisation : l'utilisateur peut uniquement afficher les noms d'objet (définitions, classifications, etc.), mais pasles détails.

Pour les stratégies, l'autorisation minimale est Aucune autorisation.

• Affichage et utilisation ; l'utilisateur peut afficher les détails d'objet, mais ne peut pas les modifier.

• Autorisations complètes : l'utilisateur peut créer et modifier des objets.

Vous pouvez définir des autorisations pour différentes sections de la console de gestion, et donner desautorisations différentes aux administrateurs et aux réviseurs selon les besoins. Les sections sont regroupéespar hiérarchie logique, par exemple, si vous sélectionnez Classifications, Définitions est automatiquementsélectionné car des définitions doivent être utilisées lors de la configuration de critères de classification.

Les groupes d'autorisation McAfee DLP Endpoint sont les suivants :



Groupe I Groupe II Groupe III

• Catalogue de stratégies

• Gestionnaire de stratégies DLP

• Classifications

• Définitions


• Classifications

• Définitions

• Classifications

• Définitions

Le groupe d'autorisations McAfee DLP Discover est le suivant :

• DLP Discover


• Classifications

• Définitions

Gestion des incidents, Evénements opérationnels, Gestion des cas et Paramètres DLP peuvent être sélectionnésséparément.

Les autorisations pour Actions Data Loss Prevention ont été déplacées vers l'ensemble d'autorisations ActionsHelp Desk. Ces autorisations permettent aux administrateurs de générer des clés de désinstallation et decontournement du client, des clés de libération de quarantaine et des clés maîtres.

En plus de l'autorisation par défaut pour la section, vous pouvez définir un contrôle prioritaire pour chaqueobjet. Le contrôle prioritaire peut augmenter ou diminuer le niveau d'autorisation. Par exemple, dans lesautorisations Gestionnaire de stratégies DLP, tous les jeux de règles existants lors de la création de l'ensembled'autorisations sont répertoriés. Vous pouvez définir un contrôle prioritaire différent pour chacune. Lorsquedes jeux de règles sont créés, le niveau d'autorisation par défaut leur est affecté.

Création d'un ensemble d'autorisations McAfee DLPLes ensembles d'autorisations définissent différents rôles d’administrateur et de réviseur dans le logicielMcAfee DLP.

Procédure

1 Dans McAfee ePO, sélectionnez Menu | Gestion des utilisateurs | Ensembles d'autorisations.

2 Sélectionnez un ensemble d'autorisations prédéfini ou cliquez sur Nouveau pour créer un ensembled'autorisations.

a Entrez un nom pour l'ensemble et sélectionnez les utilisateurs.

b Cliquez sur Enregistrer.

3 Sélectionnez un ensemble d'autorisations, puis cliquez sur Modifier dans la section Data Loss Prevention.

a Dans le volet gauche, sélectionnez un module de protection des données.

Gestion des incidents, Evénements opérationnels et Gestion des cas peuvent être sélectionnés séparément.D'autres options permettent de créer automatiquement des groupes prédéfinis.

b Modifiez les options et remplacez des autorisations selon vos besoins.

Le Catalogue de stratégies n'a pas d'options à modifier. Si vous affectez le Catalogue de stratégies à unensemble d'autorisations, vous pouvez modifier les sous-modules dans le groupe Catalogue destratégies.



c Cliquez sur Enregistrer.

Procédures• Scénario d'utilisation : autorisations d'administrateur DLP, page 50

Vous pouvez séparer les tâches d'administrateur au besoin - par exemple, pour créer unadministrateur de stratégie sans responsabilités de révision des événements.

• Scénario d'utilisation : limiter l'affichage du Gestionnaire d'incidents DLP avec des autorisations derédaction, page 50Pour protéger les informations confidentielles, et pour répondre aux exigences juridiques surcertains marchés, McAfee DLP Endpoint propose une fonctionnalité de rédaction des données.

Scénario d'utilisation : autorisations d'administrateur DLPVous pouvez séparer les tâches d'administrateur au besoin - par exemple, pour créer un administrateur destratégie sans responsabilités de révision des événements.

Procédure

1 Dans McAfee ePO, sélectionnez Menu | Ensembles d'autorisations.

2 Cliquez sur Nouveau pour créer un ensemble d'autorisations.

a Entrez un nom pour l'ensemble et sélectionnez les utilisateurs.

Pour modifier une stratégie, l'utilisateur doit être le propriétaire de la stratégie ou membre de l'ensembled'autorisations d'administrateur global.

b Cliquez sur Enregistrer.

3 Dans l'ensemble d'autorisations Prévention contre la fuite de données, sélectionnez Catalogue de stratégies.

Les options Gestionnaire de stratégies DLP, Classifications et Définitions sont sélectionnées automatiquement.

4 Dans chacun des trois sous-modules, vérifiez que l'utilisateur dispose des autorisations complètes et del'accès complet.

Les autorisations complètes sont le paramètre par défaut.

L'administrateur peut maintenant créer et modifier des stratégies, des règles, des classifications et desdéfinitions.

Scénario d'utilisation : limiter l'affichage du Gestionnaire d'incidents DLP avec desautorisations de rédactionPour protéger les informations confidentielles, et pour répondre aux exigences juridiques sur certains marchés,McAfee DLP Endpoint propose une fonctionnalité de rédaction des données.

Lors de l'utilisation de la rédaction des données, des champs spécifiques dans les affichages Gestionnaired'incidents DLP et Opérations DLP contenant des informations confidentielles sont chiffrés pour empêcherl'affichage non autorisé, et des liens vers des preuves sont masqués.

Les champs Nom de l'ordinateur et Nom d'utilisateur sont prédéfinis comme privés.

Cet exemple montre comment configurer les autorisations Gestionnaire d'incidents DLP pour un réviseur derédaction, un administrateur unique qui ne peut pas afficher les incidents réels, mais qui peut révéler leschamps cryptés si nécessaire pour qu'un autre réviseur visualise l'incident.



Procédure

1 Dans McAfee ePO, sélectionnez Menu | Gestion des utilisateurs | Ensembles d'autorisations

2 Créez des ensembles d'autorisations pour des réviseurs réguliers et pour le réviseur de rédaction.

a Cliquez sur Nouveau (ou Actions | Nouveau).

b Saisissez un nom du groupe, par exemple Réviseur d'incidents DLPE ou Réviseur derédaction.

Vous pouvez affecter différents types d'incidents à différents groupes de réviseurs. Vous devez créer lesgroupes dans Ensembles d'autorisations avant de pouvoir leur affecter les incidents.

c Affectez des utilisateurs au groupe, depuis les utilisateurs McAfee ePO disponibles ou en mappant lesutilisateurs ou les groupes Active Directory avec l'ensemble d'autorisations. Cliquez sur Enregistrer.

Le groupe apparaît dans la liste Ensembles d'autorisations du volet gauche.

3 Sélectionnez un ensemble d'autorisations de réviseur standard, puis cliquez sur Modifier dans la sectionPrévention contre la fuite de données.

a Dans le volet gauche, sélectionnez Gestion des incidents.

b Dans la section Réviseur d'incidents, sélectionnez L'utilisateur peut consulter les incidents affectés auxensembles d'autorisations suivants, cliquez sur l'icône choisie et sélectionnez le ou les ensemblesd'autorisations pertinents.

c Dans la section Rédaction des données relatives aux incidents, désélectionnez Autorisation du superviseur pardéfaut, et sélectionnez l'option Masquer des données d'incidents sensibles.

La sélection de cette option active la fonction de rédaction. Si cette option est désélectionnée, tous leschamps de données s'affichent en texte clair.

d Dans la section Tâches relatives aux incidents, sélectionnez ou désélectionnez les tâches si nécessaire.

e Cliquez sur Enregistrer.

4 Sélectionnez l'ensemble d'autorisations de réviseur de rédaction, puis cliquez sur Modifier dans la sectionPrévention contre la fuite de données.

a Dans le volet gauche, sélectionnez Gestion des incidents.

b Dans la section Réviseur d'incidents, sélectionnez L'utilisateur peut consulter tous les incidents.

Dans cet exemple, nous supposons un seul réviseur de rédaction pour tous les incidents. Vous pouvezégalement affecter différents réviseurs de rédaction pour différents ensembles d'incidents.

c Dans la section Rédaction des données relatives aux incidents, sélectionnez les options Autorisation dusuperviseur et Masquer des données d'incidents sensibles.

d Dans la section Tâches relatives aux incidents, désélectionnez toutes les tâches.

Les réviseurs de rédaction ne doivent normalement pas avoir d'autres tâches de réviseur. Ceci estfacultatif en fonction de vos besoins spécifiques.




Utilisation de stratégies McAfee DLPDéfinissez les paramètres McAfee DLP dans les produits Gestion des appliances DLP, Data Loss Prevention etGestion partagée des appliances dans le Catalogue de stratégies.

Gestion des appliances DLPUtilisez les catégories Gestion des appliances DLP avec des appliances McAfee DLP. Vous pouvez effectuer desactivités comme la spécification de canaux d’hôte actif ou ICAP pour McAfee DLP Prevent, ou la spécification deparamètres McAfee DLP Monitor. Vous pouvez également configurer des paramètres d’équilibrage de charge etde délai d’expiration, et les serveurs LDAP qui doivent vous fournir des informations utilisateur.

Data Loss PreventionUtilisez la catégorie de stratégie Configuration du serveur pour modifier les paramètres du Service de copie depreuve afin de fonctionner avec les appliances McAfee DLP.

L’option Maximum evidence transmission bandwidth (KBps) (Bande passante maximale de transmission de preuve[Kbit/s]) ne s’applique pas aux appliances McAfee DLP.

Gestion des appliances partagéesSpécifiez les paramètres DNS et d'itinéraire statique et les serveurs de journalisation à distance. Vous pouvezégalement modifier la date et l'heure de l'appliance et activer les alertes et la surveillance SNMP.

Pour plus d'informations sur les paramètres de stratégie Appliance partagée, consultez les rubriques de l'aide del'extension Gestion des appliances.

Définition des paramètres d'expiration de la connexionModifiez le nombre de secondes pendant lequel McAfee DLP Prevent tente de se connecter avec un agent detransfert de messages (MTA).

Par défaut, McAfee DLP Prevent tente de se connecter pendant vingt secondes. Si aucune connexion ne peutêtre établie passé ce délai, il existe un problème avec le réseau ou le MTA qui doit être déterminé.

Procédure

1 Dans, McAfee ePO, ouvrez le catalogue de stratégies.

2 Sélectionnez le produit DLP Appliance Management (Gestion des appliances DLP), choisissez la catégorieGénéral et ouvrez la stratégie à modifier.

3 Dans Connexion suivante, saisissez le nombre de secondes pendant lequel McAfee DLP Prevent peut tenterde se connecter à un MTA.


Configurer un cluster d’appliances McAfee DLP PreventPour équilibrer la charge du trafic entrant et assurer ainsi un haut niveau de disponibilité, vous pouvez créerdes clusters d’appliances.

Avant de commencerConfigurez au moins deux appliances McAfee DLP Prevent avec le port LAN1 connecté au mêmesegment de réseau.

Toutes les appliances d'un cluster doivent être dans le même réseau ou sous-réseau.

3 Configuration des composants systèmeUtilisation de stratégies McAfee DLP


Procédure

1 Dans McAfee ePO, ouvrez le Catalogue de stratégies.

2 Sélectionnez le produit Gestion des appliances DLP, choisissez la catégorie Général et ouvrez la stratégie àmodifier.

3 Dans Equilibrage de charge, sélectionnez Activer.

4 Dans ID de cluster, utilisez les flèches pour sélectionner le numéro d’identification du cluster.

5 Dans IP virtuelle, saisissez une adresse IP virtuelle de façon à ce que les paquets pour cette adresse soientenvoyés à l'appliance principale de cluster.

Les appliances du cluster utilisent le masque réseau assigné à l'adresse IP physique. L'adresse IP virtuelledoit être dans le même réseau ou sous-réseau que les autres appliances McAfee DLP Prevent et ne doit pasêtre la même adresse IP que les autres appliances du cluster.

McAfee ePO envoie la configuration en mode Push à toutes les appliances du cluster lorsque vous appliquez lesmodifications. Cela prend environ cinq minutes pour que le cluster se stabilise et identifie l'appliance principalede cluster et les analyseurs de cluster. Les descriptions des appliances sont alors modifiées en conséquencedans la Gestion des appliances.

Fermer les ports SMTP de l’appliance McAfee DLP PreventAfin d'améliorer les performances et la sécurité sur une appliance dédiée à l'analyse du trafic web, fermez lesports SMTP.

Procédure


2 Sélectionnez le produit DLP Appliance Management (Gestion des appliances DLP), sélectionnez la catégorieParamètres d’e-mail de McAfee DLP Prevent et ouvrez la stratégie à modifier.

3 Désélectionnez Activer SMTP.

4 Cliquez sur Mettre à jour.


Spécification d'un niveau maximal d'imbrication des pièces jointesarchivéesPour protéger l’appliance contre les attaques par déni de service, définissez le niveau maximal d’imbrication despièces jointes archivées qu’elle tente d’analyser avant expiration.

Une pièce jointe imbriquée est par exemple un fichier .zip inclus dans un autre fichier .zip.

Procédure


2 Sélectionnez le produit Gestion des appliances DLP, choisissez la catégorie Général et ouvrez la stratégie àmodifier.

Configuration des composants systèmeUtilisation de stratégies McAfee DLP 3


3 Dans Niveau maximal d'imbrication, définissez le niveau maximal des pièces jointes d'archives imbriquées.


Ajout d'autres agents de transfert de messages (MTA) pouvant remettredes e-mailsMcAfee DLP Prevent remet les e-mails à l'aide de l'hôte actif configuré. Vous pouvez ajouter plusieurs MTAauxquels McAfee DLP Prevent peut remettre des e-mails en plus de l'hôte actif.

Avant de commencerVous devez disposer des adresses IP ou du nom des hôtes actifs.

McAfee DLP Prevent peut accepter des e-mails issus de plusieurs MTA mais ne transmet les messages inspectésqu'à l'un des hôtes actifs configurés.

Procédure


2 Sélectionnez le produit DLP Appliance Management (Gestion des appliances DLP), choisissez la catégorieParamètres d’e-mail de McAfee DLP Prevent et ouvrez la stratégie à modifier.

3 Ajoutez les détails des MTA que vous souhaitez utiliser.



Remise d'e-mails à l'aide de la répétition alternéeConfigurez McAfee DLP Prevent de manière à assurer la remise des e-mails sur plusieurs serveurs demessagerie en répartissant les messages entre eux.

Avant de commencerVous devez disposer des adresses IP ou du nom des hôtes actifs.

Procédure



3 Cochez la case Répétition alternée et ajoutez les détails des agents de transfert de messages (MTA) que voussouhaitez utiliser.





Limiter des connexions aux hôtes ou aux réseaux spécifiésPar défaut McAfee DLP Prevent accepte les messages provenant de tous les hôtes. Spécifiez les hôtes quipeuvent envoyer des messages à McAfee DLP Prevent, afin que seuls les MTA source légitimes puissent relayerles e-mails via l'appliance.

Procédure



3 Sélectionnez Accepter les messages provenant de ces hôtes uniquement.

4 Saisissez les détails d'un hôte à partir duquel l'appliance McAfee DLP Prevent peut recevoir des messages.

Ajoutez les informations de l'hôte en indiquant son adresse IP et son sous-réseau, des noms de domaine ouun nom de domaine utilisant des caractères génériques.

5 Cliquez sur Mettre à jour pour ajouter les détails à la liste des hôtes autorisés.

Vous pouvez créer des groupes d'hôtes relais à l'aide de sous-réseaux ou de domaines utilisant descaractères génériques. Pour ajouter plusieurs sous-réseaux, vous devez créer une entrée distincte pourchacun d'entre eux.

Activation de TLS sur les messages entrants ou sortantsVous pouvez indiquer si McAfee DLP Prevent utilise TLS pour protéger les messages entrants et sortants, ou s'ill'utilise uniquement s'il est disponible (on parle alors de protection Opportuniste). Une version de protocole deTLS 1.1 minimum est utilisée.

McAfee DLP Prevent peut réaliser des opérations de cryptographie qui sont conformes au standard FIPS 140-2.Cela signifie que les connexions TLS entrantes et sortantes utilisent des algorithmes de cryptographie de hautniveau.

L'utilisation du standard FIPS 140-2 peut impacter les performances lors de l'analyse du contenu SMTP.

L’option pour activer la norme FIPS 140-2 se trouve dans la catégorie Général du produit Gestion des appliancesDLP dans le Catalogue de stratégies. En raison de la nature de la norme FIPS 140-2, l’activation de cette fonctionréduit le débit de votre appliance. Pour plus d’informations, consultez l’article KB89109.

Le principe de fonctionnement de TLS est de transmettre un jeu de paramètres (protocole de transfert) audébut d'une connexion entre les serveurs participants. Lorsque ces paramètres sont définis, lescommunications entre les serveurs sont alors sécurisées et les autres serveurs n'ayant pas reçu le protocole detransfert ne peuvent les décoder.

Processus du protocole de transfert

• L'appliance demande une connexion sécurisée au serveur de messagerie de réception et lui présente uneliste de suites de chiffrement.

• Le serveur de réception sélectionne le chiffrement le plus fort qui soit pris en charge et en fournit les détailsà l'appliance.

• Les serveurs utilisent l'infrastructure de clés publiques (PKI) pour établir l'authenticité par échange decertificats numériques.



https://kc.mcafee.com/corporate/index?page=content&id=KB89109

• A l'aide de la clé publique du serveur, l'appliance génère un chiffre aléatoire qui servira de clé de session etl'envoie au serveur de messagerie de réception. Le serveur de réception déchiffre la clé à l'aide de la cléprivée.

• L'appliance et le serveur de messagerie de réception utilisent tous les deux la clé chiffrée pour configurer lescommunications et terminer le protocole de transfert.

Une fois le protocole de transfert terminé, la connexion sécurisée est utilisée pour transférer les e-mails. Laconnexion reste sécurisée jusqu'à sa fermeture.

Si vous sélectionnez l’option Toujours pour les communications sortantes, alors que l’hôte actif n’est pas configurépour utiliser TLS, McAfee DLP Prevent renvoie l’erreur 550 x.x.x.x : refusé par la stratégie. Erreur conversationTLS requise.

Procédure



3 Dans TLS (Transport Layer Security), sélectionnez Toujours, Jamais ou Opportuniste pour les communicationsentrantes.

Opportuniste est le paramètre par défaut.

4 Sélectionnez Toujours, Jamais ou Opportuniste pour les communications sortantes.

Opportuniste est le paramètre par défaut.


Configurer McAfee DLP Prevent pour analyser uniquement le trafic webchiffréAfin d'améliorer la sécurité, vous pouvez empêcher l’appliance McAfee DLP Prevent d'analyser le trafic web nonchiffré.

Procédure


2 Sélectionnez le produit DLP Appliance Management (Gestion des appliances DLP), sélectionnez la catégorieParamètres web de McAfee DLP Prevent et ouvrez la stratégie à modifier.

3 Désélectionnez ICAP non chiffré (port 1344).


Fermer les ports ICAP de l’appliance McAfee DLP PreventAfin d'améliorer la sécurité et les performances sur une appliance McAfee DLP Prevent dédiée à l'analyse dutrafic des e-mails, fermez les ports ICAP.



Procédure



3 Désélectionnez les deux options du service ICAP.


Activer une appliance McAfee DLP Prevent pour traiter les demandes deréponseVous pouvez configurer une appliance McAfee DLP Prevent pour analyser les demandes effectuées par lesutilisateurs externes à vos serveurs web.

Une manière courante de déployer McAfee DLP Prevent consiste à placer l'appliance McAfee DLP Prevent àl'intérieur de votre réseau et le serveur web à l'extérieur. Activer l'analyse RESPMOD peut impacter lesperformances car cela prend plus de temps pour obtenir les réponses de l'appliance, ce qui cause unralentissement au niveau de l'utilisateur.

Procédure



3 Sélectionnez RESPMOD.


Utilisation de serveurs d'authentification externesLes appliances McAfee DLP peuvent fonctionner avec des serveurs LDAP enregistrés et avec McAfee LogonCollector pour récupérer des informations utilisateur et des données de connexion. Ces données facilitentl’identification des utilisateurs responsables d’incidents de fuite de données, à l’aide de leur nom, groupe,département, ville ou pays.

Les appliances McAfee DLP peuvent effectuer les actions suivantes :

• Obtenir des informations des serveurs Active Directory et des serveurs d'annuaire OpenLDAP qui sontenregistrés auprès de McAfee ePO.

• Communiquer avec un serveur LDAP enregistré via SSL.

• Modifier les règles de protection web et de la messagerie qui s'appliquent à des utilisateurs et groupesspécifiques.

• Agir selon les règles de protection des communications réseau qui s’appliquent aux utilisateurs et auxgroupes spécifiques (McAfee DLP Monitor).

• Se connecter à des ports de catalogue global (Global Catalog) au lieu des ports LDAP standard pour récupérerdes informations sur les utilisateurs et les groupes lors de l'envoi de requêtes à Active Directory.

• Inclure les informations utilisateur dans des incidents de sorte que vous puissiez voir tous les incidentsgénérés par un utilisateur, quel que soit le produit McAfee DLP qui les a détectés.



McAfee Logon Collector enregistre les événements de connexion des utilisateurs Windows et communique lesinformations aux appliances McAfee DLP. Les appliances McAfee DLP peuvent associer une adresse IP à unnom d’utilisateur Windows si aucune autre information d’authentification n’est disponible.

Qu'advient-il si le serveur LDAP est indisponible ?

Les appliances McAfee DLP mettent en cache les informations LDAP. Le cache est mis à jour toutes les24 heures. Par conséquent, une indisponibilité temporaire du serveur LDAP n’a pas d’incidence sur ladisponibilité du service d’appliances McAfee DLP. Si la mise à jour du cache échoue, les appliances McAfee DLPutilisent le cache précédent. Si aucun cache précédent n'est disponible, il effectue une recherche LDAP pourobtenir les informations.

Lorsque McAfee DLP Prevent a besoin d'informations sur les groupes LDAP afin d'évaluer les règles pour unedemande ou un message et que LDAP n'est pas configuré ou que le serveur est indisponible :

• Pour le trafic SMTP : un code d'échec temporaire (451) est renvoyé de sorte que le message soit mis en filed'attente sur le serveur d'envoi et retenté ultérieurement.

• Pour le trafic ICAP : le code de statut ICAP 500 est renvoyé, ce qui indique que le serveur a rencontré uneerreur et qu'il a été incapable d'analyser la demande. Vous pouvez configurer votre passerelle web pourqu'elle s'ouvre ou se ferme en cas de défaillance lorsqu'elle reçoit une erreur du serveur McAfee DLPPrevent.

Pour McAfee DLP Monitor, si McAfee Logon Collector ou les informations LDAP ne sont pas disponibles, lesrègles se référant aux informations d’utilisateur et de groupe ne peuvent pas être comparées et les incidents nesont pas créés. Le flux de trafic n’est pas affecté.

Serveurs OpenLDAP et Active Directory

• OpenLDAP et Active Directory produisent des schémas utilisateur différents. Active Directory dispose d'unensemble de paramètres fixes, mais OpenLDAP est personnalisable.

• Les serveurs OpenLDAP et Active Directory identifient les utilisateurs à l'aide de différentes méthodes. ActiveDirectory utilise sAMAccountName, tandis que OpenLDAP utilise UID. Les requêtes LDAP poursAMAccountName sont traitées à l'aide de la propriété UID sur les systèmes OpenLDAP.

• Les serveurs OpenLDAP et Active Directory identifient également les classes d'utilisateurs en utilisantdifférents attributs d'utilisateur. Au lieu de la classe d'objets User, OpenLDAP utilise inetOrgPerson, qui neprend pas en charge les attributs de pays ou de type memberOf.

Authentification supplémentaire pour la protection web

Lors de l'application des règles de protection web, McAfee DLP Prevent peut obtenir les informations de lapropriété user à partir des sources suivantes :

• En-tête de demande ICAP X-Authenticated-user provenant de la passerelle web.

• McAfee Logon Collector

Si un nom d'utilisateur est fourni dans l'en-tête ICAP X-Authenticated-user, il est utilisé de préférence parrapport aux données de McAfee Logon Collector.

Meilleure pratique : l'utilisation de l'en-tête X-Authenticated-user est la méthode d'authentificationrecommandée car elle indique que la passerelle web a correctement authentifié l'utilisateur final. Pour leconfigurer, vous devez effectuer une configuration supplémentaire sur la passerelle web. Pour plusd'informations, consultez la documentation produit de votre passerelle web.



Si l'en-tête X-Authenticated-User n'est pas disponible, vous pouvez configurer McAfee Logon Collector pourajouter une étape d'authentification supplémentaire. McAfee Logon Collector est un autre produit McAfee quisurveille les événements de connexion Windows et associe une adresse IP à un identificateur de sécurité (SID).Pour utiliser McAfee Logon Collector, vous devez avoir configuré au moins un serveur LDAP : l’appliance McAfeeDLP peut lui envoyer une requête pour convertir un SID en nom d’utilisateur.

Lorsque vous appliquez des règles de protection de la messagerie ou de protection web, McAfee DLP Preventévalue les informations de groupe à partir des informations d’utilisateur. Il ignore toute valeur d'en-têteX-Authenticated-Groups reçue de la passerelle web.

Pour sélectionner des règles basées sur des utilisateurs et des groupes, pour McAfee DLP Monitor, vous devezconfigurer McAfee Logon Collector.

Pour obtenir des informations d’utilisateur ou de groupe, vous devez avoir configuré au moins un serveur LDAP.L’appliance McAfee DLP envoie une requête aux serveurs LDAP pour obtenir les attributs requis. Par exemple,pour McAfee Logon Collector, l’appliance McAfee DLP utilise le serveur LDAP pour convertir le SID en nomunique.

Schémas d'authentification pris en charge

L’appliance McAfee DLP Prevent prend en charge les schémas d’authentification WINNT, NTLM et LDAP pourtraiter l’en-tête X-Authenticated-User reçu de la passerelle web.

L’appliance McAfee DLP Prevent s’attend à ce que l’en-tête X-Authenticated-User soit à l’un des formats suivantspour Active Directory :

• NTLM : NTLM://<Nom_NetBIOS/NomCompteSAM>

• WINNT : WINNT://<Nom_NetBIOS/NomCompteSAM>

Le format NTLM avec OpenLDAP n'est pas pris en charge.

Avec NTLM, McAfee DLP Prevent s'attend à ce que l'en-tête X-Authenticated-User soit au format LDAP://<LDAP_NomServeur/NomUnique> pour Active Directory et OpenLDAP.

McAfee DLP Prevent utilise l'attribut LDAP distinguishedName pour récupérer les détails de l'utilisateur pour lesrègles de protection web. Vérifiez que votre serveur LDAP expose cet attribut pour vous assurer que le schémad'authentification LDAP fonctionne correctement.

Scénario d'utilisation

Vous souhaitez configurer une règle de protection web qui bloque les chargements de données PCI pour tousles utilisateurs d'un département sauf un.

1 Dans McAfee ePO, enregistrez un serveur Active Directory qui contient le compte d'utilisateur de l'employéque vous soupçonnez.

2 Configurez McAfee Logon Collector.

3 Créez une règle de protection web qui recherche les demandes web provenant d'utilisateurs du groupeNOMGROUPE correspondant à une certaine classification.

4 Créez une exception pour l'utilisateur NOMUTILISATEUR.

5 Définissez la réaction sur Bloquer.

6 Dans le Gestionnaire d'incidents DLP, recherchez les incidents envoyés par l'utilisateur contenant le nom ducomposant.



Récupération d'informations à partir de serveurs LDAP enregistrésLes appliances McAfee DLP peuvent obtenir des informations sur les utilisateurs et les groupes à partir deserveurs LDAP qui sont enregistrés auprès de McAfee ePO. Vous devez sélectionner les serveurs LDAPenregistrés auprès desquels vous souhaitez que les appliances McAfee DLP obtiennent les informations.

Avant de commencerVous avez enregistré les serveurs LDAP auprès de McAfee ePO.

Pour plus d'informations sur l'enregistrement des serveurs LDAP auprès de McAfee ePO,reportez-vous au Guide produit McAfee ePolicy Orchestrator.

Les informations sur les utilisateurs et les groupes sont utilisées lors de l'évaluation des informations del'expéditeur. L’appliance McAfee DLP peut :

• Se connecter aux serveurs Active Directory et OpenLDAP.

• Communiquer avec un serveur LDAP enregistré sur SSL.

• Se connecter à des ports de catalogue global (Global Catalog) au lieu des ports LDAP standard pour récupérerdes informations sur les utilisateurs et les groupes lors de l'envoi de requêtes à Active Directory.

Si vous avez configuré Active Directory pour qu'il utilise les ports de catalogue global (Global Catalog),assurez-vous qu'au moins l'un des attributs suivants soit répliqué sur le serveur du catalogue global à partirdes domaines de la forêt :

• proxyAddresses

• mail

Si une appliance McAfee DLP a besoin d’utiliser l’authentification NTLM ou WINNT pour analyser les règlesde protection web, ces attributs LDAP doivent également être répliqués :

• configurationNamingContext

• netbiosname

• msDS-PrincipalName

Les messages sont temporairement rejetés avec le code d'état 451 lorsque les deux conditions suivantes sontréunies :

• McAfee DLP Prevent utilise des règles qui spécifient que l'expéditeur est membre d'un grouped'utilisateurs LDAP particulier.

• McAfee DLP Prevent n'est pas configuré pour recevoir des informations du serveur LDAPcontenant le groupe d'utilisateurs spécifié.

Les événements sont envoyés au journal Evénements de client en cas d'échec de la synchronisationavec le serveur LDAP ou d'une requête LDAP.

Procédure


2 Sélectionnez le produit Gestion des appliances DLP, choisissez la catégorie Utilisateurs et groupes et ouvrez lastratégie à modifier.

3 Dans Serveurs LDAP, sélectionnez les serveurs LDAP que vous souhaitez utiliser.




Ajouter un serveur et un certificat Logon Collector à une appliance McAfee DLPAjoutez un certificat McAfee Logon Collector à McAfee DLP Monitor ou à McAfee DLP Prevent. Puis ajoutez uncertificat McAfee DLP Prevent ou McAfee DLP Monitor à McAfee Logon Collector.

Avant de commencerAu moins un serveur McAfee Logon Collector doit être configuré.

Pour plus d'informations, reportez-vous au guide d'administration McAfee Logon Collector.

Procédure

1 Pour télécharger le certificat depuis l’appliance McAfee DLP, accédez à https://<APPLIANCE>:10443/certificates, puis sélectionnez [Hostname.domain.crt] (Nom_hôte.domaine.crt)

2 Dans McAfee Logon Collector, sélectionnez Menu | Trusted CAs | New Authority | Choose File (Menu |Autorités de certification approuvées | Nouvelle autorité | Choisir un fichier), sélectionnez le certificat quevous avez téléchargé et cliquez sur Save (Enregistrer).


4 Sélectionnez le produit DLP Appliance Management (Gestion des appliances DLP), choisissez la catégorieUtilisateurs et groupes et ouvrez la stratégie à modifier.

5 Ajoutez les détails du serveur McAfee Logon Collector à McAfee DLP Prevent ou à McAfee DLP Monitor.

a Dans la section McAfee Logon Collector, sélectionnez Identifier les utilisateurs à l'origine de demandes web.

b Cliquez sur + pour ouvrir la boîte de dialogue Ajouter.

c Saisissez l'adresse IPv4 ou le nom d'hôte d'un serveur McAfee Logon Collector auquel vous souhaitezvous connecter.

d Modifiez le port McAfee Logon Collector si nécessaire.

6 Obtenez le texte du certificat auprès de McAfee Logon Collector.

a Dans McAfee Logon Collector, sélectionnez Menu | Server Settings (Menu | Paramètres serveur).

b Cliquez sur Identity Replication Certificate (Certificat de réplication d'identité).

c Sélectionnez le texte du certificat dans le champ Base 64 et copiez-le dans le Presse-papiers ou dans unfichier.

7 Revenez à la boîte de dialogue Ajouter et sélectionnez Importer à partir du fichier ou Coller depuis lePresse-papiers pour ajouter le texte du certificat.

8 Cliquez sur OK pour terminer l'authentification McAfee Logon Collector.

[Facultatif] Ajoutez d'autres serveurs McAfee Logon Collector.

Le serveur McAfee Logon Collector est ajouté à la liste des serveurs.



Stratégie Gestion partagée des appliancesLa catégorie de stratégies Gestion partagée des appliances est installée avec l'extension Gestion des appliances.Elle applique les paramètres communs aux nouvelles appliances ou à celles pour lesquelles une nouvelle imagea été créée.

• Les informations de date, d'heure et de fuseau horaire

• Les listes de serveurs DNS

• Les informations sur le routage statique

• Les paramètres de connexion à distance Secure Shell (SSH)

• Les paramètres de journalisation à distance

• La surveillance et les alertes SNMP

Pour accéder à des informations détaillées sur ces options, consultez l'aide de Gestion des appliances.

Modification de la stratégie Email Gateway pour qu'elle fonctionne avecMcAfee DLP PreventPour rediriger les e-mails de l'appliance Email Gateway vers McAfee DLP Prevent pour analyse et appliquer desmesures en cas d'incidents de fuite de données, modifiez la stratégie de configuration Email Gateway.

Pour configurer McAfee DLP Prevent afin qu'il renvoie les e-mails à la passerelle de messagerie pour traitement,vous devez modifier la stratégie Paramètres d’e-mail de McAfee DLP Prevent.

Scénario d'utilisation : configurez Email Gateway pour le traitement des résultatsd'analyseConfigurez votre stratégie de configuration des e-mails afin d'appliquer des actions en cas d'incident de fuite dedonnées potentielle.

Avant de commencerUne appliance Email Gateway managée par McAfee ePO doit être configurée et allumée.

ProcédureCet exemple suppose que McAfee DLP Prevent a détecté un incident de perte de données potentielle lié à une-mail envoyé à partir d'une appliance Email Gateway. Vous souhaitez empêcher cet e-mail de quitter votreorganisation et avertir l'expéditeur de l'action entreprise.


2 Sélectionnez McAfee Email Gateway dans la liste Produits et sélectionnez votre stratégie de configuration dese-mails.

3 Sélectionnez Ajouter une stratégie, puis cliquez sur Ajouter une règle.

a Dans Type de règle, sélectionnez En-tête de l'e-mail.

b Dans Nom d'en-tête, sélectionnez X-RCIS-Action.

c Dans le champ Valeur, sélectionnez ^BLOCK$.

d Cliquez sur OK, puis sur OK à nouveau.

4 Dans Options de stratégie, sélectionnez Action basée sur une stratégie.

5 Sélectionnez Accepter et supprimer les données, puis sélectionnez Envoyer un ou plusieurs e-mails de notification.



6 Cliquez sur Remettre un e-mail de notification à l'expéditeur, puis cliquez sur OK.

7 Enregistrez la stratégie.

Redirection des e-mails vers McAfee DLP PreventRedirigez les e-mails de Email Gateway vers McAfee DLP Prevent pour analyse.

Avant de commencerManagez une appliance ou une appliance virtuelle Email Gateway avec McAfee ePO.

Procédure


2 Sélectionnez McAfee Email Gateway dans la liste Produits et sélectionnez la catégorie de configuration dese-mails.

3 Cliquez sur Ajouter une stratégie, puis sur Ajouter une règle.

a Dans Type de règle, sélectionnez En-tête de l'e-mail.

b Dans Nom d'en-tête, sélectionnez X-MFE-Encrypt et définissez la valeur de correspondance sur « estabsent ».

c Cliquez sur OK, puis sur OK à nouveau.

4 Dans Options de stratégie, sélectionnez Action basée sur une stratégie.

5 Sélectionnez Acheminer vers un autre relais.

6 Sélectionnez le relais de votre serveur McAfee DLP Prevent, puis cliquez sur OK.

Pour plus d'informations sur les relais, reportez-vous à l'aide en ligne de McAfee ePO.

7 Enregistrez la stratégie.

Intégration de McAfee DLP Prevent dans votre environnement webMcAfee DLP Prevent fonctionne conjointement avec votre proxy web pour protéger le trafic web.

McAfee DLP Prevent utilise le protocole ICAP ou ICAPS (ICAP sur TLS) pour traiter le trafic web, qui utilise lesports suivants :

• ICAP : 1344

• ICAPS : 11344

Suivez la procédure générale ci-dessous pour configurer votre environnement pour la protection web.

1 Configurez les clients terminaux afin qu'ils envoient du trafic web pour le proxy web.

2 Configurer le proxy web afin qu'il transfère le trafic HTTP vers McAfee DLP Prevent via ICAP.

3 Configurez la stratégie sur McAfee DLP Prevent en spécifiant l'action à appliquer en fonction du contenu dutrafic.

Exemple : configurez une règle pour autoriser ou bloquer le trafic qui contient des numéros de carte decrédit provenant d'utilisateurs particuliers.

Après avoir analysé le trafic, McAfee DLP Prevent accomplit l'une des actions suivantes :



• Autorise le trafic et informe le proxy web.

• Bloque le trafic et présente une page de blocage à l'utilisateur.

Intégration avec Web GatewayConfigurez Web Gateway de manière à transférer le trafic ICAP à McAfee DLP Prevent pour analyse.

McAfee DLP Prevent renvoie une réponse à Web Gateway, indiquant d'autoriser ou de refuser la page.

Procédure

1 Dans Web Gateway, sélectionnez Policy (Stratégie), puis cliquez sur l'onglet Settings (Paramètres).

2 Procédez comme suit pour créer le client ICAP REQMOD.

a Cliquez sur ICAP Client (Client ICAP) avec le bouton droit de la souris, puis cliquez sur Add (Ajouter).

b Saisissez un nom, comme ICAP-REQMOD-Client.

c Dans le volet Settings (Paramètres), sélectionnez ICAP Client (Client ICAP).

d Dans le volet ICAP Service (Service ICAP), cliquez sur Add (Ajouter).

e Entrez un nom, puis cliquez sur OK & Edit (OK et Modifier).

f Cliquez sur le signe plus vert (Ajouter un serveur ICAP), puis entrez l'adresse IP et le port de l'applianceMcAfee DLP Prevent.

g Cliquez sur OK à trois reprises.

3 Ajoutez le jeu de règles.

a Cliquez sur l'onglet Jeux de règles.

b Sélectionnez Add | Rule Set from Library (Ajouter | Jeu de règles de la bibliothèque).

c Sélectionnez le jeu de règles ICAP Client, puis cliquez sur OK.

4 Modifiez les paramètres REQMOD.

a Sous l'onglet Rule Sets ( Jeux de règles), développez le jeu de règles ICAP Client, puis sélectionnezReqMod.

b Sélectionnez Call ReqMod Server (Appeler le serveur ReqMod), puis cliquez sur Edit (Modifier).

c Sélectionnez l'étape Rule Criteria (Critères de règle).

d Sélectionnez If the following criteria is matched (En cas de correspondance des critères suivants).

e Sélectionnez l'entrée de critères, puis cliquez sur Edit (Modifier).

f Dans la liste déroulante Settings (Paramètres), sélectionnez le client ICAP REQMOD que vous avez créé.

g Cliquez sur OK, puis sur Finish (Terminer).

5 Activez la règle.

a Sous l'onglet Rule Sets ( Jeux de règles), sélectionnez la règle ICAP Client.

b Sélectionnez Enable (Activer).

6 Cliquez sur Save Changes (Enregistrer les modifications).



Fonctionnalités de McAfee ePOMcAfee DLP utilise les fonctionnalités de McAfee ePO suivantes.

Vous devez disposer des autorisations appropriées pour accéder à la plupart des fonctionnalités.

McAfee ePO Ajout

Actions Actions que vous pouvez effectuer à partir de l'Arborescence des systèmes ou utiliserpour personnaliser les réponses automatiques.

Tâches client Tâches client que vous pouvez utiliser pour automatiser la gestion et la maintenancesur les systèmes client.

Tableaux de bord Tableaux de bord et moniteurs que vous pouvez utiliser pour surveiller votreenvironnement.

Evénements etréponses

• Evénements pour lesquels vous pouvez configurer des réponses automatiques.

• Groupes d'événements et types d'événements que vous pouvez utiliser pourpersonnaliser des réponses automatiques.

Propriétés dusystème managé

Propriétés que vous pouvez consulter dans l'Arborescence des systèmes ou utiliserpour personnaliser les requêtes.

Ensemblesd'autorisations

• Ensembles d'autorisations.

• Catégorie d'autorisation Data Loss Prevention, disponible dans tous les ensemblesd'autorisations existants.

Stratégies Catégories de stratégie d'appliance Stratégie DLP, Configuration du client Windows etConfiguration du client Mac OS X pour McAfee DLP Endpoint, et Configuration duserveur pour McAfee DLP Discover et McAfee DLP dans le groupe de produits DataLoss Prevention 11.

Requêtes et rapports • Requêtes par défaut que vous pouvez utiliser pour exécuter des rapports.

• Groupes de propriétés personnalisées basés sur les propriétés de système managéque vous pouvez utiliser pour créer vos propres requêtes et rapports.

Tâches serveur Les tâches serveur pour McAfee DLP Endpoint incluent DLP Incident Manager(Gestionnaire d’incidents DLP) et DLP Operations (Opérations DLP). Utilisez la tâcheDonnées cumulées pour cumuler les incidents, événements opérationnels ou donnéesde découverte de poste client McAfee DLP auprès de serveurs McAfee ePOsélectionnés, afin de produire un seul rapport. Utilisez la tâche Detect Discovery Servers(Détecter les serveurs de découverte) avec McAfee DLP Discover et la tâche LdapSyncavec les appliances McAfee DLP.

Protection desdonnées

Permet de configurer, de gérer et de surveiller McAfee DLP.

Help Desk Permet d'émettre des clés de demande d'authentification/réponse pour désinstallerdes applications protégées, libérer les fichiers de la quarantaine et contournerprovisoirement les stratégies de sécurité si votre activité l'exige.

Pour plus d'informations sur ces fonctionnalités, consultez la documentation d'McAfee ePO.

Configuration des composants systèmeFonctionnalités de McAfee ePO 3


3 Configuration des composants systèmeFonctionnalités de McAfee ePO


4 Protection des supports amovibles

McAfee®

Device Control protège les entreprises contre les risques associés au transfert non autorisé de contenuconfidentiel lors de l'utilisation d'équipements de stockage.

Device Control peut surveiller ou bloquer des équipements connectés à des ordinateurs managés parl'entreprise, ce qui vous permet de surveiller et de contrôler leur utilisation dans la distribution desinformations confidentielles. Les équipements tels que les smartphones, les équipements de stockageamovibles, les équipements Bluetooth, les lecteurs MP3 ou les équipements Plug-and-Play peuvent tous êtrecontrôlés.

McAfee Device Control est un composant de McAfee DLP Endpoint qui est vendu séparément. Bien que leterme Device Control soit utilisé dans toute cette section, l'ensemble des fonctionnalités et des descriptionss'appliquent également à McAfee DLP Endpoint. La mise en œuvre des règles Device Control sur desordinateurs Microsoft Windows et Mac est similaire, mais pas identique. Le tableau ci-dessous identifiecertaines des différences.

Tableau 4-1 Terminologie Device Control

Terme Applicable auxsystèmesd'exploitation :

Définition

Classe depériphériques

Windows Ensemble d'équipements partageant des caractéristiquessimilaires et dont la gestion peut être identique. Lesclasses de périphériques affichent l'état Géré, Non géré ouListe blanche.

Modèle d’équipement Windows, OS X etMacOS

Liste des propriétés d'équipement utilisées pour identifierou regrouper des équipements.

Groupe d’équipements Windows, OS X etMacOS

Une liste de modèles d'équipement groupés dans un seulmodèle. Utilisé pour simplifier les règles tout enconservant la granularité.

Propriétéd'équipement

Windows, OS X etMacOS

Une propriété telle que le type de bus, l'ID fournisseur oul'ID produit qui peut être utilisée pour définir unéquipement.

Règle d'équipement Windows, OS X etMacOS

Définit les mesures prises lorsqu'un utilisateur tented'utiliser un équipement qui a une définitiond'équipement correspondante dans la stratégie. La règleest appliquée au matériel, au niveau du piloted'équipement ou au niveau du système de fichiers. Desrègles d'équipement peuvent être attribuées à desutilisateurs finaux spécifiques.

Périphérique géré Windows Etat de classe de périphériques indiquant que lespériphériques de cette classe sont gérés par DeviceControl.

Règle pouréquipements destockage amovibles


Permet de bloquer ou de surveiller un équipement, ou dele définir en lecture seule.

4


Tableau 4-1 Terminologie Device Control (suite)

Terme Applicable auxsystèmesd'exploitation :

Définition

Règle de protectiondes équipements destockage amovibles


Définit les mesures prises lorsqu'un utilisateur tente decopier un contenu marqué comme confidentiel sur unéquipement managé.

Périphérique non géré Windows Etat de classe de périphériques indiquant que lespériphériques de cette classe ne sont pas gérés parDevice Control.

Périphérique inclusdans la liste blanche

Windows Etat de classe de périphériques indiquant que lespériphériques de cette classe ne peuvent pas être géréspar Device Control parce que leurs tentatives de gestionpeuvent affecter l'ordinateur géré, l'intégrité du systèmeou son efficacité.

Sommaire Protection des équipements Gestion des équipements avec des classes d'équipement Définition d'une classe d'équipement Organisation d'équipements avec des modèles d'équipement Règles de contrôle des équipements Règles d'accès aux fichiers de stockage amovibles

Protection des équipementsLes lecteurs USB, petits disques durs externes, smartphones et autres équipements amovibles peuvent êtreutilisés pour supprimer des données confidentielles de l'entreprise.

Les lecteurs USB sont une méthode simple, économique et pratiquement intraçable de télécharger de grandesquantités de données. Elles sont souvent considérées comme « l'arme de choix » pour le transfert non autoriséde données. Le logiciel Device Control surveille et contrôle les lecteurs USB et d'autres équipements externes,tels que les smartphones, les équipements Bluetooth, les équipements Plug-and-Play, les lecteurs audio et lesdisques durs qui ne sont pas dédiés au système. Device Control fonctionne sur la plupart des systèmesd'exploitation Microsoft Windows et OS X, y compris les serveurs. Reportez-vous à la page relative à laconfiguration système requise de ce guide pour plus de détails.

La protection McAfee Device Control repose sur trois couches :

• Classes d'équipement : ensembles d'équipements partageant des caractéristiques similaires et dont lagestion peut être identique. Les classes d'équipement s'appliquent uniquement aux règles et définitionsd'équipement Plug-and-Play, et ne sont pas applicables aux systèmes d'exploitation OS X.

• Définitions d'équipement : permettent d'identifier et de regrouper les équipements en fonction de leurspropriétés communes.

• Règles des équipements : permettent de contrôler le comportement des équipements.

Une règle d'équipement comprend la liste des définitions d'équipements incluses ou exclues de la règle, et lesmesures prises lorsque l'utilisation de l'équipement déclenche la règle. Elle peut aussi indiquer des utilisateursfinaux inclus ou exclus de la règle. Elles peuvent éventuellement contenir une définition d'applications pourfiltrer la règle en fonction de la source du contenu confidentiel.

4 Protection des supports amoviblesProtection des équipements


Règles de protection des périphériques de stockage amovibles

En plus des règles des équipements, Device Control comprend un type de règle de protection des données. Lesrègles de protection des périphériques de stockage amovibles comprennent une ou plusieurs classificationspermettant de définir le contenu confidentiel qui déclenche la règle. Elles peuvent éventuellement inclure unedéfinition d'applications ou une URL de navigateur web, et peuvent inclure ou exclure des utilisateurs finaux.

Les URL du navigateur web ne sont pas prises en charge sur McAfee DLP Endpoint for Mac.

Gestion des équipements avec des classes d'équipementUne classe d'équipement est un ensemble d'équipements qui partagent des caractéristiques similaires et dont lagestion peut être identique.

Les classes de périphériques permettent de nommer et d'identifier les périphériques utilisés par le système.Chaque définition de classe d'équipement inclut un nom et un ou plusieurs identificateurs globaux uniques(GUID). Par exemple, les périphériques Intel® PRO/1000 PL Network Connection et Dell wireless 1490 Dual BandWLAN Mini-Card appartiennent à la classe de périphériques Adaptateur de réseau.

Les classes d'équipement ne sont pas applicables aux équipements OS X.

Organisation des classes de périphériques

Le gestionnaire de stratégies DLP répertorie les classes d'équipement prédéfinies (intégrées) sous l'ongletDéfinitions sous Contrôle des équipements. Les équipements sont classés en fonction de leur statut :

• Les équipements managés sont des équipements Plug-and-Play ou de stockage amovibles qui sont managéspar McAfee DLP Endpoint.

• Les périphériques Non gérés ne sont pas gérés par Device Control dans la configuration par défaut.

• Les périphériques Inclus dans la liste blanche sont des périphériques que Device Control n'essaie pas decontrôler, comme les périphériques batteries ou les processeurs.

Pour éviter d'éventuels dysfonctionnements du système ou du système d'exploitation, les classes depériphériques ne peuvent pas être modifiées, mais elles peuvent être dupliquées et modifiées pour ajouter desclasses définies par l'utilisateur à la liste.

Meilleure pratique : n'ajoutez pas de classe d'équipement à la liste sans tester d' abord les conséquences. Dansle catalogue de stratégies, utilisez l'onglet Stratégie DLP | Classes d'équipement | Paramètres pour créer desremplacements de classe d'équipement temporaires de l'état de classe, ainsi que des paramètres de type defiltre.

Les remplacements peuvent être utilisés pour tester des modifications définies par l'utilisateur avant de créerune classe permanente, ainsi que pour résoudre des problèmes de contrôle d'équipement.

Device Control utilise des définitions d'équipement et des règles de contrôle d'équipement Plug-and-Play pourcontrôler le comportement de classes d'équipement managées et d'équipements spécifiques appartenant àune classe d'équipement managée. En revanche, les règles pour équipements de stockage amovibles nerequièrent pas de classe d'équipement managée. En effet, les deux types de règles d'équipement utilisent lesclasses d'équipement différemment :

Protection des supports amoviblesGestion des équipements avec des classes d'équipement 4


• Les règles d'équipement Plug-and-Play sont déclenchées lorsque l'équipement matériel est connecté àl'ordinateur. Comme il s'agit d'une réaction à un pilote d'équipement, la classe d'équipement doit êtremanagée pour que l'équipement soit reconnu.

• Les règles pour périphériques de stockage amovibles sont déclenchées lors du montage d'un nouveausystème de fichiers. Lorsque cela se produit, le client Device Control associe la lettre du disque aupériphérique matériel spécifique et vérifie les propriétés de périphérique. Etant donné que la réactionconcerne une opération de système de fichiers (lorsque le système de fichiers est monté), il n'est pasnécessaire de gérer la classe de périphériques.

Définition d'une classe d'équipementSi aucune classe d'équipement appropriée ne figure dans la liste prédéfinie ou n'est créée automatiquementlors de l'installation de nouveau matériel, vous pouvez créer une nouvelle classe d'équipement dans la consoleGestionnaire de stratégies McAfee DLP Endpoint.

Obtention d'un GUIDLes définitions de classe d'équipement nécessitent un nom et un ou plusieurs identificateurs globaux uniques(GUID).

Certains équipements installent leur propre classe d'équipement. Pour contrôler le comportement deséquipements Plug-and-Play qui définissent leur propre classe d'équipement, vous devez commencer parajouter une nouvelle classe d'équipement à l'état Managé dans la liste Classes d'équipement.

Une classe d'équipement est définie par deux propriétés : un nom et un GUID. Le nom d'un nouvel équipements'affiche dans le gestionnaire des équipements, mais le GUID apparaît uniquement dans le Registre Windows etil n'est pas facile de l'obtenir. Pour simplifier l'obtention du nom et du GUID des nouveaux équipements, leclient Device Control envoie un événement Nouvelle classe d'équipement détectée au Gestionnaired'incidents DLP lorsqu'un équipement n'appartenant à aucune classe reconnue est connecté à l'ordinateurhôte.

Procédure

1 Dans McAfee ePO, sélectionnez Menu | Protection des données | Gestionnaire d'incidents DLP | Liste desincidents.

2 Cliquez sur Modifier en regard de la liste déroulante Filtre pour modifier les critères du filtre.

3 Dans la liste Propriétés disponibles (volet gauche), sélectionnez Type d'incident.

4 Vérifiez que la valeur de la liste déroulante Comparaison est Est égal à.

5 Dans la liste déroulante Valeurs, sélectionnez Nouvelle classe d'équipement détectée.

6 Cliquez sur Mettre à jour le filtre.

La liste des incidents affiche les nouvelles classes d'équipement détectées sur l'ensemble des ordinateursclients.

7 Pour voir le nom et le GUID d'un équipement spécifique, double-cliquez sur un élément de la liste pourafficher les détails de l'incident.

4 Protection des supports amoviblesDéfinition d'une classe d'équipement


Création d'une classe d'équipementCréez une classe d'équipement si une classe d'équipement appropriée ne figure pas dans la liste prédéfinie oun'est pas créée automatiquement lors de l'installation de nouveau matériel.

Avant de commencerObtenez le GUID d'équipement avant de commencer cette tâche.

Procédure

1 Dans McAfee ePO, sélectionnez Menu | Protection des données | Gestionnaire de stratégies DLP | Définitions.

2 Dans le volet gauche, sélectionnez Contrôle des périphériques | Classe des périphériques.


• Sélectionnez Actions | Nouveau.

• Localisez une classe de périphériques similaire dans la liste des classes de périphériques intégrée, puiscliquez sur Dupliquer dans la colonne Actions. Cliquez sur Modifier pour la classe de périphériquesdupliquée.

4 Saisissez un nom unique et éventuellement une description.

5 Vérifiez l'état et le type de filtre requis.

6 Saisissez le GUID, puis cliquez sur Ajouter.

Le format du GUID doit être correct. S'il est incorrect, vous êtes invité à le saisir à nouveau.


Organisation d'équipements avec des modèles d'équipementUn modèle d'équipement est une liste de propriétés d'équipement telles que le type de bus, la classed'équipement, l'ID du fournisseur ou l'ID du produit.

Le rôle des modèles d'équipement est d'identifier et de regrouper les équipements selon les propriétés qu'ilsont en commun. Certaines propriétés d'équipement peuvent être appliquées à n'importe quel modèle, alorsque d'autres sont exclusives à un ou plusieurs types spécifiques d'équipement.

Les types de modèles d'équipement disponibles sont les suivants :

• Les équipements de type Disque dur fixe sont attachés à l'ordinateur et ne sont pas considérés par lesystème d'exploitation comme un système de stockage amovible. Device Control permet de contrôler lesdisques durs fixes autres que le support d'amorçage.

• Les équipements Plug-and-Play peuvent être ajoutés à l'ordinateur managé, sans nécessiter aucuneconfiguration ou installation manuelle de DLL et de pilotes. La plupart des équipements Microsoft Windowssont de type Plug-and-Play. Les équipements OS X et MacOS sont pris en charge pour USB uniquement.

Protection des supports amoviblesOrganisation d'équipements avec des modèles d'équipement 4


• Les équipements de stockage amovibles sont des équipements externes contenant un système de fichiers quis'affichent en tant que lecteurs sur l'ordinateur managé. Les modèles d'équipement de stockage amoviblesprennent en charge les systèmes d'exploitation Microsoft Windows ou OS X/MacOS.

• Les équipements Plug-and-Play inclus dans la liste blanche n'interagissent pas correctement avec la gestiondes équipements et peuvent provoquer un blocage du système ou d'autres problèmes sérieux. Prise encharge pour les équipements Microsoft Windows uniquement.

Les modèles d'équipement Plug-and-Play inclus dans la liste blanche sont ajoutés automatiquement à la listed'exclusion de chaque règle de contrôle des équipements Plug-and-Play. Ces équipements ne sont jamaismanagés, même si leur classe parente l'est.

Vous pouvez également créer des modèles de groupe d’équipements, qui sont des collections de modèlesd’équipement déjà définis. Les groupes d’équipement doivent spécifier un seul système d’exploitation :Microsoft Windows ou OS X/MacOS.

Les modèles d'équipement de stockage amovible sont plus flexibles et comportent des propriétéssupplémentaires spécifiques à ce type d'équipement.

Meilleure pratique : utilisez les modèles et règles d'équipement de stockage amovible pour gérer deséquipements tels que les équipements de stockage de masse USB, qui peuvent être classés dans les deuxcatégories.

Utilisation des modèles d'équipementLorsque plusieurs paramètres sont ajoutés aux modèles d'équipements, ils sont liés par l'opérateur logique OR(par défaut) ou AND. Lorsque plusieurs types de paramètres sont définis, ils sont toujours liés par l'opérateurlogique AND.

Par exemple, la sélection de paramètres ci-dessous :

Crée ce modèle :

• Le type de bus est : Firewire (IEEE 1394) OU USB

• ET la classe d'équipement doit être Périphériques mémoire OU Périphériques portables Windows.

Créer un modèle d’équipementLes modèles d'équipement (définitions) permettent de spécifier les propriétés d'un équipement quidéclencheront la règle.Les modèles d'équipement peuvent être créés comme indiqué ci-dessous, par importation depuis un fichierCSV, à partir d'un incident de branchement d'équipement dans le Gestionnaire d'incidents DLP ou avec un scriptcontenant des appels d'API REST. L'administrateur exécutant le script doit être un utilisateur valide de McAfee

4 Protection des supports amoviblesOrganisation d'équipements avec des modèles d'équipement


ePO ayant les autorisations d'exécuter les actions invoquées par les API dans les Ensembles d'autorisations deMcAfee ePO.

Meilleure pratique : créez des définitions d'équipement Plug-and-Play inclus dans la liste blanche pour leséquipements dont la gestion ne s'effectue pas correctement, ce qui peut entraîner le blocage du système oud'autres problèmes graves. Aucune action ne sera appliquée à ces équipements, même quand une règle estdéclenchée.

Procédure


2 Dans le volet gauche, sélectionnez Contrôle des équipements | Modèles d'équipement.

3 Sélectionnez Actions | Nouveau, puis sélectionnez le type de définition.


5 (Périphériques Plug-and-Play et équipements de stockage amovibles uniquement) Sélectionnez l'optionS'applique à pour les équipements Microsoft Windows ou OS X.

La liste Propriétés disponibles est modifiée et indique les propriétés du système d'exploitation sélectionné.

6 Sélectionnez les propriétés de l'équipement.

La liste des propriétés disponibles varie en fonction du type d'équipement.

• Pour ajouter une propriété, cliquez sur >.

• Pour supprimer une propriété, cliquez sur <.

• Pour ajouter d'autres valeurs de propriété, cliquez sur +.

Les valeurs sont ajoutées avec l'opérateur logique OU par défaut. Cliquez sur le bouton et/ou et choisissezET.

• Pour supprimer des propriétés, cliquez sur -.


Créer un groupe d'équipementsLes groupes d'équipements simplifient les règles tout en conservant la granularité en combinant plusieursmodèles d'équipement dans un seul groupe.Les groupes d'équipements peuvent être créés comme indiqué ci-dessous ou avec un script contenant desappels d'API REST. L'administrateur exécutant le script doit être un utilisateur valide de McAfee ePO ayant lesautorisations d'exécuter les actions invoquées par les API dans les Ensembles d'autorisations de McAfee ePO.

Procédure


2 Dans le volet Modèles d'équipement, sélectionnez Actions | Nouveau groupe, puis sélectionnez le type degroupe.

Trois types de groupe d'équipements sont pris en charge : Disque dur interne, Equipement Plug-and-Play etEquipement de stockage amovible.

3 Entrez un Nom unique pour le groupe et éventuellement une Description.



4 Sélectionnez l'option S'applique à pour les équipements Microsoft Windows ou Mac OS X.

Ce champ n'est pas disponible pour les groupes d'équipements de type disque dur interne.

5 Cochez les cases correspondant aux éléments à ajouter au groupe.

Vous pouvez filtrer les longues listes de modèles d'équipement en saisissant du texte dans la boîte de texteFiltrer les éléments et en cliquant sur Aller.


Créer un modèle Plug-and-Play inclus dans la liste blancheL'inclusion d'équipements Plug-and-Play dans la liste blanche a pour but de faciliter la gestion de ceséquipements qui posent souvent problème. S'ils ne sont pas inclus dans la liste blanche, le système risque dene plus répondre ou d'autres problèmes peuvent survenir. Les modèles Plug-and-Play inclus dans la listeblanche ne sont pas pris en charge par McAfee DLP Endpoint for Mac.

Les équipements Plug-and-Play inclus dans la liste blanche sont ajoutés aux règles des équipementsPlug-and-Play, sous l'onglet Exceptions. Ces équipements ne sont jamais managés, même si leur classe parentel'est.

Meilleure pratique : pour éviter des problèmes de compatibilité, ajoutez des équipements dont la gestion nes'effectue pas correctement à la liste des équipements inclus dans la liste blanche.

Procédure


2 Dans le volet gauche, sélectionnez Contrôle des équipements | Modèles d'équipement, puis Actions | Nouveau |Modèle d'équipement Plug-andPlay inclus dans la liste blanche.









Création d'un modèle d'équipement de stockage amovibleUn équipement de stockage amovible est un équipement externe contenant un système de fichiers quiapparaît en tant que lecteur sur l'ordinateur managé. Les modèles d'équipement de stockage amovible sontplus flexibles que ceux des équipements Plug-and-Play et comportent des propriétés supplémentaires quidépendent des équipements.



Procédure


2 Dans le volet gauche, sélectionnez Contrôle des équipements | Modèles d'équipement, puis Actions | Nouveau |Modèle d'équipement de stockage amovible.


4 Sélectionnez l'option S'applique à pour les équipements Microsoft Windows ou OS X.

La liste Propriétés disponibles est modifiée et indique les propriétés du système d'exploitation sélectionné.








Création d'une définition de paire Numéro de série - UtilisateurVous pouvez créer des exceptions pour des règles d'équipement de stockage amovible et Plug-and-Play enfonction des paires d'identités utilisateur et de numéros de série d'équipement. En liant l'équipement àl'utilisateur connecté, vous créez un niveau de sécurité supérieur.

Avant de commencerObtenez les numéros de série des équipements que vous ajoutez à la définition.

Vous pouvez créer une définition de paire Numéro de série-Utilisateur en important les informations au formatCSV. Vous pouvez également exporter des définitions existantes au format CSV.

Meilleure pratique : les fichiers CSV de paire Numéro de série-Utilisateur utilisent plusieurs colonnes. Exportezune définition pour comprendre comment les colonnes sont remplies avant de créer un fichier à importer.

Les définitions de paire Numéro de série-Utilisateur ne sont pas prises en charge dans McAfee DLP Endpoint forMac.

Procédure


2 Dans le volet gauche, sélectionnez Contrôle des équipements | Paire Numéro de série - Utilisateur final.

3 Sélectionnez Actions | Nouveau.

4 Indiquez un nom unique et éventuellement une description.



5 Saisissez les informations requises dans les zones de texte situées en bas de la page, puis cliquez surAjouter. Répétez cette opération en fonction de vos besoins pour ajouter des paires Numéro de série -Utilisateur final supplémentaires.

Pour Type d'utilisateur | Tous, laissez le champ Utilisateur final vide. Si vous spécifiez un utilisateur, utilisez leformat [email protected].


Propriétés d'équipementsLes propriétés d'équipements spécifient les caractéristiques d'équipements telles que leur nom, leur type debus ou leur type de système de fichiers.

Le tableau indique les définitions des propriétés d'équipements, les types de définition qui utilisent chaquepropriété et le système d'exploitation auxquels elles s'appliquent.

Tableau 4-2 Types de propriétés d'équipements

Nom de la propriété Définitiond'équipement

Applicable auxsystèmesd’exploitation

Description

Type de bus Tout • Windows :Bluetooth,Firewire(IEEE1394),IDE/SATA, PCI,PCMIA, SCSI,USB

• Mac OS X :Firewire(IEEE1394),IDE/SATA, SD,Thunderbolt,USB

Permet de choisir le type de bus deséquipements dans la liste proposée.

Pour les règles des équipementsPlug-and-Play, McAfee DLP Endpoint forMac prend en charge le type de bus USBuniquement.

Lecteurs CD/DVD Stockageamovible

• Windows

• Mac OS X

Sélectionnez un lecteur de CD ou de DVD.

Contenu chiffré parEndpoint Encryption

Stockageamovible

Windows Equipements protégés par Endpoint Encryption.

Classe d'équipement Plug-and-Play Windows Permet de choisir la classe d'équipement dansla liste des équipements managés proposée.

ID d'équipementcompatible

Tout Windows Liste des descriptions d'équipementsphysiques. Cette option est particulièrementutile avec les types d'équipements autresqu'USB et PCI, qui sont plus facilementidentifiables à l'aide de l'ID fournisseur/IDd'équipement PCI ou de l'ID fournisseur/ID deproduit USB.



Tableau 4-2 Types de propriétés d'équipements (suite)



Description

ID d’instance del’équipement(Microsoft Windows XP)Chemin d'instance del'équipement(Windows Vista etsystèmes d'exploitationMicrosoft Windowsultérieures, y comprisles serveurs)

Tout Windows Chaîne générée par Windows qui identifie defaçon unique l’équipement dans le système.Exemple :

USB\VID_0930&PID_6533\5&26450FC&0&6.

Nom convivial del'équipement

Tout • Windows

• Mac OS X

Nom lié à l'équipement matériel, représentantson adresse physique.

Type de système defichiers

• Disque durfixe

• Stockageamovible

• Windows :CDFS, exFAT,FAT16, FAT32,NTFS, UDFS

• Mac OS X :CDFS, exFAT,FAT16, FAT32,HFS/HFS+,NTFS, UDFS

Mac OS X prenduniquement encharge FAT surles disquesautres que ledisque dedémarrage.Mac OS X prenden charge NTFSen lectureseule.

Type de système de fichiers.• Pour les disques durs, sélectionnez l'un des

systèmes exFAT, FAT16, FAT32 ou NTFS.

• Pour les équipements de stockage amovibles,sélectionnez l'un des systèmes précédentsainsi que CDFS ou UDFS.

Accès au système defichiers

Stockageamovible

• Windows

• Mac OS X

Type d'accès au système de fichiers : lectureseule ou lecture-écriture.

Etiquette de volume dusystème de fichiers

• Disque durfixe


• Windows

• Mac OS X

Etiquette de volume définie par l'utilisateur,consultable dans l'Explorateur Windows. Lescorrespondances partielles sont autorisées.

Numéro de série duvolume du système defichiers

• Disque durfixe


Windows Numéro 32 bits généré automatiquementlorsqu'un système de fichiers est créé sur lepériphérique. Il est consultable en exécutant laligne de commande dir x:, où x: désigne lalettre du lecteur.



Tableau 4-2 Types de propriétés d'équipements (suite)



Description

ID fournisseur PCI/ID depériphérique PCI

Tout Windows PCI VendorID (ID fournisseur PCI) / DeviceID (IDde périphérique PCI) incorporés dansl’équipement PCI. Il est possible d’obtenir cesparamètres à partir de la chaîne d’ID matérieldes équipements physiques.Exemple :

PCI\VEN_8086&DEV_2580&SUBSYS_00000000&REV_04

Equipements TrueCrypt Stockageamovible

Windows Sélectionnez cette option pour spécifier unéquipement TrueCrypt.

Code de classe USB Plug-and-Play Windows Identifie un équipement USB physique par safonction générale. Sélectionnez le code declasse dans la liste proposée.

Numéro de série del'équipement USB

• Plug-and-Play


• Windows

• Mac OS X

Chaîne alphanumérique unique attribuée par lefabricant de l’équipement USB, généralementpour les équipements de stockage amovibles.Le numéro de série est la dernière partie de l'IDde l'instance.Exemple :

USB\VID_3538&PID_0042\00000000002CD8Un numéro de série valide doit comporter aumoins 5 caractères alphanumériques et aucun& (et commercial). Si la dernière partie de l'IDde l'instance ne respecte pas cette condition, ilne s'agit pas d'un numéro de série.

Vous pouvez entrer un numéro de série partielen utilisant la comparaison Contains (Contient)plutôt que Equals (Est égal à).

ID fournisseur/ID deproduit de l'équipementUSB

• Plug-and-Play


• Windows

• Mac OS X

L’ID du fournisseur USB et l’ID del’équipement USB sont incorporés dansl’équipement USB. Il est possible d’obtenir cesparamètres à partir de la chaîne d’ID matérieldes équipements physiques.Exemple :

USB\Vid_3538&Pid_0042



Règles de contrôle des équipementsLes règles de contrôle des périphériques définissent les actions à entreprendre lors de l'utilisation depériphériques particuliers.

Règle de contrôle deséquipements

Description Prise en charge

Règle pouréquipements destockage amovibles

Utilisée pour bloquer ou surveiller des équipementsde stockage amovibles ou les définir en lecture seule.L'utilisateur peut être informé des mesures prises.

McAfee DLP Endpoint pourWindows, McAfee DLPEndpoint for Mac

Règle d'équipementPlug-and-Play

Permet de bloquer ou surveiller des équipementsPlug-and-Play. L'utilisateur peut être informé desmesures prises.

McAfee DLP Endpoint pourWindows, McAfee DLPEndpoint for Mac(équipements USBuniquement)

Règle d'accès auxfichiers de stockageamovible

Permet de bloquer l'exécution des fichiers exécutablessur les équipements de type plug-in.

McAfee DLP Endpoint pourWindows

Règle du disque durfixe

Permet de bloquer ou de surveiller des disques dursfixes, ou de les définir en lecture seule. L'utilisateurpeut être informé des mesures prises. Les règlesd'équipement de disque dur fixe ne protègent pas lapartition système ou de démarrage.


Règle d'équipementCitrix XenApp

Permet de bloquer les équipements Citrix mappés auxsessions ouvertes partagées.


Règle d'équipementTrueCrypt

Permet de protéger les équipements TrueCrypt.Permet de bloquer, de surveiller ou de définir enlecture seule. L'utilisateur peut être informé desmesures prises.


Création d'une règle pour équipements de stockage amoviblesLes équipements de stockage amovibles apparaissent comme des lecteurs sur l'ordinateur managé. Les règlesd'équipement de stockage amovible permettent de bloquer l'utilisation des équipements amovibles ou de lesdéfinir en lecture seule. Elles sont prises en charge sur McAfee DLP Endpoint pour Windows et sur McAfee DLPEndpoint for Mac.

Les règles d'équipement de stockage amovible n'ont pas besoin d'une classe d'équipement managée en raisonde la différence d'utilisation des classes d'équipement des deux types de règles d'équipement :

• Les règles d'équipement Plug-and-Play sont déclenchées lorsque l'équipement matériel est connecté àl'ordinateur. Comme il s'agit d'une réaction à un pilote d'équipement, la classe d'équipement doit êtremanagée pour que l'équipement soit reconnu.

• Les règles d'équipement de stockage amovible sont déclenchées lors du montage d'un nouveau système defichiers. Lors du montage du système de fichiers, le logiciel McAfee DLP Endpoint associe la lettre du lecteurà l'équipement matériel spécifique et vérifie les propriétés de l'équipement. Comme il s'agit d'une réactionau fonctionnement d'un système de fichiers, et non à un pilote d'équipement, la classe d'équipement n'apas besoin d'être managée.

Les règles d’équipement disposent d’un paramètre Mettre en œuvre sur qui applique la règle à Windows, à OS X ouaux deux. Les modèles d'équipement utilisés par les règles d'équipement ont un paramètre S'applique à quispécifie soit les Equipements Windows soit les Equipements Mac OSX. Lorsque vous sélectionnez des modèlesd'équipement, le système d'exploitation doit être le même dans le modèle et dans la règle. Les clients McAfeeDLP Endpoint pour les deux systèmes d'exploitation ignorent les propriétés qui ne s'appliquent pas à ce système.En revanche, vous ne pouvez pas enregistrer une règle qui, par exemple, s'applique uniquement sous Windowsmais contient des modèles d'équipement de Mac OS X.

Protection des supports amoviblesRègles de contrôle des équipements 4


Procédure

1 Dans McAfee ePO, sélectionnez Menu | Protection des données | Gestionnaire de stratégies DLP | Jeux de règles.

2 Sélectionnez Actions | Nouveau jeu de règles ou modifiez un jeu de règles existant.

3 Cliquez sur le nom du jeu de règles à modifier pour l'ouvrir. Cliquez sur l'onglet Contrôle des équipements.

4 Sélectionnez Actions | Nouvelle règle | Règle pour équipements de stockage amovibles.

5 Entrez un nom de règle unique.

6 (Facultatif) Modifiez l'état et choisissez un niveau de gravité.

7 Désélectionnez la case à cocher McAfee DLP Endpoint pour Windows ou McAfee DLP Endpoint pour Mac OSXsi la règle s'applique à un seul système d'exploitation.

8 Dans l'onglet Condition, sélectionnez un ou plusieurs éléments de type stockage amovible ou groupes.Facultatif : affectez des groupes d'utilisateurs finaux et un Nom du processus à la règle.

Lorsque vous enregistrez la règle, le modèle d'équipement utilisé pour créer les éléments ou les groupes estvalidé pour les systèmes d'exploitation sélectionnés dans le champ Mettre en œuvre sur. S'ils ne correspondentpas, un message d'erreur s'affiche. Vous devez corriger l'erreur en supprimant les modèles ou en modifiant lesystème d'exploitation sélectionné dans le champ Mettre en œuvre sur avant de pouvoir enregistrer la règle.

9 (Facultatif) Dans l'onglet Exceptions, sélectionnez un modèle d'équipement inclus dans la liste blanche etrenseignez les champs obligatoires.

Vous pouvez ajouter plusieurs exceptions en ajoutant plusieurs modèles d'équipement inclus dans la listeblanche.

Les options Processus exclus et Paires Numéro de série-Utilisateur exclues ne sont pas prises en charge dansMcAfee DLP Endpoint for Mac.

10 Dans l'onglet Réaction, sélectionnez une Action. Facultatif : ajoutez une notification utilisateur et activezl'option Signaler l'incident.

Si vous ne sélectionnez pas Signaler l'incident, le Gestionnaire d'incidents DLP ne conservera aucune trace del'incident.

11 (Facultatif) Sélectionnez une autre action lorsque l'utilisateur final travaille en dehors du réseau del'entreprise.


4 Protection des supports amoviblesRègles de contrôle des équipements


Créer une règle d'équipement Plug-and-PlayUtiliser des règles d'équipement Plug-and-Play pour bloquer ou surveiller des équipements Plug-and-Play. Ellessont prises en charge sur McAfee DLP Endpoint pour Windows et sur McAfee DLP Endpoint for Mac. Sur desordinateurs OS X, seuls les équipements USB sont pris en charge.

Un équipement Plug-and-Play peut être ajouté à l'ordinateur managé sans nécessiter aucune configuration ouinstallation manuelle de DLL et de pilotes. Pour que les règles d'équipement Plug-and-Play contrôlent deséquipements matériels Microsoft Windows, les classes d'équipement spécifiées dans les modèles d'équipementutilisés par la règle doivent être définies sur l'état Managé.

Les règles d'équipements disposent d'un paramètre Mettre en œuvre sur qui applique la règle à Windows, à OS Xou aux deux. Les modèles d'équipement utilisés par les règles d'équipement ont un paramètre S'applique à quispécifie soit les Equipements Windows soit les Equipements Mac OSX. Lorsque vous sélectionnez des modèlesd'équipement, le système d'exploitation doit être le même dans le modèle et dans la règle. Les clients McAfeeDLP Endpoint pour les deux systèmes d'exploitation ignorent les propriétés qui ne s'appliquent pas à ce système.En revanche, vous ne pouvez pas enregistrer une règle qui, par exemple, s'applique uniquement sous Windowsmais contient des modèles d'équipement de Mac OS X.

Procédure



3 Pour ouvrir le jeu de règles pour le modifier, cliquez sur son nom. Cliquez sur l'onglet Contrôle deséquipements.

4 Sélectionnez Actions | Nouvelle règle | Règle pour équipements Plug-and-Play.



7 Désélectionnez la case à cocher McAfee DLP Endpoint pour Windows ou McAfee DLP Endpoint pour Mac OSXsi la règle s'applique à un seul système d'exploitation.

8 Dans l'onglet Condition, sélectionnez un ou plusieurs éléments ou groupes Plug-and-Play.

Lorsque vous enregistrez la règle, le modèle utilisé pour créer les éléments ou les groupes est validé pour lessystèmes d'exploitation sélectionnés dans le champ Mettre en œuvre sur. S'ils ne correspondent pas, unmessage d'erreur s'affiche. Vous devez corriger l'erreur en supprimant les modèles ou en modifiant lesystème d'exploitation sélectionné dans le champ Mettre en œuvre sur avant de pouvoir enregistrer la règle.

9 (Facultatif) Affectez des groupes d'utilisateurs finaux à la règle.

10 (Facultatif) Dans l'onglet Exceptions, sélectionnez un modèle d'équipement inclus dans la liste blanche etrenseignez les champs obligatoires.

Vous pouvez ajouter plusieurs exceptions en ajoutant plus d'un élément, ou un groupe Plug-and-Play, inclusdans la liste blanche.

11 Dans l'onglet Réaction, sélectionnez une Action. Facultatif : ajoutez une Notification utilisateur et activezl’option Signaler l’incident.




12 (Facultatif) Sélectionnez une autre action lorsque l'utilisateur final travaille en dehors du réseau del'entreprise ou qu'il est connecté par VPN.


Créer une règle de périphérique d'accès aux fichiers de stockageamovibleLes règles d'accès aux fichiers de stockage amovibles permettent de bloquer l'exécution des fichiersexécutables sur les équipements de type plug-in.

Procédure




4 Sélectionnez Actions | Nouvelle règle | Règle d'accès aux fichiers de stockage amovible.



7 Dans l'onglet Condition, sélectionnez un ou plusieurs éléments de type équipement de stockage amovible ougroupes. (Facultatif) Affectez des groupes d'utilisateurs finaux à la règle.

8 (Facultatif) Modifiez le type de fichier vrai par défaut ou les définitions d'extension du fichier selon vosexigences.

9 (Facultatif) Dans l'onglet Exceptions, sélectionnez les noms de fichiers inclus dans la liste blanche et renseignezles champs obligatoires.

L'exception Nom du fichier est nécessaire pour les applications dont l'exécution doit être autorisée. Parexemple, les applications de chiffrement sur les lecteurs chiffrés.

10 Dans l'onglet Réaction, sélectionnez une Action. (Facultatif) Ajoutez une notification utilisateur et activezl'option Signaler l'incident.

Si vous ne sélectionnez pas Signaler l'incident, le gestionnaire d'incidents DLP ne conservera aucune trace del'incident.



Création d'une règle d'équipement de type disque dur fixeLes règles d'équipements de type disque dur fixe permettent de contrôler les disques durs attachés àl'ordinateur n'étant pas considérés par le système d'exploitation comme un système de stockage amovible. Ellessont prises en charge sur McAfee DLP Endpoint pour Windows uniquement.

Les règles de disque dur fixe comprennent une définition d'équipement avec une action pour bloquer oumettre en lecture seule, une définition de l'utilisateur final, ainsi qu'une notification utilisateur en option. Ellesne protègent pas la partition système ou de redémarrage.



Procédure




4 Sélectionnez Actions | Nouvelle règle | Règle du disque dur fixe.


6 (Facultatif) Modifiez le statut et choisissez un niveau de gravité.

7 Dans l'onglet Condition, sélectionnez un ou plusieurs éléments de type disque dur interne ou groupes.(Facultatif) Affectez des groupes d'utilisateurs finaux à la règle.

8 (Facultatif) Dans l'onglet Exceptions, sélectionnez une définition incluse dans la liste blanche et renseignez leschamps obligatoires.

Vous pouvez ajouter plusieurs exceptions en ajoutant plusieurs définitions incluses dans la liste blanche.

9 Dans l'onglet Réaction, sélectionnez une Action. Facultatif : ajoutez une Notification utilisateur et activezl'option Signaler l'incident.




Création d'une règle d'équipement CitrixLes règles d'équipement Citrix permettent de bloquer les équipements Citrix mappés avec les sessionsouvertes partagées.

Les règles d'équipement Citrix XenApp sont prises en charge sur les ordinateurs Windows uniquement. Lelogiciel McAfee DLP Endpoint peut bloquer les équipements Citrix mappés aux sessions ouvertes partagées. Leslecteurs de disquette, les équipements fixes, les CD, les supports amovibles et les lecteurs réseau peuvent tousêtre bloqués, de même que les imprimantes et la redirection du Presse-papiers. Vous pouvez attribuer la règleà des utilisateurs finaux spécifiques.

Procédure




4 Sélectionnez Actions | Nouvelle règle | Règle d'équipement Citrix XenApp.



7 Dans l'onglet Condition, sélectionnez une ou plusieurs ressources.



8 (Facultatif) Affectez des groupes d'utilisateurs finaux à la règle.

9 (Facultatif) Sous l'onglet Exceptions, renseignez les champs obligatoires pour les utilisateurs inclus dans laliste blanche.


Les ressources sélectionnées sont bloquées.

La seule Action pour les règles Citrix est Bloquer. Vous n’avez pas besoin de la définir dans le volet Réaction.

Création d'une règle d'équipement TrueCryptLes règles d'équipement TrueCrypt permettent de bloquer ou de surveiller les équipements de chiffrementvirtuel TrueCrypt ou de les définir en lecture seule. Elles sont prises en charge sur McAfee DLP Endpoint pourWindows uniquement.

Les règles d'équipement TrueCrypt sont un sous-ensemble des règles d'équipement de stockage amovible. Leséquipements de chiffrement virtuel TrueCrypt peuvent être protégés par des règles d'équipement TrueCrypt oudes règles de protection de stockage amovible.

• Utilisez une règle d'équipement si vous souhaitez bloquer ou surveiller un volume TrueCrypt, ou le définiren lecture seule.

• Utilisez une règle de protection si vous souhaitez une protection des volumes TrueCrypt selon le contenu.

Le logiciel client McAfee DLP Endpoint traite tous les montages TrueCrypt comme du stockage amovible, mêmelorsque l'application TrueCrypt écrit sur le disque local.

Procédure




4 Sélectionnez Actions | Nouvelle règle | Règle d'équipement TrueCrypt.



7 (Facultatif) Sous l'onglet Condition, affectez des groupes d'utilisateurs finaux à la règle.

8 (Facultatif) Sous l'onglet Exceptions, renseignez les champs obligatoires pour les utilisateurs inclus dans laliste blanche.

9 Dans l'onglet Réaction, sélectionnez une Action. (Facultatif) Ajoutez une Notification utilisateur et activezl'option Signaler l'incident.






Règles d'accès aux fichiers de stockage amoviblesLes règles d'accès aux fichiers de stockage amovible permettent de bloquer l'exécution des fichiers exécutablessur les équipements de type plug-in. Elles sont prises en charge sur les ordinateurs Microsoft Windowsuniquement.

Les règles d'accès aux fichiers de stockage amovible bloquent les équipements de stockage amovible en lesempêchant d'exécuter des applications. Vous pouvez spécifier les équipements inclus et exclus dans la règle.Comme certains exécutables (tels que les applications de chiffrement sur des équipements chiffrés) doiventêtre autorisés à s'exécuter, la règle comprend un paramètre Nom de fichier | n'est aucun des pour exempter desfichiers nommés de la règle de blocage.

Les règles d'accès aux fichiers utilisent le type de fichier vrai et l'extension pour déterminer les fichiers àbloquer. Le type de fichier vrai identifie le fichier par son type de données enregistré en interne, en fournissantune identification précise, même si l'extension a été changée. Par défaut, la règle bloque les fichiers compressés(.zip, .gz, .jar, .rar et .cab) et les fichiers exécutables (.bat, .bin, .cgi, .com, .cmd, .dll, .exe, .class, .sys et .msi). Vouspouvez personnaliser les définitions d'extension de fichier pour ajouter d'autres types de fichier requis.

Les règles d'accès aux fichiers bloquent aussi les fichiers exécutables en les empêchant d'être copiés sur deséquipements de stockage amovibles, car le pilote de filtre de fichier ne peut pas faire la différence entrel'ouverture et la création d'un fichier exécutable.

Protection des supports amoviblesRègles d'accès aux fichiers de stockage amovibles 4


4 Protection des supports amoviblesRègles d'accès aux fichiers de stockage amovibles


5 Classification de contenu confidentiel

Sommaire Composants du module Classification Utilisation des classifications Définitions de dictionnaire Définitions de modèle avancé Classification du contenu en fonction des propriétés de document ou des informations de fichier Modèles d'application Classification manuelle Documents enregistrés Texte inclus dans la liste blanche Création et configuration de classifications Configurer des composants de classification pour McAfee DLP Création de définitions de classification Scénario d'utilisation : intégration du client Titus avec des marqueurs tiers Scénario d'utilisation : intégration de Boldon James Email Classifier avec des critères de classification

Composants du module ClassificationMcAfee DLP utilise deux mécanismes pour classer le contenu confidentiel : les classifications de contenu et lesempreintes de contenu ; ainsi que deux modes : classification automatique et manuelle.

Les classifications automatiques sont définies dans McAfee DLP et distribuées par McAfee ePO dans lesstratégies déployées sur les postes clients. Elles sont ensuite appliquées au contenu en fonction des critères quiles définissent. Les classifications manuelles sont appliquées à des fichiers et à des e-mails par des utilisateursautorisés sur leurs ordinateurs. La boîte de dialogue de classification manuelle est prise en charge sur McAfeeDLP Endpoint pour Windows et sur McAfee DLP Endpoint for Mac. Tous les autres produits McAfee DLPpermettent de mettre en œuvre des règles de protection des données à partir de classifications manuelles,mais pas de les définir ou de les afficher.

Le module Classification dans McAfee DLP stocke les critères de classification et d'empreintes de contenu et lesdéfinitions utilisées pour les configurer. Dans ce module, il est également possible de configurer desréférentiels de documents enregistrés, l'autorisation utilisateur pour la classification manuelle et le texte inclusdans la liste blanche.

Le module fournit les fonctionnalités suivantes :

• Classification manuelle : permet de configurer les groupes d'utilisateurs finaux autorisés à classermanuellement du contenu ou à y appliquer des empreintes manuellement.

• Définitions : permet de définir le contenu, les propriétés et l'emplacement des fichiers pour la classification

5


• Classification : permet de créer des classifications et de définir des critères de classification et d'empreintesde contenu

• Enregistrer des documents : permet de charger les fichiers contenant du contenu confidentiel connu

• Texte inclus dans la liste blanche : permet de télécharger les fichiers contenant du texte à inclure dans la listeblanche

Utilisation des classificationsLes classifications permettent d'identifier et de surveiller le contenu confidentiel en appliquant des empreintesde contenu ou des classifications de contenu aux fichiers et à leur contenu.

McAfee DLP identifie et surveille le contenu confidentiel à l'aide de classifications définies par l'utilisateur. Tousles produits McAfee DLP prennent en charge les classifications du contenu, ce qui signifie qu'ils peuvent lesappliquer en les affectant à des règles de protection des données, de contrôle des équipements ou dedécouverte. Tous les produits McAfee DLP permettent de mettre en œuvre des empreintes de contenu, maisseul McAfee DLP Endpoint pour Windows peut les appliquer. Les empreintes de contenu apposent uneétiquette aux informations confidentielles. Cette étiquette reste associée au contenu, même si celui-ci est copiédans un autre document ou s'il est enregistré sous un autre format.

Classification de contenu

Les classifications de contenu comprennent des fichiers de données et de conditions qui définissent le contenuconfidentiel. Pour la classification automatique, les critères de classification sont comparés au contenu chaquefois qu'une règle de protection des données, de découverte Endpoint ou McAfee DLP Discover est déclenchée.Pour la classification manuelle, la classification est incorporée au fichier ou à l'e-mail sous forme de marqueurphysique. Les classifications de contenu manuelles sont persistantes et restent dans le fichier lorsqu'il est copiévers le stockage, joint à un e-mail ou téléchargé vers un site web comme SharePoint.

Les classifications de contenu automatiques sont prises en charge sur tous les produits McAfee DLP. Les règlesde protection des données qui utilisent des classifications manuelles sont mises en œuvre sur tous les produitsMcAfee DLP, mais seul McAfee DLP Endpoint pour Windows comporte la boîte de dialogue de classificationmanuelle permettant aux utilisateurs de classer les fichiers.

Les critères de classification du contenu peuvent détecter des modèles de texte sensibles, des entrées dedictionnaire et des mots-clés, seuls ou en combinaison. Ces combinaisons peuvent simplement consister en unensemble de plusieurs propriétés nommées, ou en des propriétés liées par une relation définie, appeléeproximité. Elles permettent également de définir des conditions relatives au fichier, telles que le type de cefichier, les propriétés du document, le fait que le fichier soit chiffré ou non, ou l'emplacement du contenu dansle fichier (en-tête/corps/pied de page).

Empreintes de contenu

Les critères d'empreintes de contenu sont appliqués aux fichiers sur la base de leur contenu. Il existe troisoptions :

• Selon l'application : application avec laquelle le fichier a été créé ou modifié.

• Selon l'emplacement : partage réseau ou définition de l'équipement de stockage amovible où le fichier eststocké.

• Sur le web : adresses web sur lesquelles les fichiers ont été ouverts ou téléchargés.

5 Classification de contenu confidentielUtilisation des classifications


Toutes les données et les conditions de fichiers disponibles pour les critères de classification le sont égalementpour les critères d'empreintes de contenu. Les empreintes peuvent ainsi combiner les fonctionnalités des deuxtypes de critères.

Les signatures d'empreinte de contenu sont stockées dans les attributs étendus (EA) du fichier, dans l'autre fluxde données (ADS) ou dans un dossier caché (ODB$). Vous pouvez sélectionner la technologie que vous préférezsur la page Suivi du contenu de la configuration du client Windows. Ces technologies sont appliquées à un fichierlorsqu'il est enregistré. Le principe est le même pour les empreintes de contenu automatiques et manuelles. Siun utilisateur copie ou déplace du contenu sur lequel des empreintes ont été appliquées vers un autre fichier,les critères d'empreintes sont appliqués à ce fichier. Si le contenu auquel une empreinte est appliquée estsupprimé du fichier, les signatures d'empreinte de contenu sont également supprimées. Si le fichier est copiésur un système qui ne prend pas en charge les EA ou les ADS (par exemple, SharePoint), les critères d'empreintesont perdus.

McAfee DLP Endpoint applique des critères d'empreintes de contenu aux fichiers sitôt qu'une stratégie estappliquée, que la classification soit utilisée dans une règle de protection ou non.

Application de critères de classification

McAfee DLP applique les critères à un fichier, un e-mail ou une demande web de l'une des manières suivantes :

• McAfee DLP Prevent applique des critères lorsqu'un e-mail ou une demande web correspond à uneclassification configurée.

• McAfee DLP Monitor applique des critères lorsque le trafic réseau correspond à une classificationconfigurée.

• McAfee DLP Endpoint applique des critères lorsque :

• Le fichier correspond à une classification configurée.

• Le fichier ou du contenu confidentiel est déplacé ou copié dans un nouvel emplacement.

• Une analyse de découverte détecte une correspondance pour un fichier.

• Un e-mail ou une demande web correspond à une classification configurée.

• Un utilisateur autorisé applique manuellement des critères à un fichier.

Classification par destination de fichierEn plus de classer le contenu en fonction de son emplacement d'origine, vous pouvez classer et contrôler sadestination d'envoi. Dans le domaine de la prévention des fuites de données, cette fonction est appeléedonnées mobiles.

Les règles de protection des fichiers qui contrôlent les destinations sont les suivantes :

• Règles Protection du cloud

• Règles Protection de la messagerie

• Règles de protection mobile

• Règles de protection des communications réseau (sortantes)

Les règles de protection des communications réseau des données peuvent être entrantes, sortantes ou lesdeux. Seules les règles sortantes sont pertinentes pour la classification par destination.

• Règles Protection contre l'impression

Classification de contenu confidentielUtilisation des classifications 5


• Règles Protection des périphériques de stockage amovibles

• Règles de protection web

Utilisation de la messagerieMcAfee DLP Endpoint protège les données confidentielles dans les en-têtes, les corps ou les pièces jointes dese-mails envoyés. La fonction de découverte du stockage des e-mails détecte les e-mails contenant des donnéesconfidentielles dans les fichiers OST ou PST, puis les marque ou les met en quarantaine.

McAfee DLP Endpoint protège le contenu confidentiel des e-mails. Pour ce faire, il ajoute des classifications aucontenu et bloque l'envoi des e-mails contenant des données confidentielles. La stratégie de protection de lamessagerie permet de définir plusieurs règles pour différents utilisateurs et destinations d'e-mails, ou pour dese-mails protégés par un chiffrement ou la gestion des droits. Les règles peuvent être activées pour McAfee DLPEndpoint pour Windows, McAfee DLP Prevent ou les deux. Les classifications manuelles ajoutées par McAfeeDLP Endpoint pour les utilisateurs Windows sont prises en charge par les appliances McAfee DLP.

McAfee DLP Prevent for Mobile Email applique les classifications pour analyser les e-mails envoyés à desappareils mobiles. Les règles peuvent enregistrer des preuves et crée des incidents pouvant être affectés à descas.

Définition de paramètres réseauLes définitions de réseau servent de critères de filtre dans les règles de protection du réseau.

• L'option Adresses réseau permet de surveiller les connexions réseau entre une source externe et unordinateur managé. La définition peut être une adresse unique, un intervalle ou un sous-réseau. Vouspouvez inclure et exclure des adresses réseau définies dans des règles de protection des communicationsréseau.

• Les définitions de ports réseau dans les règles de protection des communications réseau vous permettentd'exclure des services spécifiques définis par leurs ports réseau. La liste des services courants et des portscorrespondants est intégrée. Vous pouvez modifier les éléments de la liste ou créer vos propres définitions.

• Les définitions de partages réseau permettent de spécifier des dossiers réseau partagés dans les règles deprotection de partage réseau. Vous pouvez inclure ou exclure des partages définis.

Utilisation des imprimantesLes règles de protection contre l'impression sont utilisées pour gérer à la fois les imprimantes locales et réseauet bloquer ou surveiller l'impression de documents confidentiels.

Les règles de protection contre l'impression de McAfee DLP Endpoint prennent en charge le mode avancé et lesimprimantes V4. Les utilisateurs finaux et les imprimantes définis peuvent être inclus ou exclus d'une règle. Lesimprimantes image et PDF peuvent être incluses dans la règle.

Les règles de protection contre l'impression peuvent inclure des définitions d'applications. Vous pouvez définirdes processus inclus dans la liste blanche qui sont exclus des règles de protection contre l'impression sur lapage Protection contre l'impression de la configuration du client Windows.

Contrôle des informations téléchargées sur des sites webLes adresses web sont utilisées dans les règles de protection web et dans les règles de contrôle d’applicationweb.

Vous pouvez utiliser les définitions d'adresses web (URL) pour bloquer la publication de données marquéesvers des destinations web définies (sites web ou pages spécifiques d'un site web) ou pour empêcher desdonnées marquées d'être publiées sur des sites web non définis. En général, les définitions d'adresses webdéfinissent tous les sites web, aussi bien internes qu'externes, sur lesquels la publication de données marquéesest autorisée.

5 Classification de contenu confidentielUtilisation des classifications


Classification par emplacement de fichierLe contenu confidentiel peut être défini par l'endroit où il est situé (stocké) ou par l'endroit où il est utilisé(extension du fichier ou application).

McAfee DLP Endpoint fait appel à plusieurs méthodes permettant de localiser et de classer du contenuconfidentiel. Données stockées passivement est le terme utilisé pour décrire les emplacements des fichiers. Ilclassifie des contenus en posant des questions comme « où se trouve-t-il dans le réseau ? » ou « dans queldossier se trouve-t-il ? ». Données en cours d'utilisation est le terme utilisé pour définir un contenu en fonction deson mode d'utilisation ou de son emplacement. Il classe le contenu en posant des questions comme « quelleapplication l'a appelé ? » ou « quelle est l'extension du fichier ? ».

Les règles de découverte de McAfee DLP Endpoint recherchent dans vos données stockées passivement. Ellespeuvent rechercher du contenu dans des fichiers d'ordinateurs clients ou dans des fichiers de stockage dese-mails (PST, PST mappé et OST). En fonction des propriétés, applications ou emplacements dans laclassification de règle, la règle peut rechercher des emplacements de stockage spécifiques et appliquer desstratégies de chiffrement, de mise en quarantaine ou de gestion des droits. Autrement, les fichiers peuvent êtremarqués ou classés pour contrôler la manière dont ils sont utilisés.

Extraction de texteL'extracteur de texte analyse le contenu des fichiers que vous ouvrez ou copiez et le compare aux modèlestextuels et définitions de dictionnaire figurant dans les règles de classification. Lorsqu'une correspondance estdétectée, les critères sont appliqués au contenu.

McAfee DLP prend en charge les caractères accentués. Lorsqu'un fichier texte ASCII contient un mélange decaractères accentués (par ex. français et espagnols) ainsi que des caractères latins standard, l'extracteur detexte risque de ne pas identifier correctement le jeu de caractères. Ce problème se produit dans tous lesprogrammes d'extraction de texte. Il n'existe aucune méthode ou technique connue permettant d'identifier lapage de code ANSI dans ce type de cas. Lorsque l'extracteur de texte ne peut pas identifier la page de code, lesmodèles de texte et les signatures d'empreintes de contenu ne sont pas reconnus. Le document ne peut pasêtre correctement classé et l'action de blocage ou de surveillance appropriée ne peut pas être appliquée. Pourcontourner ce problème, McAfee DLP utilise une page de code de secours. Celle-ci désigne soit le langage pardéfaut de l'ordinateur soit un langage différent défini par l'administrateur.

Extraction de texte avec McAfee DLP Endpoint

L'extraction de texte est prise en charge sur les ordinateurs Microsoft Windows et Apple OS X.

L'extracteur de texte peut exécuter plusieurs processus, selon le nombre de cœurs du processeur.

• Un processeur à simple cœur exécute un seul processus.

• Un processeur à double cœur exécute jusqu'à deux processus.

• Un processeur multicœurs exécute jusqu'à trois processus simultanément.

Si plusieurs utilisateurs sont connectés, chacun a son propre ensemble de processus. Ainsi, le nombred'extracteurs de texte dépend du nombre de cœurs et de sessions utilisateur. Vous pouvez visualiser lesdifférents processus dans le Gestionnaire des tâches de Windows. L'utilisation maximale de la mémoire pourl'extracteur de texte est configurable. La valeur par défaut est de 75 Mo.

Catégorisation des applications dans McAfee DLP EndpointAvant de créer des classifications ou des jeux de règles fondés sur des applications, vous devez savoir de quellefaçon ces dernières sont catégorisées dans McAfee DLP Endpoint et l'effet que cela a sur les performances dusystème.

Cette catégorisation n'est pas prise en charge sur McAfee DLP Endpoint for Mac.

Classification de contenu confidentielUtilisation des classifications 5


Le logiciel McAfee DLP Endpoint répartit les applications en quatre catégories appelées stratégies. Cescatégories définissent le mode de fonctionnement du logiciel vis-à-vis des différentes applications. Vous pouvezmodifier la stratégie afin d'obtenir le meilleur compromis entre sécurité et performances de l'ordinateur.

Voici les stratégies, classées par ordre de sécurité décroissant :

• Editeur : toute application permettant de modifier le contenu des fichiers. Cette catégorie inclut les éditeurs« classiques » comme Microsoft Word et Microsoft Excel, ainsi que les navigateurs, les logiciels graphiques,les logiciels de comptabilité, etc. La plupart des applications sont des éditeurs.

• Explorateur : une application qui permet de copier ou de déplacer les fichiers sans les modifier, parexemple l'Explorateur Microsoft Windows ou certaines applications de shell.

• Approuvée : application nécessitant un accès sans restriction aux fichiers à des fins d'analyse. On trouverapar exemple McAfee® VirusScan® Enterprise, les logiciels de sauvegarde et les logiciels de recherche sur lespostes de travail comme Google Desktop.

• Archiveur : application capable de traiter les fichiers à nouveau. A titre d'exemple, citons les logiciels decompression tels que WinZip et les applications de chiffrement telles que le logiciel McAfee EndpointEncryption ou PGP.

Utilisation des stratégies DLP

Le cas échéant, vous pouvez modifier la stratégie pour optimiser les performances. Ainsi, le haut niveaud'observation dont bénéficie une application de type éditeur n'est pas adapté au processus d'indexationconstante d'une application de recherche sur les postes de travail. L'impact sur les performances est très élevé,alors que le risque d'une fuite de données émanant d'une telle application est faible. Il est par conséquentpréférable d'utiliser la stratégie approuvée avec ces applications.

Vous pouvez remplacer la stratégie par défaut en accédant à la page Stratégie DLP | Paramètres | Stratégied'application. Vous pouvez créer et supprimer autant de remplacements que nécessaire pour tester et affiner lastratégie.

Vous pouvez également créer plusieurs modèles pour une même application et lui affecter plusieurs stratégies.Utilisez ces différents modèles dans plusieurs classifications et règles de sorte à obtenir des résultats différentsselon le contexte. Vous devez cependant être vigilant lors de l'affectation de ces modèles dans des jeux derègles, afin d'éviter les conflits. McAfee DLP Endpoint résout les conflits potentiels en appliquant la hiérarchiesuivante : archiveur > stratégie approuvée > explorateur > éditeur. Les applications de type éditeur sont donccelles qui ont le rang le plus bas. Si une application possède le type éditeur dans un modèle et un autre typedans un autre modèle du même jeu de règles, McAfee DLP Endpoint ne considérera pas l'application comme unéditeur.

Définitions de dictionnaireUn dictionnaire est un ensemble de mots ou d'expressions clés. Chaque entrée d'un dictionnaire se voit affecterun score.

Les critères de classification de contenu et d'empreintes de contenu utilisent des dictionnaires spécifiés pourclasser un document lorsqu'un seuil prédéfini (le score total) a été dépassé, c'est-à-dire si suffisamment demots du dictionnaire s’affichent dans le document. Les scores affectés peuvent être négatifs ou positifs ; vouspouvez ainsi rechercher des mots ou des expressions associés à d'autres mots ou expressions.

Le score affecté constitue la différence entre un dictionnaire et une chaîne de définition de mot-clé.

5 Classification de contenu confidentielDéfinitions de dictionnaire


• Une classification de mot clé marque toujours le document si l'expression est présente.

• Une classification de dictionnaire vous apporte plus de flexibilité. En effet, vous pouvez définir un seuillorsque vous appliquez la définition, ce qui rend la classification relative. Le seuil peut aller jusqu'à 1000.Vous pouvez également choisir comment les correspondances sont comptées : Compter les occurrencesmultiples incrémente le total à chaque correspondance, Compter chaque chaîne correspondante une seule foiscompte combien d'entrées du dictionnaire donnent une correspondance dans le document.

Le logiciel McAfee DLP comporte plusieurs dictionnaires intégrés, qui contiennent des termes courammentutilisés dans les secteurs de la santé, des banques, de la finance et autres. Vous pouvez également créer vospropres dictionnaires. Les dictionnaires peuvent être créés et modifiés manuellement ou par copier/coller àpartir d'autres documents.

Limitations

L'utilisation des dictionnaires comporte certaines limites. Les dictionnaires sont enregistrés au format Unicode(UTF-8) et peuvent donc être rédigés dans toutes les langues. Les descriptions suivantes s'appliquent auxdictionnaires rédigés en anglais. De manière générale, elles s'appliquent également aux autres langues, maisdes problèmes imprévus peuvent survenir pour certaines d'entre elles.

La recherche de correspondances dans le dictionnaire présente les caractéristiques suivantes :

• Elle n'est sensible à la casse que lorsque vous créez des entrées de dictionnaire qui le sont elles-mêmes. Lesdictionnaires intégrés, qui ont été créés avant l'ajout de cette fonctionnalité, ne sont pas sensibles à la casse.

• Il est possible que des correspondances soient éventuellement trouvées pour des sous-chaînes ou desexpressions complètes.

• Elle recherche les expressions correspondantes, espaces compris.

Si la recherche de sous-chaînes est définie, faites bien attention lorsque vous saisissez des mots courts, quirisquent de renvoyer des faux positifs. Par exemple, une entrée de dictionnaire comme « chat » signalerait lesmots « rachat » et « chatterton ». Pour éviter ces faux positifs, utilisez l'option de recherche decorrespondances par expressions complètes ou employez des expressions improbables d'un point de vuestatistique (SIP, Statistically Improbable Phrases) pour obtenir les meilleurs résultats. Les entrées similairesconstituent une autre source de faux positifs. Par exemple, dans une liste de maladies HIPAA, « cœliaque » et« maladie cœliaque » apparaissent comme des entrées séparées. Si la seconde expression apparaît dans undocument et que la recherche de sous-chaînes correspondantes est spécifiée, la recherche génère deuxoccurrences (une pour chaque entrée), ce qui fausse le score total.

Définitions de modèle avancéLes modèles avancés utilisent des expressions régulières qui permettent de mettre en correspondance desmodèles complexes, comme dans des numéros de sécurité sociale ou des numéros de cartes de crédit. Lesdéfinitions utilisent la syntaxe d'expression régulière Google RE2.

Les définitions de modèle avancé comportent un score (obligatoire), comme les définitions de dictionnaire. Ellespeuvent également contenir un programme de validation, c'est-à-dire un algorithme utilisé pour tester desexpressions régulières. L'utilisation du programme de validation adapté peut réduire de façon significative lesrisques de faux positifs. La définition peut contenir une section Expressions ignorées pour réduire davantageles risques de faux positifs. Les expressions ignorées peuvent être des expressions régulières ou des mots clés.Vous pouvez importer plusieurs mots clés pour accélérer la création des expressions.

Classification de contenu confidentielDéfinitions de modèle avancé 5


Lorsque vous définissez un modèle avancé, vous pouvez choisir comment les correspondances sont comptées :Compter les occurrences multiples incrémente le total à chaque correspondance, Compter chaque chaînecorrespondante une seule fois compte combien de modèles définis donnent une correspondance exacte dans ledocument.

Les modèles avancés signalent le texte confidentiel. Les modèles de texte confidentiel sont mis en évidence parle biais du surlignage de correspondances.

Si un modèle détecté et un modèle ignoré sont spécifiés, le modèle ignoré est prioritaire. Vous pouvez ainsispécifier une règle générale et y ajouter des exceptions sans devoir la réécrire.

Classification du contenu en fonction des propriétés de document oudes informations de fichier

Les définitions de propriétés de document permettent de classer le contenu selon des valeurs de métadonnéesprédéfinies. Les définitions d'informations sur le fichier classent le contenu par métadonnées de fichier.

Propriétés de documents

Les propriétés de document peuvent être récupérées pour n'importe quel document Microsoft Office ou PDF etutilisées dans les définitions de classification. Vous pouvez rechercher des correspondances partielles enutilisant la comparaison Contient.

Il existe trois types de propriétés de document :

• Propriétés prédéfinies : propriétés standard telles que l'auteur et le titre.

• Propriétés personnalisées : propriétés personnalisées ajoutées aux métadonnées du document,autorisées par certaines applications telles que Microsoft Word. Une propriété personnalisée peutégalement faire référence à une propriété de document standard qui ne se trouve pas sur la liste despropriétés prédéfinies. En revanche, elle ne peut pas être un double d'une propriété qui se trouve sur laliste.

• Toute propriété : définit une propriété seulement par sa valeur. Cette fonctionnalité est utile dansl'éventualité où le mot clé a été saisi dans le mauvais paramètre de propriété ou lorsque le nom de propriétén'est pas connu. Par exemple, l'ajout de la valeur Secret au paramètre Toute propriété classe tous lesdocuments ayant le mot Secret dans au moins une propriété.

Informations sur le fichier

Les définitions d'informations sur le fichier sont utilisées dans les règles de protection des données et dedécouverte, ainsi que dans les classifications pour augmenter la granularité. Ces informations sont la date decréation, la date de modification, le propriétaire et la taille du fichier. Les propriétés de date peuvent êtredéfinies de manière exacte (avant, après, entre) ou relative (au cours des X derniers jours, des X dernièressemaines, des X dernières années). Type de fichier (extensions uniquement) est une liste extensible prédéfinied'extensions de fichier.

McAfee DLP Prevent et McAfee DLP Monitor ne peuvent pas détecter les conditions de fichier Date d'accès, Date decréation, Date de modification et Propriétaire du fichier, car elles ne sont pas incorporées au fichier. Ces conditionssont perdues lorsque le fichier est en mouvement ou chargé sur le cloud ou sur un site web.

5 Classification de contenu confidentielClassification du contenu en fonction des propriétés de document ou des informations de fichier


Modèles d'applicationUn modèle d'application permet de contrôler des applications spécifiques à l'aide de propriétés telles que lenom du produit ou du fournisseur, le nom du fichier exécutable ou le titre de la fenêtre.

Un modèle d'application peut être défini pour une seule application ou un groupe d'applications similaires. Ilexiste des modèles intégrés (prédéfinis) pour un certain nombre d'applications courantes telles quel'Explorateur Windows, les navigateurs Web, les applications de chiffrement et les clients de messagerie.

La définition du modèle d'application contient un champ avec une case à cocher pour le système d'exploitation.L'analyse des fichiers mappés en mémoire est une fonction de Windows uniquement. Elle est désactivéeautomatiquement lorsque vous sélectionnez des applications OS X.

Les modèles d'application pour Microsoft Windows peuvent utiliser l'un des paramètres suivants :

• Ligne de commande : permet d'utiliser des arguments de ligne de commande, par exemple : java-jar, enmesure de contrôler des applications qui ne pouvaient pas l'être auparavant.

• Répertoire de fichiers exécutables : répertoire où se trouve le fichier exécutable. Ce paramètre permetnotamment de contrôler les applications U3.

• Hachage de fichier exécutable : nom d'affichage de l'application, avec un hachage d'identification SHA2.

• Nom de fichier exécutable : en règle générale, il s'agit du même nom que le nom d'affichage (moins lehachage SHA2), mais il peut être différent si le fichier est renommé.

• Nom du fichier exécutable d'origine : identique au nom de fichier exécutable, sauf si le fichier a étérenommé.

• Nom de produit : nom générique du produit, par exemple Microsoft Office 2012, s'il figure dans lespropriétés du fichier exécutable.

• Nom du fournisseur : nom de la société, s'il figure dans les propriétés du fichier exécutable.

• Titre de fenêtre : valeur dynamique qui change au moment de l'exécution pour inclure le nom de fichieractif.

A l'exception du répertoire de fichiers exécutables et du nom de l'application SHA2, tous les paramètresacceptent des correspondances de sous-chaînes.

Les modèles d'application pour OS X peuvent utiliser l'un des paramètres suivants :

• Ligne de commande

• Répertoire exécutable

• Hachage de fichier exécutable

• Nom de fichier exécutable

Classification manuelleLes utilisateurs finaux peuvent appliquer manuellement des classifications ou des critères d'identification parempreinte à des fichiers ou les en supprimer.

La fonctionnalité de classification manuelle applique une classification de fichier. Autrement dit, lesclassifications appliquées ne doivent pas nécessairement être liées au contenu. Par exemple, un utilisateur peutplacer une classification PCI sur n'importe quel fichier. Le fichier ne doit pas nécessairement contenir desnuméros de carte de crédit. La classification manuelle est incorporée dans le fichier. Dans les fichiers MicrosoftOffice, la classification est stockée en tant que propriété de document. Dans d'autres fichiers pris en charge, elleest stockée en tant que propriété XMP. Pour les e-mails, elle est ajoutée en tant que texte de marquage.

Classification de contenu confidentielModèles d'application 5


Lorsque vous configurez une classification manuelle, vous pouvez également autoriser un utilisateur àappliquer manuellement des empreintes de contenu.

Les caractéristiques de prise en charge pour la classification manuelle sont les suivantes :

• Les utilisateurs de McAfee DLP Endpoint (sur les postes clients Windows et Mac) peuvent classermanuellement les fichiers.

• Les clients McAfee DLP Endpoint (sur les postes clients Windows et Mac), McAfee DLP Prevent et McAfeeDLP Monitor peuvent détecter les fichiers classés manuellement (dans les pièces jointes d’e-mails parexemple) et prendre les mesures appropriées en fonction de la classification.

• McAfee DLP Discover peut détecter les classifications manuelles dans les analyses de classification et decorrection et prendre les mesures appropriées dans les analyses de correction.

Par défaut, les utilisateurs finaux ne sont pas autorisés à afficher, ajouter ou supprimer les classifications, maisvous pouvez affecter des classifications spécifiques à certains groupes d'utilisateurs ou à tout le monde. Lesutilisateurs concernés peuvent ensuite appliquer ces classifications à des fichiers dans le cadre de leur travail.La classification manuelle peut aussi vous permettre de maintenir la stratégie de classification de votreorganisation, même dans des cas spéciaux d'informations confidentielles ou uniques que le système ne traitepas automatiquement.

Lorsque vous configurez l'autorisation pour la classification manuelle, vous avez la possibilité d'autoriserl'application manuelle des classifications de contenu, de l'identification de contenu par empreinte ou des deux.

Prise en charge de la classification manuelle

McAfee DLP offre deux types de prise en charge pour les classifications manuelles : une pour les fichiersMicrosoft Office et une pour tous les types de fichiers pris en charge.

Les applications Microsoft Office (Word, Excel et PowerPoint) et Microsoft Outlook sont prises en charge auniveau de la création de fichier. Les utilisateurs finaux peuvent choisir de classer les fichiers en cliquant surl'icône de classification manuelle. Vous pouvez également définir des options permettant de forcer lesutilisateurs à classer les fichiers en activant la fenêtre pop-up de classification manuelle lorsque des fichierssont enregistrés ou des e-mails Outlook sont envoyés.

5 Classification de contenu confidentielClassification manuelle


La classification manuelle d'un e-mail est uniquement applicable pour un thread spécifique. Si vous envoyez lemême e-mail deux fois dans différents threads, vous devez le classer deux fois. Pour les e-mails, lesinformations ajoutées à l'en-tête ou au pied de page (défini sur la page Paramètres généraux de la classificationmanuelle) sont ajoutées en texte clair.

Tous les types de fichiers pris en charge peuvent être classés à partir de l'Explorateur Windows ou de MacFinder, à l'aide du menu contextuel (clic droit sous Windows, Ctrl-clic sous Mac).

Propriétés incorporéesLes propriétés incorporées à l'aide de la classification manuelle permettent l'intégration d'applications tiercesavec les documents classés par McAfee DLP.

Le tableau suivant indique les types de fichiers pris en charge et la technologie appliquée.

Type de document Type de fichier vrai Méthode

Microsoft Word DOC, DOCX, DOCM, DOT, DOTX, DOTM propriété de document

Microsoft PowerPoint PPT, PPTX, PPS, PPSX, PPSM, PPTM, POT, POTM, POTX

Microsoft Excel XLS, XLSX, XLSM, XLSB, XLT, XLTX, XLTM

Document XPS XPS

Portable Document Format PDF propriété XMP

Formats audio et vidéo AIF, AIFF, AVI, MOV, MP2, MP3, MP4, MPA, MPG,MPEG, SWF, WAV, WMA, WMV

Formats graphiques et images PNG, JPG, JPEG, TIF, TIFF, DNG, WMF, PSD

Le tableau suivant présente les propriétés internes.

Classification de contenu confidentielClassification manuelle 5


Classification Nom de la propriété

Classification de fichier manuelle DLPManualFileClassification

Classification du fichier par auteur de la dernièremodification

DLPManualFileClassificationLastModifiedBy

Classification du fichier par date de dernière modification DLPManualFileClassificationLastModificationDate

Classification du fichier par version DLPManualFileClassificationVersion

Classification automatique pour la découverte determinaux

DLPAutomaticFileClassification

Classification automatique par version pour la découvertede terminaux

DLPAutomaticFileClassificationVersion

Configuration de la classification manuelleIl existe plusieurs options de classification manuelle qui déterminent le mode de fonctionnement de lafonctionnalité et les messages affichés.

La classification manuelle permet aux utilisateurs finaux de McAfee DLP Endpoint pour Windows d'ajouter desclassifications aux fichiers à partir du menu contextuel de l'Explorateur Windows. Pour les applicationsMicrosoft Office et Outlook, des classifications manuelles peuvent être appliquées lors de l'enregistrement defichiers ou de l'envoi d'e-mails. Tous les produits McAfee DLP permettent d'appliquer des règles sur la base declassifications manuelles.

Procédure

1 Dans McAfee ePO, sélectionnez Menu | Protection des données | Classification.

2 Cliquez sur Classification manuelle.

3 Dans la liste déroulante Afficher, sélectionnez Paramètres généraux.

4 Sélectionnez ou désélectionnez des options pour optimiser la classification en fonction des besoins de votreentreprise.

5 (Facultatif) Sélectionnez des informations complémentaires à ajouter à l'e-mail en cliquant sur et ensélectionnant une définition de notification, ou en en créant une.

Les notifications prennent en charge la fonctionnalité Paramètres locaux pour toutes les langues prises encharge. La prise en charge pour les langues s'applique également aux commentaires ajoutés aux e-mails.

Documents enregistrésLa fonction de documents enregistrés est une extension de l'identification de contenu par empreinte selonl'emplacement. Elle fournit aux administrateurs un autre moyen de définir l'emplacement des informationsconfidentielles et d'empêcher que celles-ci soient diffusées de manière non autorisée.

Pour créer des documents enregistrés, McAfee DLP crée des catégories et des empreintes relatives au contenude fichiers définis auparavant comme confidentiels, par exemple des feuilles de calcul de prévision de ventepour le trimestre à venir. Il utilise les empreintes pour créer des signatures qui sont stockées sous forme dedocuments enregistrés. Les signatures créées sont linguistiquement neutres, ce qui signifie que le processusfonctionne pour toutes les langues.

McAfee DLP prend en charge deux types de documents enregistrés, manuels et automatiques.

5 Classification de contenu confidentielDocuments enregistrés


Pour créer des documents enregistrés manuellement, chargez des fichiers dans le module Classification, sur lapage Documents enregistrés. Créez ensuite des packages à partir des fichiers chargés, à distribuer aux clientsMcAfee DLP Endpoint pour Windows et à utiliser dans les règles mises en œuvres sur les postes clients. McAfeeDLP Prevent et McAfee DLP Monitor peuvent accéder à la base de données McAfee ePO pour utiliser desdocuments enregistrés dans des stratégies. McAfee DLP Endpoint for Mac ne prend pas en charge lesdocuments enregistrés.

Créez des documents enregistrés automatiquement en effectuant des analyses d’enregistrement de documentde McAfee DLP Discover. Les documents enregistrés sont stockés sur les serveurs McAfee DLP Discover. Ils sontutilisés afin de définir des analyses de classification et de correction, et des règles de protection pour McAfeeDLP Prevent et McAfee DLP Monitor.

Affichage des données de documents enregistrés

La vue Statistiques par défaut affiche le nombre de fichiers, leur taille, le nombre de signatures, etc., enindiquant les valeurs totales dans le volet de gauche et les statistiques par fichier dans le volet de droite. Vouspouvez utiliser ces données pour supprimer des packages de moindre importance si le nombre limite designatures est presque atteint.

La vue Group by (Grouper par) pour l’enregistrement manuel permet de regrouper par classification ou partype/extension. Elle affiche les fichiers chargés, par classification ou par type. Vous pouvez filtrer les donnéespar classification ou au moyen d'un filtre personnalisé. Des informations sur la dernière création de package etles modifications apportées à la liste des fichiers sont affichées dans le coin supérieur droit.

Pour un enregistrement automatique, la vue Group by (Grouper par) permet de regrouper par classification,par serveur de référentiel, par analyse ou par True File type (véritable type de fichier). Vous pouvez filtrer lesdonnées par analyse, par classification ou au moyen d'un filtre personnalisé.

Enregistrement manuelLes documents enregistrés manuellement sont pris en charge sur McAfee DLP Endpoint pour les clientsWindows, McAfee DLP Prevent et McAfee DLP Monitor.

Pour utiliser des documents enregistrés manuellement, chargez des fichiers sur la page Classification |Documents enregistrés, en les affectant à une classification à mesure que vous les chargez. Sélectionnez ensuitedes fichiers chargés pour créer un package.

Les options Chargement du fichier et Créer un package sont disponibles uniquement lorsqu’une licence McAfee DLPEndpoint, McAfee DLP Prevent ou McAfee DLP Monitor est enregistrée sur la page Paramètres DLP.

Lorsque vous créez un package, McAfee DLP traite tous les fichiers de la liste et charge les empreintes dans labase de données McAfee ePO. Lorsque vous ajoutez ou supprimez des documents, vous devez créer unnouveau package. Le logiciel ne fait aucune tentative pour calculer si des empreintes ont déjà été créées pourcertains fichiers. Il traite toujours l'ensemble de la liste.

La base de données McAfee ePO distribue les packages aux postes clients. Le client McAfee DLP Endpoint pourWindows sur les ordinateurs managés applique les règles de protection pouvant contenir des fragments decontenus enregistrés dans les définitions de classification. McAfee DLP Prevent et McAfee DLP Monitor peuventaccéder à la base de données McAfee ePO pour utiliser des documents enregistrés de la même façon.

La commande Créer un package s'applique simultanément à la liste des documents enregistrés et à celle desdocuments inclus dans la liste blanche, afin de créer un seul paquet. Le nombre maximal de signatures parpackage est de 1 million chacun pour les documents enregistrés et les documents inclus dans la liste blanche.

Classification de contenu confidentielDocuments enregistrés 5


Enregistrement automatiqueLes documents enregistrés automatiquement sont pris en charge sur McAfee DLP Discover, McAfee DLPPrevent et McAfee DLP Monitor.

Les analyses d'enregistrement de McAfee DLP Discover créent des fichiers de signatures stockés sur lesserveurs McAfee DLP Discover. Vous pouvez effectuer des analyses de documents enregistrés sur desréférentiels CIFS, SharePoint ou Box. Affectez une classification aux documents enregistrés sur la page ScanDetails (Détails d'analyse) lorsque vous configurez l’analyse. Vous pouvez afficher les analyses sur la pageRegister Documents (Enregistrer les documents) lorsque vous sélectionnez Type: Automatic Registration (Type :enregistrement automatique).

Lorsque plusieurs serveurs McAfee DLP Discover sont répartis sur un réseau, un seul d’entre eux estsélectionné pour contenir la base de données maître des signatures. Toutes les signatures sont envoyées à labase de données maître, et une copie de cette base de données maître est distribuée aux bases de donnéesesclaves sur les autres serveurs McAfee DLP Discover. Vous pouvez configurer un système réparti pour qu’ilpartage les bases de données de signatures sur des réseaux LAN ou LAN/WAN.

Texte inclus dans la liste blancheMcAfee DLP ignore le texte inclus dans la liste blanche lors du traitement du contenu du fichier.

McAfee DLP Discover et McAfee DLP Endpoint for Mac ne prennent pas en charge le texte inclus dans la listeblanche.

Vous pouvez charger des fichiers contenant du texte dans McAfee ePO pour les inclure dans la liste blanche. Letexte inclus dans la liste blanche n'entraînera pas la classification du contenu, même si certaines de ses partiescorrespondent à des critères de classification ou d'empreintes de contenu. Utilisez la liste blanche pour ignorerle texte qui apparaît fréquemment dans des fichiers, tel que les éléments réutilisables, les mentions légales etles informations de copyright.

• Les fichiers à inclure dans la liste blanche doivent contenir au moins 400 caractères.

• Si un fichier contient à la fois des données incluses dans la liste blanche et classifiées, il n'est pas ignoré parle système. Tous les critères d'empreintes et de classification de contenu appropriés associés au contenurestent en vigueur.

Création et configuration de classifications

Sommaire Création d'une classification Création de critères de classification Téléchargement de documents enregistrés Chargement des fichiers vers le texte inclus dans la liste blanche

Création d'une classificationDes définitions de classification sont requises dans la configuration des règles de découverte et de protectiondes données.

5 Classification de contenu confidentielTexte inclus dans la liste blanche


Procédure


2 Cliquez sur Nouvelle classification.

3 Indiquez un nom et éventuellement une description.

4 Cliquez sur OK.

5 Ajoutez des groupes d'utilisateurs finaux à la classification manuelle, ou encore des documents enregistrés àla classification, en cliquant sur Modifier pour le composant respectif.

6 Ajoutez des critères de classification de contenu ou des critères d'empreintes de contenu à l'aide du contrôleActions.

Création de critères de classificationAppliquez des critères de classification à des fichiers en fonction de leur contenu et de leurs propriétés.

Les critères de classification de contenu sont créés à partir des définitions de fichiers et de données. Si unedéfinition nécessaire n'existe pas, vous pouvez la créer lors de la définition des critères.

Procédure


2 Sélectionnez la classification à laquelle vous souhaitez ajouter les critères, puis sélectionnez Actions |Nouveaux critères de classification de contenu.

3 Entrez le nom.

4 Sélectionnez des propriétés et configurez les entrées de comparaison et de valeur.


• Pour certaines propriétés, cliquez sur ... afin de sélectionner une propriété existante ou d'en créer une.

• Pour ajouter des valeurs à une propriété, cliquez sur +.

• Pour supprimer des valeurs, cliquez sur –.


Téléchargement de documents enregistrésSélectionnez et classez les documents à distribuer sur les ordinateurs clients.

Avant de commencerLe chargement de documents enregistrés nécessite une licence pour McAfee DLP Endpoint, McAfeeDLP Prevent ou McAfee DLP Monitor.

Classification de contenu confidentielCréation et configuration de classifications 5


Procédure


2 Cliquez sur l'onglet Enregistrer des documents.

3 Cliquez sur Chargement du fichier.

4 Accédez au fichier et, si un fichier du même nom existe déjà, indiquez si l'ancien fichier doit être remplacépar le nouveau. Sélectionnez ensuite une classification.

L'option Chargement du fichier traite un seul fichier. Pour charger plusieurs documents, créez un fichier .zip.

5 Cliquez sur OK.

Le fichier est téléchargé et traité, et des statistiques sont affichées sur la page.

6 Cliquez sur Créer un package lorsque la liste des fichiers est complète.

Lorsque les fichiers sont effacés, supprimez-les de la liste et créez un package pour appliquer lesmodifications.

7 Vous pouvez créer un package ne contenant que les documents enregistrés ou ceux inclus dans la listeblanche en laissant une liste vide.

Un package de signatures contenant l’ensemble des documents enregistrés et des documents inclus dans laliste blanche est chargé dans la base de données McAfee ePO pour être distribué sur les ordinateurs clients.McAfee DLP Prevent et McAfee DLP Monitor peuvent accéder à la base de données McAfee ePO pour utiliserdes documents enregistrés dans les définitions de règles.

Chargement des fichiers vers le texte inclus dans la liste blancheChargez des fichiers contenant du texte couramment utilisé pour l'inclure dans la liste blanche.

McAfee DLP Discover ne prend pas en charge le texte inclus dans la liste blanche.

Procédure


2 Cliquez sur l'onglet Texte inclus dans la liste blanche.

3 Cliquez sur Chargement du fichier.

4 Accédez au fichier et, si un fichier du même nom existe déjà, indiquez si l'ancien fichier doit être remplacépar le nouveau.

5 Cliquez sur OK.

Configurer des composants de classification pour McAfee DLP

Sommaire Création de critères d'empreintes de contenu Affectation d'autorisations de classification manuelle Scénario d'utilisation : classification manuelle

5 Classification de contenu confidentielConfigurer des composants de classification pour McAfee DLP


Création de critères d'empreintes de contenuAppliquez des critères d'empreintes à des fichiers en fonction de l'emplacement du fichier ou de l'application.

Procédure


2 Sélectionnez la classification à laquelle les critères doivent être ajoutés.

3 Sélectionnez Actions | Nouveaux critères d'empreintes de contenu puis sélectionnez le type de critèresd'empreintes.

4 Entrez le nom et indiquez des informations supplémentaires en fonction du type de critère d'empreinte.

• Application : cliquez sur ... pour sélectionner une ou plusieurs applications.

• Emplacement : cliquez sur ... pour sélectionner un ou plusieurs partages réseau. Si nécessaire, indiquez letype de support amovible.

• Application web : cliquez sur ... pour sélectionner une ou plusieurs listes d'URL.

5 (Facultatif) Sélectionnez au moins une propriété et configurez les entrées de comparaison et de valeur.


• Pour certaines propriétés, vous pouvez cliquer sur ... pour sélectionner une propriété existante ou encréer une.

• Pour ajouter des valeurs à une propriété, cliquez sur +.

• Pour supprimer des valeurs, cliquez sur –.


Affectation d'autorisations de classification manuelleDéfinissez les utilisateurs autorisés à classer manuellement les fichiers.

Procédure


2 Cliquez sur l'onglet Classification manuelle.

3 Dans la liste déroulante Afficher, sélectionnez Grouper par classifications ou Grouper par groupes d'utilisateursfinaux.

Vous pouvez attribuer des classifications à des groupes d'utilisateurs finaux ou affecter des groupesd'utilisateurs finaux à des classifications, selon ce qui est le plus pratique pour vous. La liste Afficher permetde gérer l'affichage.

4 Si vous effectuez un groupement par classification :

a Sélectionnez une classification dans la liste affichée.

b Dans la section Classifications, sélectionnez le type de classification.

Si la liste est très longue, vous pouvez la réduire en saisissant une chaîne dans la zone de texte Filtrer laliste.

Classification de contenu confidentielConfigurer des composants de classification pour McAfee DLP 5


c Sélectionnez Actions | Sélectionner les groupes d'utilisateurs finaux.

d Dans la fenêtre Choisir parmi les valeurs existantes, sélectionnez des groupes d'utilisateurs ou cliquez surNouvel élément pour créer un groupe. Cliquez sur OK.

5 Si vous effectuez un groupement par groupes d'utilisateurs :

a Sélectionnez un groupe d'utilisateurs dans la liste affichée.

b Sélectionnez Actions | Sélectionner les classifications.

c Dans la fenêtre Choisir parmi les valeurs existantes, sélectionnez des classifications. Cliquez sur OK.

Scénario d'utilisation : classification manuelleLes travailleurs dont les tâches exigent la création de routine de fichiers contenant des données sensiblespeuvent se voir affecter une autorisation de classification manuelle. Ils peuvent classer les fichiers à mesurequ'ils les créent dans le cadre de leur flux de travail normal.

Les utilisateurs travaillant sur des ordinateurs Windows ou Mac avec McAfee DLP Endpoint peuvent classer lesfichiers manuellement. Les fichiers classés manuellement sont pris en charge par les règles de McAfee DLPDiscover, McAfee DLP Prevent et McAfee DLP Monitor.

Dans cet exemple, un fournisseur de soins de santé sait que tous les dossiers des patients doivent êtreconsidérés comme confidentiels au regard des règles HIPAA. Les travailleurs qui créent ou modifient lesdossiers des patients se voient octroyer des autorisations de classification manuelle.

Procédure

1 Créez un groupe d'utilisateurs ou des groupes pour les travailleurs qui créent ou modifient des dossiers depatients.

a Dans McAfee ePO, ouvrez le module Classification (Menu | Protection des données | Classification).

b Dans l'onglet Définitions, sélectionnez Source/Destination | Groupe d'utilisateurs finaux.

c Sélectionnez Actions | Nouveau, remplacez le nom par défaut par un nom pertinent comme Grouped'utilisateurs d'informations médicales privées et ajoutez des utilisateurs ou des groupes àla définition.

d Cliquez sur Enregistrer.

2 Créez une classification PHI (Protected Health Information - renseignements médicaux protégés).

a Dans le module Classification, sous l'onglet Classification, sélectionnez [Sample] PHI [intégré] dans lepanneau de gauche, puis sélectionnez Actions | Dupliquer la classification.

Une copie modifiable de la classification d'échantillon s'affiche.

b Modifiez les champs Nom, Description et Critères de classification le cas échéant.

c Dans le champ Classification manuelle, cliquez sur Modifier.

d Dans la section Actions supplémentaires, sélectionnez le type de classification.

Par défaut, seule la classification manuelle est sélectionnée.

e Sélectionnez Actions | Sélectionner les groupes d'utilisateurs finaux.

5 Classification de contenu confidentielConfigurer des composants de classification pour McAfee DLP


f Dans la fenêtre Choisir parmi les valeurs existantes, sélectionnez le ou les groupes créés précédemment,puis cliquez sur OK.

g Revenez à l'onglet Classification et sélectionnez Actions | Enregistrer la classification.

Les travailleurs qui sont membres des groupes affectés peuvent maintenant classer les dossiers des patientsdès leur création. Pour ce faire, cliquez sur le fichier avec le bouton droit de la souris, sélectionnez Protection desdonnées, puis sélectionnez l'option voulue.

Seules les options sélectionnées (étape 2.d.) apparaissent dans le menu.

Création de définitions de classification

Sommaire Création d'une définition de classification générale Création ou importation d'une définition de dictionnaire Création d'un modèle avancé Création d'une définition de liste d'URL

Création d'une définition de classification généraleCréez et configurez des définitions pour les classifications et les règles.

Procédure


2 Sélectionnez le type de définition à configurer, puis sélectionnez Actions | Nouveau.

3 Attribuez un nom à la définition et configurez-en les options et les propriétés.

Les options et les propriétés disponibles dépendent du type de définition.


Création ou importation d'une définition de dictionnaireUn dictionnaire est un ensemble de mots ou d'expressions clés. Chaque entrée d'un dictionnaire se voit affecterun score. Les scores permettent d'affiner les définitions de règles.

Vous pouvez créer une définition de dictionnaire en important un fichier dictionnaire au format CSV. Vouspouvez également importer des éléments avec un script contenant des appels d'API REST. L'administrateurexécutant le script doit être un utilisateur valide de McAfee ePO ayant les autorisations d'exécuter les actionsinvoquées par les API dans les Ensembles d'autorisations de McAfee ePO.

Meilleure pratique : les fichiers CSV de dictionnaire peuvent utiliser des colonnes multiples. Exportez undictionnaire pour comprendre comment les colonnes sont remplies avant de créer un fichier à importer.

Procédure



Classification de contenu confidentielCréation de définitions de classification 5


3 Dans le volet gauche, cliquez sur Dictionnaire.



6 Ajoutez des entrées au dictionnaire.

Pour importer des entrées, procédez comme suit :

a Cliquez sur Importer des entrées.

b Entrez des mots ou des expressions, ou effectuez un couper-coller à partir d'un autre document.

La fenêtre textuelle est limitée à 20 000 lignes de 50 caractères par ligne.

c Cliquez sur OK.

Toutes les entrées ont un score par défaut de 1.

d Si nécessaire, mettez à jour ce score par défaut en cliquant sur le bouton Modifier correspondant àl'entrée.

e Sélectionnez les colonnes Débute par, Se termine par et Sensible à la casse selon vos besoins.

Les colonnes Débute par et Se termine par permettent d'entrer des correspondances de sous-chaînes.

Pour créer manuellement des entrées, procédez comme suit :

a Entrez la phrase et le score.

b Sélectionnez les colonnes Débute par, Se termine par et Sensible à la casse selon vos besoins.

c Cliquez sur Ajouter.


Création d'un modèle avancéLes modèles avancés permettent de définir les classifications. Une définition de modèle avancé peut consisteren une expression unique ou en une combinaison d'expressions et de définitions de faux positif.

Les modèles avancés sont définis à l'aide d'expressions régulières (regex). Ce document ne traite pas desexpressions régulières. Vous trouverez sur Internet un certain nombre de didacticiels sur les expressionsrégulières qui vous permettront d'obtenir plus d'informations à ce sujet.

Procédure


2 Sélectionnez l'onglet Définitions, puis Modèle avancé dans le volet de gauche.

Les modèles disponibles s'affichent dans le volet de droite.

Pour afficher uniquement les modèles avancés définis par l'utilisateur, désélectionnez la case Inclure deséléments intégrés. Les modèles définis par l'utilisateur sont les seuls qui peuvent être modifiés.


La page de définition Nouveau modèle avancé s'affiche.


5 Classification de contenu confidentielCréation de définitions de classification


5 Sous Expressions en correspondance, procédez comme suit :

a Saisissez une expression dans la zone de texte. Ajoutez une description facultative.

b Sélectionnez un programme de validation dans la liste déroulante.

Si possible, McAfee recommande d'utiliser un programme de validation pour réduire le nombre de fauxpositifs, mais cela n'est pas obligatoire. Si vous ne voulez pas indiquer de programme de validation, ou sila validation n'est pas appropriée pour l'expression, sélectionnez Aucune validation.

c Entrez un chiffre dans le champ Score.

Cette valeur indique la pondération de l'expression dans le calcul du seuil. Ce champ est obligatoire.

d Cliquez sur Ajouter.

6 Sous Expressions ignorées, procédez comme suit :

a Saisissez une expression dans la zone de texte.

Si des modèles textuels sont stockés dans un document externe, vous pouvez les copier-coller dans ladéfinition en utilisant Importer des entrées.

b Dans le champ Type, sélectionnez Expression régulière dans la liste déroulante si la chaîne est uneexpression régulière, ou Mot clé s'il s'agit de texte.

c Cliquez sur Ajouter.


Création d'une définition de liste d'URLLes définitions de liste d'URL permettent de définir des règles de protection web. Elles s'ajoutent aux règles entant que conditions Adresse web (URL).

Vous pouvez créer une définition de liste d'URL en important la liste au format CSV. Vous pouvez égalementimporter des éléments avec un script contenant des appels d'API REST. L'administrateur exécutant le script doitêtre un utilisateur valide de McAfee ePO ayant les autorisations d'exécuter les actions invoquées par les APIdans les Ensembles d'autorisations de McAfee ePO.

Meilleure pratique : les fichiers CSV de liste d’URL peuvent utiliser des colonnes multiples. Avant de créer unfichier pour importation, exportez une liste d’URL, afin de comprendre comment les colonnes sont renseignées.

ProcédurePour chaque URL requise, effectuez les étapes 1 à 4 :


2 Dans le volet gauche, sélectionnez la liste d'URL, puis sélectionnez Actions | Nouveau.

3 Indiquez un nom unique et éventuellement une définition.


• Entrez les informations de protocole, d'hôte, de port et de chemin d'accès dans les zones de textecorrespondantes, puis cliquez sur Ajouter.

• Collez une URL dans la zone de texte Coller l'URL, puis cliquez sur Effectuer une analyse syntaxique et surAjouter.

Les champs d'URL sont remplis par le logiciel.

5 Lorsque toutes les URL requises ont été ajoutées à la définition, cliquez sur Enregistrer.

Classification de contenu confidentielCréation de définitions de classification 5


Scénario d'utilisation : intégration du client Titus avec des marqueurstiers

Les critères de classification ou d'identification de contenu par empreinte peuvent inclure plusieurs pairesvaleur de marqueur/nom de marqueur.

Avant de commencer1 Dans le catalogue de stratégies, ouvrez la configuration de client Windows actuelle. Sélectionnez

Paramètres | Mode de fonctionnement et modules. Vérifiez que l'option Modules complémentairespour Outlook | Activer l'intégration du complément tierce partie est sélectionnée.

2 Dans Paramètres | Protection de la messagerie, dans la section Intégration du complément Outlook detierce partie, sélectionnez Titus dans la liste déroulante Nom du fournisseur.

Ces paramètres ne modifient l'utilisation des marqueurs tiers qu'avec les e-mails. Vous pouvezutiliser des marqueurs tiers avec des fichiers sans modifier les paramètres de configuration declient.

McAfee DLP appelle l’API tierce pour identifier les fichiers marqués et déterminer les marqueurs. Lesclassifications créées avec des marqueurs tiers peuvent être appliquées à toutes les règles de protection et dedécouverte qui inspectent les fichiers.

Pour mettre en œuvre cette fonctionnalité, le SDK tiers doit être installé sur les postes clients.

Procédure


2 Cliquez sur Nouvelle classification.


4 Cliquez sur Actions, puis sélectionnez Nouveaux critères de classification de contenu ou Nouveaux critèresd'empreintes de contenu.

5 Sélectionnez la propriété Marqueurs tiers.

6 Saisissez le nom du marqueur Titus et une valeur. Sélectionnez la définition de valeur dans la listedéroulante.

La chaîne de valeur saisie peut être définie comme :

• est égale à l'une des valeurs suivantes

• est égale à toutes les valeurs suivantes

• contient l'une des valeurs suivantes

• contient toutes les valeurs suivantes

7 (Facultatif) Cliquez sur + et ajoutez une autre paire nom/valeur.


5 Classification de contenu confidentielScénario d'utilisation : intégration du client Titus avec des marqueurs tiers


Scénario d'utilisation : intégration de Boldon James Email Classifier avecdes critères de classification

Créez des critères de classification pour intégrer Boldon James Email Classifier.

Boldon James Email Classifier est une solution de messagerie qui étiquette et classifie les e-mails. Le logicielMcAfee DLP Endpoint peut intégrer Email Classifier et bloquer des e-mails en fonction des classificationsaffectées. Vous pouvez choisir la chaîne envoyée par Email Classifier à McAfee DLP Endpoint lorsque vousconfigurez le logiciel Email Classifier. Utilisez cette chaîne pour définir les critères de classification.

Procédure

1 Configurez la compatibilité avec Boldon James dans McAfee DLP Endpoint :

a Grâce à la console Administration du classificateur Boldon James, ouvrez Paramètres de l'applicationClassifier | Paramètres Outlook. Définissez Analyse DLP McAfee Host sur Activée et définissez MarquageDLP McAfee Host pour vous référer à un format de marquage contenant la valeur de classification, ainsique le texte statique unique pour le marquage DLP. Une chaîne basée sur ce format de marquage serapassée à McAfee DLP Endpoint avec les critères de classification.

b Dans le catalogue de stratégies, ouvrez la configuration client actuelle. Sélectionnez Paramètres | Mode defonctionnement et modules. Vérifiez que l'option Modules complémentaires pour Outlook | Activer l'intégrationdu complément tierce partie est sélectionnée.

c Dans Paramètres | Protection de la messagerie, dans la section Intégration du complément Outlook detierce partie, sélectionnez Boldon James dans la liste déroulante Nom du fournisseur.

2 Créez une classification Boldon James.

Pour chaque classification requise, effectuez les opérations suivantes :

a Dans McAfee ePO, sélectionnez Menu | Protection des données | Classification.

b Cliquez sur l'onglet Classification, puis cliquez sur Nouvelle classification.

c Saisissez un nom unique et éventuellement une description.

d Cliquez sur Actions | Nouveaux critères de classification de contenu.

e Sélectionnez la propriété Mot clé. Dans le champ Valeur, saisissez la chaîne créée à partir du format demarquage que vous avez sélectionné dans la configuration Administration du classificateur à envoyer àMcAfee DLP Endpoint.

[Classification Boldon James] est la chaîne que vous avez sélectionnée dans la configurationEmail Classifier pour l'envoyer à McAfee DLP Endpoint.

3 Dans McAfee ePO, sélectionnez Menu | Protection des données | Jeu de règles DLP.

4 Sous l'onglet Jeux de règles, effectuez l'une des opérations suivantes.

• Sélectionnez Actions | Nouveau jeu de règles.

• Sélectionnez un jeu de règles existant.

5 Sélectionnez Actions | Nouvelle règle | Protection de la messagerie.

Un formulaire de définition Protection de la messagerie apparaît.


Classification de contenu confidentielScénario d'utilisation : intégration de Boldon James Email Classifier avec des critères de classification 5


7 Sous l'onglet Condition, sélectionnez Corps dans la liste déroulante, puis sélectionnez la classificationBoldon James appropriée. Sélectionnez les options Utilisateur final, Enveloppe d'e-mail et Destinatairesappropriées.

Le client McAfee DLP Endpoint considère la classification Boldon James comme faisant partie du corps del'e-mail. Le fait de limiter la définition à l'analyse du corps permet de rendre la règle plus efficace.

8 Sous l'onglet Réaction, sélectionnez les paramètres Mesure préventive, Notification utilisateur, Signaler l'incidentet Gravité appropriés. Définissez l'état sur Activé, puis cliquez sur Enregistrer.

5 Classification de contenu confidentielScénario d'utilisation : intégration de Boldon James Email Classifier avec des critères de classification


6 Protection de contenu confidentiel

McAfee DLP protège le contenu confidentiel grâce à une combinaison de stratégies McAfee DLP Endpoint,McAfee DLP Discover, McAfee DLP Monitor et McAfee DLP Prevent.

McAfee ePO déploie les stratégies McAfee DLP sur les postes clients, les serveurs McAfee DLP Discover et lesappliances McAfee DLP qui protègent le contenu confidentiel.

Sommaire Création de stratégies avec des jeux de règles Création de définitions de règle Définition de règles pour protéger le contenu confidentiel Listes blanches Personnalisation des messages aux utilisateurs finaux Création et configuration de règles et de jeux de règles Scénarios d'utilisation pour les règles

Création de stratégies avec des jeux de règlesLes jeux de règles définissent des stratégies McAfee DLP. Un jeu de règles peut contenir une combinaison derègles de protection des données, de contrôle des équipements, de découverte, et de contrôle d'application.Les définitions de règles s’appliquent à tous les jeux de règles.

La page Jeux de règles affiche la liste des jeux de règles définis et l'état de chacun d'entre eux. Les donnéesaffichées comprennent le nombre d'incidents journalisés pour chaque jeu de règles, le nombre de règles quiont été définies et le nombre de règles qui ont été activées. Des icônes de couleur indiquent les types de règlesactivés. Lorsque vous passez la souris sur les icônes, une info-bulle indiquant le type de la règle et le nombre derègles activées apparaît.

Création de définitions de règleLes définitions sont utilisées lors de la création de règles de protection des données, de contrôle deséquipements et de découverte.

Le Gestionnaire de stratégies DLP contient un grand nombre de définitions intégrées (prédéfinies). Vous pouvezles utiliser telles quelles, ou les dupliquer et les personnaliser à votre convenance.

6


Procédures• Création d'un intervalle de ports réseau, page 112

Les intervalles de ports réseau servent de critères de filtrage dans les règles de protection descommunications réseau.

• Création d'un intervalle d'adresses réseau, page 112Les intervalles d'adresses réseau servent de critères de filtrage dans les règles de protection descommunications réseau.

• Création d'une définition de liste d'adresses e-mail, page 113Les définitions de liste d'adresses e-mail sont des domaines de messagerie prédéfinis ou desadresses e-mail spécifiques qui peuvent être indiqués dans les règles de protection de lamessagerie.

• Création d'une définition d'imprimante réseau, page 114Les définitions d'imprimante réseau permettent d'affiner les règles de protection contrel'impression. Les imprimantes définies peuvent être incluses dans les règles ou en être exclues.

Création d'un intervalle de ports réseauLes intervalles de ports réseau servent de critères de filtrage dans les règles de protection des communicationsréseau.

Procédure


2 Dans le volet gauche, sélectionnez Port réseau, puis cliquez sur Actions | Nouveau.

Vous pouvez également modifier les définitions intégrées.


4 Entrez les numéros de port, en les séparant par des virgules, et ajoutez éventuellement une description,puis cliquez sur Add (Ajouter).

5 Lorsque vous avez ajouté tous les ports requis, cliquez sur Enregistrer.

Création d'un intervalle d'adresses réseauLes intervalles d'adresses réseau servent de critères de filtrage dans les règles de protection descommunications réseau.

ProcédurePour chaque définition requise, effectuez les étapes 1 à 4 :


2 Dans le volet gauche, sélectionnez Adresse réseau (adresse IP), puis cliquez sur Actions | Nouveau.

3 Entrez un nom unique pour la définition et éventuellement une description.

6 Protection de contenu confidentielCréation de définitions de règle


4 Entrez une adresse, un intervalle d'adresses ou un sous-réseau dans la zone de texte. Cliquez sur Add(Ajouter).

Des exemples correctement formatés apparaissent sur la page.

Seules les adresses IPv4 sont prises en charge. Si vous entrez une adresse IPv6, le message indiqueL'adresse IP n'est pas valide, sans préciser que ces adresses ne sont pas prises en charge.

5 Lorsque vous avez entré toutes les définitions requises, cliquez sur Enregistrer.

Création d'une définition de liste d'adresses e-mailLes définitions de liste d'adresses e-mail sont des domaines de messagerie prédéfinis ou des adresses e-mailspécifiques qui peuvent être indiqués dans les règles de protection de la messagerie.

Pour bénéficier d'une meilleure granularité dans les règles de protection de la messagerie, vous pouvez incluredes adresses e-mail et en exclure d'autres. Assurez-vous de créer les deux types de définitions.

Meilleure pratique : pour des combinaisons d'opérateurs que vous utilisez souvent, ajoutez plusieurs entrées àune même définition de liste d'adresses e-mail.

Vous pouvez importer des listes d'adresses e-mail au format CSV. Vous pouvez également importer deséléments avec un script contenant des appels d'API REST. L'administrateur exécutant le script doit être unutilisateur valide de McAfee ePO ayant les autorisations d'exécuter les actions invoquées par les API dans lesEnsembles d'autorisations de McAfee ePO.

Meilleure pratique : les fichiers CSV de liste d’adresses e-mail peuvent utiliser des colonnes multiples. Avant decréer un fichier pour importation, exportez une liste d’adresses, afin de comprendre comment les colonnes sontrenseignées.

Les définitions de valeur de messagerie prennent en charge les caractères génériques et permettent de définirdes conditions. *@intel.com est un exemple de condition définie avec un caractère générique. Le fait decombiner une condition de liste d'adresses et un groupe d'utilisateurs dans une règle en augmente lagranularité.

Procédure


2 Dans le volet gauche, sélectionnez Liste des adresses e-mail, puis Actions | Nouveau.


4 Dans la liste déroulante, sélectionnez un opérateur.

Lorsque vous définissez des opérateurs à l'aide de l'option Adresses e-mail, le champ Valeur prend en chargeles caractères génériques.

Les règles de protection de la messagerie mises en œuvre sur McAfee DLP Prevent ou sur McAfee DLPMonitor ne recherchent pas de correspondance avec les opérateurs Nom d'affichage.

5 Saisissez une valeur, puis cliquez sur Ajouter.

6 Cliquez sur Enregistrer lorsque vous avez terminé d'ajouter des adresses e-mail.

Protection de contenu confidentielCréation de définitions de règle 6


Création d'une définition d'imprimante réseauLes définitions d'imprimante réseau permettent d'affiner les règles de protection contre l'impression. Lesimprimantes définies peuvent être incluses dans les règles ou en être exclues.

Avant de commencerObtenez le chemin d'accès UNC de l'imprimante sur le réseau.

Procédure


2 Dans le volet gauche, sélectionnez Imprimante réseau, puis sélectionnez Actions | Nouveau.


4 Entrez le chemin d'accès UNC.

Tous les autres champs sont facultatifs.


Définition de règles pour protéger le contenu confidentielLes règles définissent les mesures prises lors d'une tentative de transfert ou de transmission de donnéesconfidentielles.

Les jeux de règles peuvent contenir quatre types de règles : protection des données, contrôle des équipements,découverte et contrôle d’application. Une règle comporte trois parties, Condition, Exceptions et Reaction(Réaction). Chaque partie est définie sur un onglet distinct dans la définition de la règle. Les règles peuvent êtreactivées ou désactivées, et se voient attribuer une Severity (gravité) sélectionnée dans une liste déroulante.

Condition

La condition définit ce qui déclenche la règle. Pour les règles de découverte et de protection des données, lacondition comprend toujours une classification et peut inclure d'autres conditions. Par exemple, une règle deprotection dans le cloud contient des champs pour définir l'utilisateur, le service de cloud et la classification.Pour les règles de contrôle des équipements, la condition spécifie toujours l'utilisateur et peut inclure d'autresconditions telles que le modèle de l'équipement. Les règles de contrôle des équipements ne comprennent pasde classification.

Exceptions

Les exceptions définissent les paramètres exclus de la règle. Par exemple, une règle de protection dans le cloudpeut autoriser des utilisateurs et classifications spécifiés à charger des données vers des services de cloudspécifiés, tout en bloquant les utilisateurs et classifications définis dans la section de condition de la règle. Lesexceptions ont un paramètre distinct pour les activer ou les désactiver, vous permettant ainsi d’activer ou dedésactiver l’exception lorsque vous testez des règles. La création d'une définition d'exception est facultative.

Les définitions d'exception pour les règles de découverte et de protection des données sont semblables auxdéfinitions de condition. Les paramètres disponibles pour l'exclusion sont un sous-ensemble des paramètres dedéfinition de la condition.

Pour les règles de contrôle des équipements, l'exception est définie en sélectionnant dans une liste desmodèles d'équipement inclus dans la liste blanche. Les modèles disponibles inclus dans la liste blanchedépendent du type de règle d'équipement.

6 Protection de contenu confidentielDéfinition de règles pour protéger le contenu confidentiel


RéactionLa réaction définit ce qui se passe lorsque la règle est déclenchée. Les actions disponibles dépendent du typede règle, mais la valeur par défaut pour toutes les règles est Aucune action. Lorsque cette option estsélectionnée avec l'option Signaler l'incident, vous pouvez surveiller la fréquence des violations des règles. Cetteprocédure est utile pour définir la règle au niveau correct et détecter les fuites de données sans créer de fauxpositifs.

La réaction définit aussi si la règle est appliquée à l'extérieur de l'entreprise et, pour certaines règles, lors de laconnexion à l'entreprise par VPN.

Définition de règles par réputationUtilisez un fichier Threat Intelligence Exchange et des réputations de sécurité de certificat pour définir desrègles.Vous pouvez définir certaines règles en utilisant des réputations provenant de Threat Intelligence Exchange.

Le logiciel McAfee®

Threat Intelligence Exchange (TIE) détermine et distribue les réputations de sécurité desfichiers et des certificats. McAfee DLP communique avec McAfee

®

Data Exchange Layer (DXL) dans TIE pourpartager des informations sur les niveaux de menace des fichiers et des certificats. Vous pouvez définir lechamp Applications, dans les règles de protection de l'accès aux fichiers d'application, selon la réputation TIE.

Pour utiliser la réputation TIE dans des règles, le client DXL doit être installé sur l'ordinateur client.

La réputation TIE est prise en charge sur McAfee DLP pour Windows, McAfee DLP Prevent et McAfee DLPMonitor.

Protection des données utiliséesLes règles de protection des données surveillent et contrôlent les contenus et l'activité des utilisateurs.Au moins une classification doit être indiquée pour les règles de protection des données. La classificationdéfinit si le contenu est sensible ou non et détermine ainsi les actions applicables au contenu. Les autresdéfinitions de la règle servent de filtres pour déterminer quels fichiers sont surveillés.

Les règles de protection des données ne sont pas prises en charge selon les différentes applications McAfeeDLP.

• McAfee DLP Endpoint pour Windows prend en charge toutes les règles de protection des données.

• McAfee DLP Endpoint for Mac prend en charge les règles de protection de l'accès aux fichiers par desapplications, des partages réseau et des équipements de stockage amovibles.

• McAfee DLP Prevent prend en charge les règles de protection de la messagerie et du web.

• McAfee DLP Monitor prend en charge les règles de protection de la messagerie, web et des communicationsréseau.

McAfee DLP Monitor est un équipement passif qui signale les incidents détectés mais ne bloque ni ne modifieles données.

Protection des données

Sommaire Protection du contenu par application Contrôle du copier-coller Protection des chargements sur le cloud Protection du contenu et des pièces jointes des e-mails Protection des e-mails sur les équipements mobiles Contrôle du trafic réseau

Protection de contenu confidentielDéfinition de règles pour protéger le contenu confidentiel 6


Protection des partages réseaux Protection de contenu confidentiel envoyé aux imprimantes Protection du contenu écrit sur des équipements amovibles Contrôle de captures d’écran Contrôle de contenu publié sur des sites web

Protection du contenu par applicationLes règles de protection de l'accès aux fichiers d'application surveillent des fichiers en fonction de l’applicationou des applications qui les ont créés. Elles sont prises en charge sur les ordinateurs Microsoft Windows et OS X.Sur McAfee DLP Endpoint for Mac, seuls les navigateurs et les applications pris en charge sur OS X sont pris encharge.Pour limiter la règle à des applications spécifiques, sélectionnez une définition d’applications ou d’URL. Vouspouvez également spécifier une réputation TIE.

Les définitions d’URL ne sont pas prises en charge sur McAfee DLP Endpoint for Mac.

Vous pouvez également bloquer les versions de Chrome non prises en charge. Lorsque vous sélectionnezl'option versions de Chrome non prises en charge, vous êtes invité à spécifier une URL. Seules les URL spécifiéespeuvent être bloquées lorsqu'une version de Chrome non prise en charge est utilisée.

Lorsque vous utilisez des règles de protection de l'accès aux fichiers d'application pour bloquer le chargement defichiers, Chrome ne peut pas détecter l’onglet actif. Au lieu de cela, la liste des URL de tous les onglets ouverts estidentifiée. Si des onglets autorisés et bloqués sont ouverts, le chargement de contenu confidentiel vers les URLautorisées est également bloqué. Il est recommandé de créer un message Notification de l’utilisateur pour alerterl’utilisateur qu’un ou plusieurs onglets sont ouverts sur des sites web qui sont bloqués.

Utilisez des définitions de classification pour limiter la règle à des critères d'empreintes ou de classification decontenu spécifiques. Vous pouvez également limiter la règle aux utilisateurs locaux ou à des groupesd'utilisateurs spécifiés.

Contrôle du copier-collerLes règles de protection du Presse-papiers gèrent le contenu copié avec le Presse-papiers Windows. Elles sontuniquement prises en charge sur McAfee DLP Endpoint pour Windows.Les règles de protection du Presse-papiers permettent de bloquer toute copie de contenu confidentiel d'uneapplication vers une autre. Vous pouvez y définir l'application d'origine et l'application de destination, ou écrireune règle générale portant sur n'importe quelle application source ou de destination. Les navigateurs pris encharge peuvent être spécifiés comme applications. La règle peut être filtrée à l'aide d'une définition d'utilisateurfinal afin qu'elle soit limitée à des utilisateurs spécifiques. Comme pour les autres règles de protection desdonnées, les exceptions sont définie sous l'onglet Exceptions.

Par défaut, les utilisateurs sont autorisés à copier du contenu confidentiel d'une application Microsoft Officevers une autre. Si vous souhaitez bloquer toute copie dans Microsoft Office, désactivez le Presse-papiersMicrosoft Office dans la configuration du client Windows.

Protection des chargements sur le cloudDe nouvelles règles de protection du cloud gèrent les fichiers chargés sur les applications du cloud. Elles sontprises en charge sur McAfee DLP Endpoint pour Windows et sur McAfee DLP Endpoint for Mac.Les applications du cloud sont de plus en plus utilisées pour sauvegarder et partager des fichiers. La plupartdes applications du cloud créent un dossier spécial sur le lecteur qui se synchronise avec le serveur du cloud.McAfee DLP Endpoint intercepte la création de fichiers dans le dossier d'application du cloud, analyse lesfichiers et applique les stratégies pertinentes. Si la stratégie permet de synchroniser le fichier au dossierd'application du cloud et que le fichier est modifié ultérieurement, il est analysé une nouvelle fois et la stratégieest réappliquée. Si le fichier modifié enfreint une stratégie, il ne peut pas être synchronisé avec le cloud.

La règle de protection du cloud de McAfee DLP Endpoint prend en charge les plates-formes suivantes :



• Box • OneDrive (personnel)

• Dropbox • OneDrive Entreprise (groove.exe)

• Google Drive • Syncplicity

• iCloud

iCloud et Syncplicity ne sont pas pris en charge sur McAfee DLP Endpoint for Mac.

Pour améliorer la vitesse d’analyse, vous pouvez spécifier les sous-dossiers de niveau supérieur inclus dans larègle ou exclus de celle-ci.

Protection du contenu et des pièces jointes des e-mailsLes règles de protection de la messagerie surveillent ou bloquent les e-mails envoyés à des adresses ou à desutilisateurs spécifiques. Elles sont prises en charge sur McAfee DLP Endpoint pour Windows, McAfee DLPMonitor et McAfee DLP Prevent.

Les règles de protection de la messagerie McAfee DLP Prevent peuvent bloquer les e-mails sur la base desparamètres suivants :

• Les définitions de classification limitent la règle à des critères d'identification par empreinte ou declassification de contenu spécifiques. Vous pouvez appliquer des classifications à l'e-mail entier, ouuniquement à l'objet, au corps, à l'en-tête ou aux pièces jointes des e-mails.

• Les définitions d'expéditeur limitent la règle à des groupes d'utilisateurs ou à des listes d'adresses e-mailspécifiques. Les informations sur les groupes d'utilisateurs peuvent être obtenues auprès de serveurs LDAPenregistrés. Vous pouvez également limiter la règle aux utilisateurs locaux ou non LDAP.

• Le champ Enveloppe d'e-mail peut spécifier que l'e-mail est protégé par des autorisations RMS, le chiffrementPGP, la signature numérique, ou le chiffrement S/MIME. Cette option est généralement utilisée pour définirdes exceptions.

• La liste des destinataires inclut des définitions de liste d'adresses e-mail. Dans ces définitions, le champd'opérateur peut utiliser des caractères génériques.

Messages ne pouvant être analysés.

Si McAfee DLP Prevent ne peut pas extraire le texte d’un message pour l’analyser, par exemple si le message estcorrompu, il prend les mesures suivantes :

• Rejette l'e-mail et revient au MTA.

• Le MTA continue à essayer de remettre le message à McAfee DLP Prevent.

• Lorsque McAfee DLP Prevent détecte qu'il ne peut pas analyser le message, il ajoute l'en-tête X-RCIS-Actionavec la valeur SCANFAIL au message.

• McAfee DLP Prevent envoie le message avec l'en-tête X-RCIS-Action modifié à l'un des hôtes de relaisconfigurés.

McAfee DLP Prevent n'apporte aucune autre modification au message.

Si le message contient une pièce jointe chiffrée, corrompue ou protégée par mot de passe, le message estanalysé pour y rechercher des déclencheurs de fuite de données, mais pas la pièce jointe. La valeur SCANFAILn'est pas ajoutée, car le contenu du message a été partiellement analysé.



Comportement de l'en-tête X-RCIS-Action McAfee DLP PreventPour McAfee DLP Prevent, la seule réaction disponible est d'ajouter l'en-tête X-RCIS-Action à un message avecl'une des valeurs suivantes.

Tableau 6-1 Valeurs de l'en-tête X-RCIS-Action

Priorité Valeur Description

1 SCANFAIL Des messages ne peuvent pas être analysés. La valeur d'en-tête SCANFAIL est généréeautomatiquement par l'appliance et ne peut pas être configurée comme une action dansune règle.

2 BLOCK Le message doit être bloqué.

3 QUART Le message doit être mis en quarantaine.

4 ENCRYPT Le message doit être chiffré.

5 BOUNCE Un message de non-remise (NDR) doit être remis à l'expéditeur.

6 REDIR Le message doit être redirigé.

7 NOTIFY Le personnel de surveillance doit être informé.

8 ALLOW Le message doit être autorisé à passer. La valeur ALLOW (Autoriser) est ajoutéeautomatiquement à tous les messages dans lesquels aucun contenu n'est détecté par larègle.

Lorsqu'il n'effectue pas d'opérations de surveillance, McAfee DLP Prevent remet toujours un e-mail à un hôteactif configuré. L'hôte actif applique l'action indiquée dans l'en-tête X-RCIS-Action.

Si le message déclenche plusieurs règles, la valeur de priorité la plus élevée est insérée dans l'en-têteX-RCIS-Action (où 1 est la priorité la plus élevée). Si aucune règle n'est déclenchée, la valeur ALLOW est insérée.

Si un message a déjà été analysé par une autre appliance qui a ajouté un en-tête X-RCIS-Action, McAfee DLPPrevent remplace l'en-tête existant par son propre en-tête.

Protection des e-mails sur les équipements mobilesLes règles de protection de la messagerie mobile appliquent des stratégies McAfee DLP aux e-mails envoyésvers des équipements mobiles.

Les règles sont définies avec des définitions de classification (obligatoire), d'utilisateur et d'équipement mobile.La règle est limitée à tout utilisateur. Vous pouvez éventuellement sélectionner N'importe quel équipement mobile,ou ajouter une définition d'équipements mobiles.

Les règles de protection de la messagerie mobile sont mises en œuvre sur le serveur McAfee DLP pour mobile,qui doit être configuré dans le Catalogue de stratégies comme proxy ActiveSync.

Contrôle du trafic réseauLes règles de protection des communications réseau surveillent ou bloquent les données entrantes ousortantes sur votre réseau. Elles sont prises en charge sur McAfee DLP Endpoint pour Windows et sur McAfeeDLP Monitor. McAfee DLP Monitor prend uniquement en charge la surveillance de fichiers et l’enregistrementde preuves. Il ne peut pas bloquer les données.

Les règles de protection des communications réseau contrôlent le trafic réseau en fonction des ports(facultatifs) et des adresses réseau (obligatoires) spécifiés. Vous pouvez également spécifier les connexionsentrantes ou sortantes, ou les deux. Vous pouvez ajouter une définition d'adresse réseau et une définition deport, mais les définitions peuvent contenir plusieurs adresses ou ports.



Utilisez des définitions de classification pour limiter la règle à des critères d'empreintes de contenu spécifiques.Vous pouvez également limiter la règle aux utilisateurs locaux ou à des groupes d'utilisateurs spécifiés, et enspécifiant l'application qui crée la connexion.

Les règles de protection des communications réseau sur McAfee DLP Endpoint pour Windows ne vérifient pas lescritères de classification de contenu. Utilisez les critères d'empreintes de contenu lorsque vous définissez desclassifications utilisées avec des règles de protection des communications réseau.

Protection des partages réseauxLes règles de protection du partage réseau contrôlent le contenu confidentiel stocké sur des partages réseau.Elles sont prises en charge sur les ordinateurs Microsoft Windows et OS X.

Les règles de protection du partage réseau peuvent s'appliquer à tous les partages réseau ou à des partagesspécifiés. Une définition du partage peut être incluse dans la règle, et la définition peut contenir plusieurspartages. Une classification incluse (obligatoire) définit le contenu confidentiel protégé.

Utilisez des définitions de classification pour limiter la règle à des critères d'empreintes ou de classification decontenu spécifiques. Vous pouvez également limiter la règle aux utilisateurs locaux ou à des groupesd'utilisateurs spécifiés, par partages réseau spécifiques ou par l'application qui copie le fichier.

Protection de contenu confidentiel envoyé aux imprimantesLes règles de protection contre l'impression surveillent les fichiers ou empêchent leur impression. Elles sontprises en charge sur McAfee DLP Endpoint pour Windows uniquement.

Utilisez des classifications pour limiter la règle. Vous pouvez également limiter la règle en spécifiant desutilisateurs, des imprimantes ou des applications qui impriment le fichier. La définition de l'imprimante peutspécifier des imprimantes locales, des imprimantes réseau, des imprimantes réseau nommées ou desimprimantes d'images.

Les imprimantes d'images, qui avaient une règle distincte dans les versions antérieures, sont maintenant inclusesdans la règle de l'imprimante générale.

Protection du contenu écrit sur des équipements amoviblesLes règles de protection des périphériques de stockage amovibles surveillent ou bloquent l'écriture de donnéessur ou depuis des équipements de stockage amovibles. Elles sont prises en charge sur McAfee DLP Endpointpour Windows et McAfee DLP Endpoint for Mac. Sur McAfee DLP Endpoint for Mac, les périphériques CD et DVDne sont pas pris en charge.

Les règles de protection des périphériques de stockage amovibles peuvent contrôler des CD et DVD, deséquipements de stockage amovibles ou les deux. Elles peuvent bloquer la copie vers ou à partir del’équipement, ou les deux. Limitez la règle avec des critères de classification et d'empreintes de contenu dansles classifications (obligatoire). Vous pouvez aussi définir la règle avec des utilisateurs, des applications ou desURL web spécifiés.

Les règles de protection des périphériques de stockage amovibles pour McAfee DLP Endpoint for Macpermettent uniquement de contrôler les équipements de stockage amovibles. Elles ne prennent pas en chargeles périphériques CD/DVD.

Utilisez des classifications pour limiter la règle. Vous pouvez aussi limiter la règle en spécifiant des utilisateursou des applications qui copient le fichier.



Contrôle de captures d’écranLes règles de protection contre la capture d'écran contrôlent les données copiées et collées depuis un écran.Elles sont prises en charge sur McAfee DLP Endpoint pour Windows uniquement.

Utilisez des définitions de classification pour limiter la règle à des critères d'empreintes de contenu spécifiques.Vous pouvez également limiter la règle aux utilisateurs locaux ou à des groupes d'utilisateurs spécifiés, ou parles applications visibles à l'écran.

Les règles de protection contre les captures d'écran ne vérifient pas les critères de classification de contenu.Utilisez des critères d'empreintes de contenu lorsque vous définissez des classifications utilisées avec des règlesde capture d'écran.

Contrôle de contenu publié sur des sites webLes règles de protection web surveillent ou bloquent la publication des données sur des sites web, y compris lessites de messagerie. Elles sont prises en charge sur McAfee DLP Endpoint pour Windows et sur McAfee DLPPrevent. McAfee DLP Monitor prend également en charge des règles de protection web, mais il ne peut pasbloquer des données.

Les règles de protection web sont définies par quatre conditions :

• Classification

• Utilisateur final

• Adresse web (URL)

• Type de chargement

Définissez la règle en ajoutant des définitions de URL List (Liste d'URL) à la condition adresse web. Vous pouvezutiliser des définitions de Liste d'URL intégrées telles quelles ou en les modifiant selon vos besoins.

Utilisez le type de chargement Est un chargement de fichier pour restreindre la règle à des fichiers uniquement.Cette option autorise les autres types de données, tels que les messageries ou les formulaires web, d'êtrechargés sans aucune inspection.

Règles de contrôle des équipementsLes règles de contrôle des équipements définissent les mesures prises lorsque des équipements particulierssont utilisés.

Les règles de contrôle des équipements peuvent surveiller ou bloquer des équipements connectés à desordinateurs managés par l'entreprise. McAfee DLP Endpoint pour Windows prend en charge les types de règlessuivants :

• Règle d'équipement Citrix XenApp • Règle pour équipements de stockage amovibles

• Règle du disque dur fixe • Règle d'accès aux fichiers de stockage amovibles

• Règle d'équipement Plug-and-Play • Règle d'équipement TrueCrypt

McAfee DLP Endpoint for Mac prend en charge les types de règles suivants :

• Règle d'équipement Plug-and-Play (équipements USB uniquement)

• Règle d'accès aux fichiers de stockage amovibles

Les règles de contrôle des équipements sont décrites en détail dans la section Protection des supports amovibles.



Règles de découverte dans McAfee DLP Endpoint et dans McAfee DLPDiscoverMcAfee DLP Endpoint et McAfee DLP Discover utilisent des règles de découverte pour analyser les fichiers et lesrépertoires.

Tableau 6-2 Descriptions des vecteurs de données

Produit Règle de découverte

McAfee DLP Endpoint E-mail local (OST, PST)

Système de fichiers local

McAfee DLP Discover Protection Box

Protection de la base de données

Protection des serveurs de fichiers (CIFS)

Protection de SharePoint

Règles de contrôle d'applicationLes règles de contrôle d’application surveillent ou bloquent l'accès des utilisateurs aux sites web. Elles sontmises en œuvre sur McAfee DLP Endpoint pour Windows.

Les règles de contrôle d’application web sont similaires aux règles de protection web, mais elles n’analysent pasles données et elles n’incluent pas de classification. Au lieu de bloquer le contenu chargé sur les sites webspécifiés, elles bloquent toutes les demandes GET aux applications web spécifiées. La règle vérifie la barred’adresse du navigateur, les informations contenues en fin d’URL et l’en-tête du référant HTTP. Si l’un de ceséléments correspond à la définition de l’URL spécifiée dans la condition de la règle, la règle se déclenche.

Listes blanchesLes listes blanches sont des collections d'éléments que le système doit ignorer.

Vous pouvez inclure dans la liste blanche du contenu, des équipements, des processus et des groupesd'utilisateurs.

Listes blanches dans les règles de protection des données

Vous pouvez spécifier les processus inclus dans la liste blanche pour les règles de protection contre l'impressionet du Presse-papiers dans la configuration du client Windows Catalogue de stratégies sur les pages respectives.Vous pouvez spécifier les URL incluses dans la liste blanche sur la page Protection web. Etant donné que ceslistes blanches sont appliquées au niveau du client, elles fonctionnent avec toutes les règles de protection web,de protection du Presse-papiers et de protection contre l'impression. Les règles de protection du Presse-papierset de protection contre l'impression ignorent le contenu produit par les processus inclus dans la liste blanche.Les règles de protection web ne sont pas appliquées sur les URL incluses dans la liste blanche.

Vous pouvez spécifier les processus inclus dans la liste blanche pour l'extraction de texte sur la page Suivi ducontenu. Selon la définition, l'extracteur de texte n'analyse pas les fichiers ou les empreintes de contenu ouvertspar l'application spécifiée, ou ne crée pas d'empreintes dynamiques pour le téléchargement web. La définitionpeut indiquer des dossiers et des extensions spécifiques, ce qui permet un contrôle granulaire des élémentsinclus dans la liste blanche. Si aucun dossier n'est nommé, le processus n'est pas surveillé par les règles d'accèsaux fichiers de l'application.

Listes blanches dans les règles d'équipement

Vous pouvez créer des éléments Plug-and-Play inclus dans la liste blanche sur la page Définitions | Contrôle deséquipements | Modèles d'équipement dans le Gestionnaire de stratégies DLP.

Protection de contenu confidentielListes blanches 6


Certains équipements Plug-and-Play ne gèrent pas correctement les équipements. Si vous tentez de les gérer, lesystème risque de ne plus répondre ou d'autres problèmes peuvent survenir. Les équipements Plug-and-Playinclus dans la liste blanche sont automatiquement exclus lorsqu'une stratégie est appliquée.

Les définitions Plug-and-Play incluses dans la liste blanche ne sont pas applicables sur les systèmes d'exploitationOS X.

L'onglet Exceptions dans les règles de contrôle des équipements est défini par listes blanches spécifiques à larègle qui les contient. Les listes blanches excluent les définitions spécifiées de la règle.

• Utilisateurs exclus : utilisée dans toutes les règles d'équipement

• Définitions d'équipements exclus : utilisée dans toutes les règles d'équipement, sauf Citrix et TrueCrypt

• Processus exclus : utilisée dans les règles Plug-and-Play et de stockage amovible

• Paires Numéro de série-Utilisateur exclues : utilisée dans les règles Plug-and-Play et de stockage amovible

• Noms de fichier exclus : utilisée dans les règles d'accès aux fichiers de stockage amovible pour exempter desfichiers tels que les applications antivirus

Personnalisation des messages aux utilisateurs finauxMcAfee DLP Endpoint envoie deux types de messages pour communiquer avec les utilisateurs finaux : lesnotifications et les messages de justification de l'utilisateur. McAfee DLP Prevent envoie des notifications pourindiquer à un utilisateur qu'il a bloqué une demande web.Les notifications prennent en charge les messages contenant du texte riche (HTML). Les définitions dejustification et de notification permettent de spécifier des paramètres régionaux (langues) et d'ajouter desespaces réservés qui seront remplacés par leur valeur réelle. Lorsque des paramètres régionaux sont définis,les messages et les boutons d'option (pour les justifications métier) apparaissent dans la langue par défaut del'ordinateur client. Les paramètres régionaux suivants sont pris en charge :

• Anglais (US) • Japonais

• Anglais (UK) • Coréen

• Français • Russe

• Allemand • Chinois (simplifié)

• Espagnol • Chinois (traditionnel)

Anglais (US) est le paramètre régional standard par défaut, mais n'importe quel paramètre régional pris encharge peut être défini comme la valeur par défaut dans la définition. Le paramètre régional par défaut estutilisé lorsque d'autres paramètres régionaux définis ne sont pas disponibles comme langue par défaut del'ordinateur client. McAfee DLP Prevent tente de détecter la langue préférée de l'utilisateur à partir des en-têtesde demande.

McAfee DLP Prevent ne prend pas totalement en charge les paramètres régionaux pour le coréen, le russe ou lechinois simplifié.

Notification utilisateurLes notifications utilisateur McAfee DLP Endpoint sont des messages pop-up qui informent l'utilisateur d'uneviolation de stratégie.

Lorsque plusieurs événements sont déclenchés par une règle, le message pop-up indique De nouveauxévénements DLP se trouvent dans la console DLP au lieu d'afficher plusieurs messages.

6 Protection de contenu confidentielPersonnalisation des messages aux utilisateurs finaux


Vous pouvez inclure du texte riche dans la fenêtre pop-up en incorporant des balises HTML dans un élément<DIV>.

Lorsque McAfee DLP Prevent bloque une demande web, il envoie la notification sous la forme d'un documentHTML qui apparaît dans le navigateur de l'utilisateur. Le texte de notification que vous configurez peut contenirdes balises HTML intégrées, telles que <p>, <ul> ou <li>. L'alerte que l'utilisateur voit indique également Accèsrefusé.

Justification métier

Une justification métier est une forme de contournement de stratégie. Lorsque l'option Demander unejustification est définie comme action d'une règle, l'utilisateur peut entrer la justification pour continuer sansêtre bloqué.

Les messages de justification métier ne sont pas disponibles pour McAfee DLP Prevent.

Espaces réservés

Les espaces réservés permettent d'intégrer un texte variable dans des messages, en fonction de l'événementayant déclenché l'envoi du message à l'utilisateur final. Les espaces réservés disponibles sont les suivants :

• %c pour les classifications

• %r pour le nom du jeu de règles

• %v pour le vecteur (par exemple, Email Protection, Web Protection, DLP Prevent)

• %a pour l'action (par exemple, Bloquer)

• %s pour la valeur de contexte (par exemple, le nom du fichier, le nom de l'équipement, l'objet de l'e-mail,l'URI)

Protection de contenu confidentielPersonnalisation des messages aux utilisateurs finaux 6


Création et configuration de règles et de jeux de règlesCréez et configurez des règles pour vos stratégies McAfee DLP Endpoint, Device Control, McAfee DLP Discover,McAfee DLP Prevent et McAfee DLP Prevent for Mobile Email.

Procédures

• Création d'un jeu de règles, page 124Les jeux de règles combinent la protection multi-équipements, la protection des données et lesrègles d'analyse de découverte.

• Création d'une règle, page 124Le processus de création d'une règle est identique pour tous les types de règles.

• Affectation de jeux de règles à des stratégies, page 125Avant d'être affectés à des ordinateurs clients, les jeux de règles sont affectés à des stratégies et lesstratégies sont appliquées à la base de données McAfee ePO.

• Activation, désactivation ou suppression de règles, page 126Vous pouvez supprimer ou modifier l'état de plusieurs règles simultanément.

• Sauvegarde et restauration d'une stratégie, page 126Vous pouvez sauvegarder une stratégie, avec ses règles et ses classifications à partir d'un serveurMcAfee ePO et les restaurer sur un autre serveur McAfee ePO.

• Configuration de colonnes de règles ou de jeux de règles, page 126Vous pouvez déplacer, ajouter ou supprimer des colonnes de règles ou de jeux de règles.

• Création d'une définition de justification, page 127Pour McAfee DLP Endpoint, les définitions de justification métier définissent les paramètres desactions préventives relatives aux justifications dans les règles.

• Création d'une définition de notification, page 128Avec McAfee DLP Endpoint, les notifications utilisateur s'affichent dans des fenêtres pop-up ou surla console des utilisateurs finaux lorsque leurs actions enfreignent des stratégies.

Création d'un jeu de règlesLes jeux de règles combinent la protection multi-équipements, la protection des données et les règles d'analysede découverte.

Procédure


2 Cliquez sur l'onglet Jeux de règles.

3 Sélectionnez Actions | Nouveau jeu de règles

4 Entrez le nom et éventuellement une remarque, puis cliquez sur OK.

Création d'une règleLe processus de création d'une règle est identique pour tous les types de règles.

Procédure



6 Protection de contenu confidentielCréation et configuration de règles et de jeux de règles


3 Cliquez sur le nom d'un jeu de règles et si nécessaire, sélectionnez l'onglet approprié pour la règle deprotection des données, de contrôle des équipements ou de découverte.

4 Sélectionnez Actions | Nouvelle règle, puis sélectionnez le type de règle.

5 Dans l'onglet Condition, saisissez les informations.

• Pour certaines conditions, telles que les classifications ou les éléments de modèle d'équipement, cliquezsur ... pour sélectionner un élément existant ou en créer un nouveau.

• Pour ajouter des critères, cliquez sur +.

• Pour supprimer des critères, cliquez sur –.

6 (Facultatif) Pour ajouter des exceptions à la règle, cliquez sur l’onglet Exceptions.

a Sélectionnez Actions | Ajouter une exception à la règle.

Les règles d'équipement n'affichent pas de bouton Actions. Pour ajouter des exceptions aux règlesd'équipement, sélectionnez une entrée dans la liste affichée.

b Renseignez les champs si nécessaire.

7 Sous l'onglet Réaction, configurez les options Action, Notification utilisateur et Signaler l'incident.

Les règles peuvent avoir différentes actions, selon que l'ordinateur client se trouve dans le réseau del'entreprise. Certaines règles peuvent également avoir une action différente lorsque l'ordinateur estconnecté au réseau de l'entreprise par VPN.


Affectation de jeux de règles à des stratégiesAvant d'être affectés à des ordinateurs clients, les jeux de règles sont affectés à des stratégies et les stratégiessont appliquées à la base de données McAfee ePO.

Avant de commencerSur la page Gestionnaire de stratégies DLP | Jeux de règles, créez un ou plusieurs jeux de règles etajoutez-leur les règles requises.

Procédure

1 Sur la page Gestionnaire de stratégies DLP | Affectation de stratégie, effectuez l'une des actions suivantes :

• Sélectionnez Actions | Affecter un jeu de règles à des stratégies. Dans la fenêtre d'affectation, sélectionnezun jeu de règles dans la liste déroulante et sélectionnez les stratégies à lui affecter. Cliquez sur OK.

• Sélectionnez Actions | Affecter des jeux de règles à une stratégie. Dans la fenêtre d'affectation, sélectionnezune stratégie dans la liste déroulante, puis choisissez les jeux de règles à lui affecter. Cliquez sur OK.

Si vous désélectionnez un jeu de règles ou une stratégie précédemment sélectionné, le jeu de règles estsupprimé de la stratégie.

2 Sélectionnez Actions | Appliquer les stratégies sélectionnées. Dans la fenêtre d'affectation, sélectionnez lesstratégies à appliquer à la base de données McAfee ePO. Cliquez sur OK.

Seules les stratégies n'ayant pas encore été appliquées à la base de données apparaissent dans la fenêtrede sélection. Si vous modifiez une affectation de jeu de règles ou une règle dans un jeu de règles affecté, lastratégie apparaît et la stratégie révisée est appliquée à la place de la stratégie précédente.

Protection de contenu confidentielCréation et configuration de règles et de jeux de règles 6


Activation, désactivation ou suppression de règlesVous pouvez supprimer ou modifier l'état de plusieurs règles simultanément.

Procédure



3 Cliquez sur le nom d'un jeu de règles et si nécessaire, cliquez sur l'onglet approprié pour la règle deprotection des données, de contrôle des équipements ou de découverte.

4 Sélectionnez une ou plusieurs règles.

5 Mettez à jour ou supprimez les règles sélectionnées.

• Pour activer les règles, sélectionnez Actions | Changer l'état | Activer.

• Pour désactiver les règles, sélectionnez Actions | Changer l'état | Désactiver.

• Pour supprimer les règles, sélectionnez Actions | Supprimer la règle de protection.

Sauvegarde et restauration d'une stratégieVous pouvez sauvegarder une stratégie, avec ses règles et ses classifications à partir d'un serveur McAfee ePOet les restaurer sur un autre serveur McAfee ePO.Tenez compte des points suivants lorsque vous effectuez une restauration à partir d'un fichier :

• Veillez à ce qu'une clé de licence soit ajoutée avant de restaurer le fichier. Si vous restaurez le fichier sanslicence, toutes les règles sont désactivées et vous devez les activer avant d'appliquer la stratégie.

• Pour McAfee DLP Discover, vous devez réaffecter les serveurs Discover aux analyses avant d'appliquer lastratégie.

Procédure1 Dans McAfee ePO, sélectionnez Protection des données | Paramètres DLP | Sauvegarde et restauration.

2 Cliquez sur Sauvegarde sur fichier et enregistrez le fichier dans un emplacement comme une clé USB ou undossier partagé.

3 Sur un autre serveur McAfee ePO, sélectionnez Protection des données | Paramètres DLP | Sauvegarde etrestauration.

4 Cliquez sur Restaurer depuis le fichier et sélectionnez le fichier enregistré précédemment.

Configuration de colonnes de règles ou de jeux de règlesVous pouvez déplacer, ajouter ou supprimer des colonnes de règles ou de jeux de règles.

Procédure





3 Accédez à la page Sélectionner les colonnes à afficher.

• Jeux de règles : sélectionnez Actions | Choisir les colonnes.

• Règles : sélectionnez un jeu de règles, puis sélectionnez Actions | Choisir les colonnes.

4 Modifiez les colonnes.

• Dans le volet Colonnes disponibles, cliquez sur les articles pour ajouter des colonnes.

• Dans le volet Colonnes sélectionnées, cliquez sur les flèches ou sur x pour déplacer ou supprimer descolonnes.

• Cliquez sur Utiliser les valeurs par défaut pour restaurer la configuration par défaut des colonnes.


Création d'une définition de justificationPour McAfee DLP Endpoint, les définitions de justification métier définissent les paramètres des actionspréventives relatives aux justifications dans les règles.

Procédure


2 Cliquez sur l'onglet Définitions, puis sélectionnez Notification | Justification.



5 Pour créer des définitions de justification dans plusieurs langues, sélectionnez Actions des paramètresrégionaux | Nouveaux paramètres régionaux. Pour chaque langue requise, sélectionnez un environnementlocal dans la liste déroulante.

Les paramètres régionaux sélectionnés sont ajoutés à la liste.

6 Pour chaque langue, procédez comme suit :

a Dans le volet gauche, sélectionnez les paramètres régionaux à modifier. Saisissez du texte dans les zonesde texte et cochez les cases selon vos besoins.

L'option Afficher les chaînes correspondantes fournit un lien dans la fenêtre pop-up afin d'afficher lecontenu avec le surlignage de correspondances. L'option Plus d'infos fournit un lien vers un document ouune page intranet contenant des informations complémentaires.

Lorsque vous entrez une définition de paramètres régionaux, les cases à cocher et les actions ne sont pasdisponibles. Vous pouvez uniquement définir les intitulés des boutons, une présentation et un titre. Dansla section Options de justification, vous pouvez remplacer les définitions par défaut par la versioncorrespondant aux paramètres régionaux en utilisant la fonctionnalité Modifier dans la colonne Actions.

b Entrez une présentation de la justification et éventuellement le titre de la boîte de dialogue.

La présentation est une instruction générale pour l'utilisateur, par exemple : Cette action nécessite unejustification métier. Le nombre maximal de caractères autorisé est de 500.

Protection de contenu confidentielCréation et configuration de règles et de jeux de règles 6


c Saisissez du texte pour les intitulés de bouton et sélectionnez les actions associées. Cochez la caseMasquer le bouton pour créer une définition à deux boutons.

Les actions des boutons doivent correspondre aux actions préventives disponibles pour le type de règlequi utilise la définition. Par exemple, les règles de protection du partage réseau ne disposent que desmesures préventives Aucune action, Chiffrer ou Demander une justification. Si vous attribuez l'actionBloquer à l'un des boutons et que vous essayez d'utiliser la définition avec une règle de protection dupartage réseau, un message d'erreur apparaît.

d Saisissez du texte dans la zone de texte et cliquez sur Ajouter pour l'ajouter à la liste des options dejustification. Cochez la case Afficher les options de justification pour permettre à l'utilisateur final deconsulter la liste.

Vous pouvez utiliser des espaces réservés pour personnaliser le texte, en indiquant ce qui a déclenchél'ouverture de la fenêtre pop-up.

7 Lorsque tous les paramètres régionaux sont définis, cliquez sur Enregistrer.

Création d'une définition de notificationAvec McAfee DLP Endpoint, les notifications utilisateur s'affichent dans des fenêtres pop-up ou sur la consoledes utilisateurs finaux lorsque leurs actions enfreignent des stratégies.

Procédure


2 Cliquez sur l'onglet Définitions, puis sélectionnez Notification | Notification utilisateur.


4 Indiquez un nom unique et éventuellement une description. Sélectionnez la taille et la position de la boîtede dialogue.

5 Pour créer des définitions de notification utilisateur dans plusieurs langues, sélectionnez Actions desparamètres régionaux | Nouveaux paramètres régionaux. Sélectionnez tous les paramètres régionaux requisdans la liste déroulante.

Les paramètres régionaux sélectionnés sont ajoutés à la liste.

6 Pour chaque langue, procédez comme suit :

a Dans le volet gauche, sélectionnez les paramètres régionaux à modifier.

Vous pouvez définir n'importe quel paramètre régional comme valeur par défaut en cochant la caseParamètres régionaux par défaut.

b Saisissez un message dans la zone de texte.

Vous pouvez utiliser des espaces réservés pour personnaliser le texte, en indiquant ce qui a déclenchél'ouverture de la fenêtre pop-up. Les espaces réservés disponibles sont répertoriés à droite de la zone detexte.

Pour utiliser le texte riche, placez le texte à l’intérieur d’un élément <DIV> HTML. Ajoutez des balisesd’éléments HTML selon vos besoins.

L’entrée de texte <div><b>Du contenu confidentiel a été trouvé dans le fichier%s</b></div> produit la sortie Du contenu confidentiel a été trouvé dans le fichier %s, où %s est lenom d’affichage court.



c (Facultatif) Cochez la case Afficher le lien pour plus d'informations et entrez une URL pour fournir desinformations plus détaillées.

Ces informations sont disponibles uniquement avec les paramètres régionaux par défaut.

7 Lorsque tous les paramètres régionaux sont définis, cliquez sur Enregistrer.

Scénarios d'utilisation pour les règlesLes scénarios d'utilisation suivants fournissent des exemples d'utilisation des règles de protection des donnéeset des équipements.

Procédures

• Scénario d'utilisation : règle d'accès aux fichiers de stockage amovible avec processus inclus dans la listeblanche, page 129Vous pouvez inclure des noms de fichiers dans la liste blanche comme une exception à une règle deblocage de stockage amovible.

• Scénario d'utilisation : configurer un équipement amovible en lecture seule, page 130Les règles de protection des équipements de stockage amovibles, à la différence des règlesd'équipement Plug-and-Play, ont une option de lecture seule.

• Cas d'utilisation : bloquer et recharger un iPhone avec une règle d'équipement Plug-and-Play, page 131Il est possible de bloquer l'utilisation des iPhones d'Apple en tant qu'équipements de stockage touten permettant leur chargement à partir de l'ordinateur.

• Cas d'utilisation : empêcher de graver des informations confidentielles sur le disque, page 131Les règles de protection de l'accès aux fichiers d'application peuvent être utilisées pour bloquerl'utilisation de graveurs de CD et de DVD pour la copie d'informations confidentielles.

• Scénario d'utilisation - Bloquer les messages sortants qui comportent du contenu confidentiel, sauf s'ilssont envoyés à un domaine spécifié, page 133Les messages sortants sont bloqués s'ils contiennent le mot Confidentiel, sauf si le destinataire estexempté de la règle.

• Scénario d'utilisation - Autoriser un groupe d'utilisateurs donné à envoyer des informations bancaires,page 134Autorisez les membres du groupe d'utilisateurs des ressources humaines à envoyer des messagesqui contiennent des informations bancaires en obtenant des informations à partir d'ActiveDirectory.

• Scénario d'utilisation : classification des pièces jointes dans la catégorie PARTAGE-REQUIS en fonction deleur destination, page 136Créez des classifications qui autorisent l'envoi des pièces jointes PARTAGE-REQUIS aux employéssitués aux Etats-Unis, en Allemagne et en Israël.

Scénario d'utilisation : règle d'accès aux fichiers de stockage amovibleavec processus inclus dans la liste blancheVous pouvez inclure des noms de fichiers dans la liste blanche comme une exception à une règle de blocage destockage amovible.

Les règles d'accès aux fichiers de stockage amovible sont utilisées pour empêcher les applications d'agir surl'équipement amovible. Les noms de fichiers inclus dans la liste blanche sont définis comme des processus quine sont pas bloqués. Dans cet exemple, nous bloquons des équipements de stockage amovibles Sandisk, maisnous autorisons un logiciel antivirus à analyser l'équipement pour supprimer les fichiers infectés.

Cette fonctionnalité est uniquement prise en charge pour les ordinateurs Windows.

Protection de contenu confidentielScénarios d'utilisation pour les règles 6


Procédure


2 Sous l'onglet Définitions, localisez le modèle d'équipement intégré Tous les équipements de stockage amoviblesSandisk (Windows) et cliquez sur Dupliquer.

Le modèle utilise l'ID de fournisseur Sandisk 0781.

Meilleure pratique : pour personnaliser un modèle, dupliquez les modèles intégrés. Par exemple, vouspouvez ajouter d'autres ID de fournisseur au modèle Sandisk dupliqué pour ajouter d'autres marquesd'équipements amovibles.

3 Sous l'onglet Jeux de règles, sélectionnez ou créez un jeu de règles.

4 Sous l'onglet Contrôle des équipements du jeu de règles, sélectionnez Actions | Nouvelle règle | Règle d'accès auxfichiers de stockage amovibles.

5 Saisissez un nom pour la règle et sélectionnez Etat | Activé.

6 Sous l'onglet Conditions, sélectionnez un Utilisateur final ou laissez la valeur par défaut (Est n'importe quelutilisateur). Dans le champ Stockage amovible, sélectionnez le modèle d'équipement créé à l'étape 2.Conservez les paramètres par défaut pour True file type et Extension de fichier.

7 Sous l'onglet Exceptions, sélectionnez Noms de fichiers exclus.

8 Dans le champ Nom du fichier, ajoutez la définition McAfee AV intégrée.

Comme pour le modèle d'équipement de stockage amovible, vous pouvez dupliquer ce modèle et lepersonnaliser.

9 Sous l'onglet Réaction, sélectionnez Action | Bloquer. Vous pouvez éventuellement ajouter une notificationpour l'utilisateur. Pour cela, sélectionnez l'option Signaler l'incident, ou sélectionnez une action différente unefois déconnecté du réseau de l'entreprise.

10 Cliquez sur Enregistrer, puis sur Fermer.

Scénario d'utilisation : configurer un équipement amovible en lectureseuleLes règles de protection des équipements de stockage amovibles, à la différence des règles d'équipementPlug-and-Play, ont une option de lecture seule.

En configurant des équipements amovibles en lecture seule, vous pouvez autoriser des utilisateurs à utiliserleurs appareils personnels en tant que lecteurs MP3, tout en empêchant leur utilisation en tant qu'équipementsde stockage.

Procédure


2 Sous l'onglet Définitions, à la page Modèles d'équipement, créez un modèle d'équipement de stockageamovible.

Les modèles d'équipement de stockage amovible doivent être classés en tant que modèles Windows ou Mac.Commencez par dupliquer l'un des modèles intégrés pour Windows ou Mac et personnalisez-le. Le Type debus peut inclure USB, Bluetooth et tout autre type de bus que vous pensez utiliser. Identifiez les équipementsdes ID de fournisseur ou des noms d'équipement.

6 Protection de contenu confidentielScénarios d'utilisation pour les règles


3 Sous l'onglet Jeux de règles, sélectionnez ou créez un jeu de règles.

4 Sous l'onglet Contrôle des équipements, sélectionnez Actions | Nouvelle règle | Règle pour équipements destockage amovibles.

5 Saisissez un nom pour la règle et sélectionnez Etat | Activé. Dans la section Conditions, dans le champStockage amovible, sélectionnez le modèle d'équipements créé à l'étape 2.

6 Sous l'onglet Réaction, sélectionnez Action | Lecture seule. Vous pouvez éventuellement ajouter unenotification pour l'utilisateur. Pour cela, sélectionnez l'option Signaler l'incident, ou sélectionnez une actiondifférente une fois l'utilisateur déconnecté du réseau de l'entreprise.


Cas d'utilisation : bloquer et recharger un iPhone avec une règled'équipement Plug-and-PlayIl est possible de bloquer l'utilisation des iPhones d'Apple en tant qu'équipements de stockage tout enpermettant leur chargement à partir de l'ordinateur.

Ce cas d'utilisation crée une règle qui bloque un utilisateur en l'empêchant d'utiliser l'iPhone commeéquipement de stockage de masse. Une règle de protection des équipements Plug-and-Play est utilisée car ellepermet de recharger les iPhones, indépendamment de la façon dont la règle est spécifiée. Cette fonctionnalitén'est pas prise en charge pour d'autres smartphones ou d'autres équipements mobiles d'Apple. Elle n'empêchepas un iPhone d'être rechargé depuis l'ordinateur.

Pour définir une règle d'équipement Plug-and-Play pour des équipements spécifiques, vous créez une définitiond'équipement avec les codes d'identification du fournisseur et du produit (VID/PID). Vous pouvez trouver cesinformations dans le gestionnaire de périphériques de Windows lorsque l'équipement est branché. Comme cetexemple ne nécessite qu'un VID, vous pouvez utiliser la définition d'équipement intégrée dans Tous leséquipements Apple au lieu de rechercher les informations.

Procédure


2 Sous l'onglet Jeux de règles, sélectionnez un jeu de règles (ou créez-en un). Cliquez sur l'onglet Contrôle deséquipements et créez une règle d'équipement Plug-and-Play. Utilisez la définition d'équipement intégrée Tousles équipements Apple comme définition incluse (fait partie de (OU)).

3 Sous l'onglet Réaction, définissez la valeur Action sur Bloquer.


Cas d'utilisation : empêcher de graver des informations confidentiellessur le disqueLes règles de protection de l'accès aux fichiers d'application peuvent être utilisées pour bloquer l'utilisation degraveurs de CD et de DVD pour la copie d'informations confidentielles.

Avant de commencerCréez une classification pour identifier le contenu confidentiel. Utilisez des paramètres pertinentspour votre environnement : mots clés, modèles de texte, information sur le fichier, et ainsi de suite.



Procédure


2 Sous l'onglet Jeux de règles, sélectionnez un jeu de règle actuel ou sélectionnez Actions | Nouveau jeu de règleset définissez un jeu de règles.

3 Sous l'onglet Protection des données, sélectionnez Actions | Nouvelle règle | Protection de l'accès aux fichiersd'application.

4 (Facultatif) Entrez un nom dans le champ Nom de la règle (obligatoire). Sélectionnez les options pour leschamps Etat et Gravité.

5 Sous l'onglet Condition, dans le champ Classification, sélectionnez la classification que vous avez créée pourvotre contenu confidentiel.

6 Dans le champ Utilisateur final, sélectionnez les groupes d'utilisateurs (facultatif).

L'ajout d'utilisateurs ou de groupes à la règle limite la règle à des utilisateurs spécifiques.

7 Dans le champ Applications, sélectionnez Media Burner Application [intégré] dans la liste des définitionsd'applications disponibles.

Vous pouvez créer votre propre définition de graveur multimédia en modifiant la définition intégrée. Lamodification d'une définition intégrée crée automatiquement une copie de la définition originale.

8 (Facultatif) Sous l'onglet Exceptions, créez des exceptions à la règle.

Les définitions d'exceptions peuvent inclure n'importe quel champ qui se trouve dans une définition decondition. Vous pouvez définir plusieurs exceptions à utiliser dans différentes situations. Par exemple, vouspouvez définir des « utilisateurs privilégiés » auxquels la règle ne s'appliquera pas.

9 Sous l'onglet Réaction, définissez la valeur Action sur Bloquer. Sélectionnez une notification utilisateur(facultatif). Cliquez sur Enregistrer, puis sur Fermer.

D'autres options permettent de modifier l'action de génération de rapport sur les incidents et de préventiondéfinie par défaut lorsque l'ordinateur est déconnecté du réseau.

10 Sous l'onglet Affectation de stratégie, affectez le jeu de règles à une ou plusieurs stratégies :

a Sélectionnez Actions | Affecter un jeu de règles à des stratégies.

b Sélectionnez le jeu de règles de votre choix dans la liste déroulante.

c Sélectionnez la ou les stratégies auxquelles l'affecter.

11 Sélectionnez Actions | Appliquer les stratégies sélectionnées. Sélectionnez les stratégies à appliquer à la base dedonnées McAfee ePO, puis cliquez sur OK.



Scénario d'utilisation - Bloquer les messages sortants qui comportentdu contenu confidentiel, sauf s'ils sont envoyés à un domaine spécifiéLes messages sortants sont bloqués s'ils contiennent le mot Confidentiel, sauf si le destinataire est exempté dela règle.

Tableau 6-3 Comportement attendu

Contenu de l'e-mail Destinataire Résultat attendu

Corps : Confidentiel [email protected] Le message est bloqué car il contient le mot« Confidentiel ».

Corps : Confidentiel [email protected] Le message n'est pas bloqué, car les paramètresd'exception indiquent que les documentsconfidentiels peuvent être envoyés àexemple.com

Corps :Pièce jointe :Confidentiel

[email protected][email protected]

Le message est bloqué parce que l'un desdestinataires n'est pas autorisé à le recevoir.

Procédure

1 Créez une définition de liste d'adresses e-mail pour un domaine exempté de la règle.

a Dans la section Protection de données de McAfee ePO, sélectionnez Gestionnaire de stratégies DLP et cliquezsur Définitions.

b Sélectionnez la définition Liste des adresses e-mail et créez une copie de Domaine e-mail de mon entreprise(intégré).

c Sélectionnez la définition d'adresse e-mail que vous avez créée et cliquez sur Modifier.

d Dans Opérateur, sélectionnez Le nom de domaine est et définissez la valeur sur exemple.com.


2 Créez un jeu de règles avec une règle de protection de la messagerie.

a Cliquez sur Jeux de règles, puis sélectionnez Actions | Nouveau jeu de règles.

b Nommez le jeu de règles Blocage Confidentiel dans les e-mails.

c Créez une copie de la classification intégrée Confidentiel.

Une copie modifiable de la classification s'affiche.

d Cliquez sur Actions | Nouvelle règle | Règle de protection de la messagerie.

e Nommez la nouvelle règle Blocage Confidentiel et activez-la.

f Appliquez la règle sur DLP Endpoint pour Windows et DLP Prevent.

g Sélectionnez la classification que vous avez créée et ajoutez-la à la règle.

h Définissez le destinataire sur n'importe quel destinataire (TOUS).

Gardez les valeurs par défaut pour les autres paramètres de l'onglet Condition.

3 Ajoutez des exceptions à la règle.

a Cliquez sur Exceptions, puis sélectionnez Actions | Ajouter une exception à la règle.

b Attribuez un nom à l'exception et activez-la.



c Définissez la classification sur Confidentiel.

d Définissez l'option Destinataire sur au moins un destinataire appartient à tous les groupes (ET), puissélectionnez la définition de liste d'adresses e-mail que vous avez créée.

4 Configurez la réaction aux messages qui contiennent le mot Confidentiel.

a Cliquez sur Réaction.

b Dans DLP Endpoint, configurez l'action sur Bloquer pour les ordinateurs connectés ou non au réseau del'entreprise.

c Dans DLP Prevent, sélectionnez l'option Ajouter l'en-tête X-RCIS-Action, puis cliquez sur la valeur Bloquer.

5 Enregistrez et appliquez la stratégie.

Scénario d'utilisation - Autoriser un groupe d'utilisateurs donné àenvoyer des informations bancairesAutorisez les membres du groupe d'utilisateurs des ressources humaines à envoyer des messages quicontiennent des informations bancaires en obtenant des informations à partir d'Active Directory.

Avant de commencerEnregistrez un serveur Active Directory auprès de McAfee ePO. Utilisez les fonctionnalités Serveursenregistrés de McAfee ePO pour ajouter les détails du serveur. Pour plus d'informations surl'enregistrement de serveurs, reportez-vous au Guide produit McAfee ePolicy Orchestrator.

Suivez ces étapes générales pour :

1 (Facultatif pour McAfee DLP Prevent uniquement) Sélectionnez un serveur LDAP auprès duquel obtenir legroupe d'utilisateurs.

2 Créer une classification pour les informations bancaires personnelles.

3 Créer un jeu de règles et une qui règle utilise cette nouvelle classification.

4 Exempter le groupe d'utilisateurs des ressources humaines de l'application de la règle.

5 Bloquer les messages qui contiennent des informations bancaires personnelles.

6 Appliquer la stratégie.

Meilleure pratique : pour faire en sorte que vos règles détectent les incidents de fuite de données potentielsavec le moins de faux positifs possible, créez vos règles à l'aide du paramètre Aucune action. Contrôlez leGestionnaire d'incidents DLP jusqu'à ce que vous estimiez que la règle détecte les incidents de façon satisfaisante,puis définissez le paramètre Action sur Bloquer.

Procédure

1 Sélectionnez le serveur LDAP auprès duquel vous souhaitez obtenir le groupe d'utilisateurs.

a Dans, McAfee ePO, ouvrez le catalogue de stratégies.

b Sélectionnez la stratégie Serveur McAfee DLP Prevent.

c Ouvrez la catégorie Utilisateurs et groupes et ouvrez la stratégie que vous souhaitez modifier.

d Sélectionnez les serveurs Active Directory que vous souhaitez utiliser.




2 Dans le menu McAfee ePO, sélectionnez Classification et créez un double de la classification PCI.

3 Créez le jeu de règles et ses exceptions.

a Ouvrez le Gestionnaire de stratégies DLP.

b Dans Jeux de règles, créez un jeu de règles appelé Bloquer PCI pour DLP Prevent et Endpoint.

c Ouvrez le jeu de règles que vous avez créé, sélectionnez Action | Nouvelle règle | Protection de lamessagerie et attribuez un nom à la règle.

d Dans Appliquer sur, sélectionnez DLP Endpoint pour Windows et DLP Prevent.

e Dans Classification de, sélectionnez la classification que vous avez créée.

f Laissez les valeurs par défaut pour les paramètres Expéditeur, Enveloppe d'e-mail et Destinataire.

4 Spécifiez le groupe d'utilisateurs que vous souhaitez exclure de la règle.

a Sélectionnez Exceptions, cliquez sur Actions | Ajouter une exception à la règle et nommez l'exceptionException groupe RH.

b Définissez la valeur Etat sur Activé.

c Dans Classification de, sélectionnez contient n'importe quelle donnée (TOUS).

d Dans Expéditeur sélectionnez appartient à l'un des groupes d'utilisateurs finaux (OU)

e Sélectionnez Nouvel élément et créez un groupe d'utilisateurs finaux appelé RH.

f Cliquez sur Ajouter des groupes, sélectionnez le groupe et cliquez sur OK.

5 Définissez l'action à appliquer si la règle se déclenche.

a Sélectionnez le groupe que vous avez créé et cliquez sur OK.

b Sélectionnez l'onglet Réaction.

c Dans la section DLP Endpoint, définissez Action sur Bloquer.

Si DLP Endpoint est sélectionné, vous devez définir une réaction.

d Dans la section DLP Prevent, définissez la valeur d'en-tête X-RCIS-Action sur Bloquer.

Si vous souhaitez tester la règle, vous pouvez laisser le paramètre Action défini sur Aucune action jusqu'àce qu'elle se déclenche comme vous le souhaitez.

e Sélectionnez Signaler l'incident.

f Enregistrez la règle, puis cliquez sur Fermer.

6 Appliquez la règle.

a Dans le Gestionnaire de stratégies DLP, sélectionnez Affectation de stratégie.

Modifications en attente indique Oui.

b Sélectionnez Actions | Affecter des jeux de règles à une stratégie.

c Sélectionnez le jeu de règles que vous avez créé.



d Sélectionnez Actions | Appliquer les stratégies sélectionnées.

e Cliquez sur Appliquer la stratégie.

Modifications en attente indique Non.

Scénario d'utilisation : classification des pièces jointes dans la catégoriePARTAGE-REQUIS en fonction de leur destinationCréez des classifications qui autorisent l'envoi des pièces jointes PARTAGE-REQUIS aux employés situés auxEtats-Unis, en Allemagne et en Israël.

Avant de commencer1 Utilisez les fonctionnalités Serveurs enregistrés de McAfee ePO pour ajouter les détails des

serveurs LDAP. Pour plus d'informations sur ce composant, reportez-vous au Guide produitMcAfee ePolicy Orchestrator.

2 Utilisez la fonctionnalité Paramètres LDAP dans la catégorie de stratégies Utilisateurs et groupespour envoyer en mode Push des informations sur les groupes à l'appliance McAfee DLP Prevent.

Suivez les étapes générales ci-dessous :

• Créez une classification PARTAGE-REQUIS.

• Créez une classification Etats-Unis.

• Créez une classification Israël.

• Créez des définitions de liste d'adresses e-mail.

• Création d'un jeu de règles et d'une règle qui classe les pièces jointes dans la catégorie PARTAGE-REQUIS.

• Configuration d'exceptions à la règle.

Les exemples de classification fournis dans le tableau indiquent le comportement des classifications avecdifférents déclencheurs et destinataires.

Tableau 6-4 Comportement attendu

Classification Destinataire Résultat attendu

PJ1 : PARTAGE-REQUIS, Israël (.il) etEtats-Unis (.us)PJ2 : PARTAGE-REQUIS, Israël (.il) etAllemagne (.de)

[email protected] Autoriser : exemple1.com estautorisé à recevoir toutes lespièces jointes PARTAGE-REQUIS


[email protected] Autoriser : exemple2.com estautorisé à recevoir toutes lespièces jointes PARTAGE-REQUIS


[email protected]@exemple1.com

Autoriser : exemple1.com etexemple2.com sont autorisés àrecevoir les deux pièces jointes


[email protected] Autoriser : gov.il est autorisé pourles deux pièces jointes



Tableau 6-4 Comportement attendu (suite)

Classification Destinataire Résultat attendu


[email protected] Bloquer : exempleutilisateur4n'est pas autorisé à recevoir ladeuxième pièce jointe


[email protected]@gov.us

Bloquer : exempleutilisateur4n'est pas autorisé à recevoir ladeuxième pièce jointe


[email protected]@gov.us

Bloquer : exempleutilisateur4n'est pas autorisé à recevoir ladeuxième pièce jointe



Autoriser : exempleutilisateur1 etexempleutilisateur3 sontautorisées à recevoir les deuxpièces jointes



[email protected]

Bloquer : exempleutilisateur4 nepeut pas recevoir la deuxièmepièce jointe

Procédure

1 Créez une définition de liste d'adresses e-mail pour les domaines exemptés de la règle.

a Dans la section Protection de données de McAfee ePO, sélectionnez Gestionnaire de stratégies DLP et cliquezsur Définitions.

b Sélectionnez la définition Liste des adresses e-mail et créez une copie de Domaine e-mail de mon entreprise(intégré).

c Sélectionnez la définition d'adresse e-mail que vous avez créée et cliquez sur Modifier.

d Dans Opérateur, sélectionnez Le nom de domaine est et définissez la valeur sur exemple1.com.

e Créez une entrée pour exemple2.com.

f Cliquez sur Enregistrer.

g Répétez ces étapes pour créer une définition pour gov.il.

h Répétez les étapes à nouveau pour créer une définition pour gov.us.

2 Créez un jeu de règles comprenant une règle de protection de la messagerie.

a Cliquez sur Jeux de règles, puis sélectionnez Actions | Nouveau jeu de règles.

b Nommez le jeu de règles Autoriser les e-mails PARTAGE-REQUIS vers Israël et lesEtats-Unis.



3 Créez une règle et ajouter le critère de classification PARTAGE-REQUIS.

a Cliquez sur Actions | Nouvelle règle | Règle de protection de la messagerie.

b Nommez la règle PARTAGE-REQUIS, activez-la et appliquez-la sur DLP Endpoint pour Windows et DLPPrevent.

c Définissez Classification de sur l'une des pièces jointes (*).

d Sélectionnez contient l'un de (OU) et le critère de classification PARTAGE-REQUIS.

e Définissez le destinataire sur n'importe quel destinataire (TOUS).

f Gardez les valeurs par défaut pour les autres paramètres de l'onglet Condition.

4 Ajoutez des exceptions à la règle et activez chaque exception.

• Exception 1

1 Définissez Classification de sur pièce jointe correspondante.

2 Sélectionnez contient l'un de (OU) et le critère de classification PARTAGE-REQUIS.

3 Définissez Destinataire sur le destinataire correspondant appartient à l'un des groupes (OU), puissélectionnez la définition d'adresse e-mail que vous avez créée qui inclut exemple.com etexemple2.com.

• Exception 2


2 Sélectionnez contient tous les (ET) et les critères de classification PARTAGE-REQUIS et .il (Israël).

3 Définissez Destinataire sur le destinataire correspondant appartient à l'un des groupes (OU), puissélectionnez gov.il.

• Exception 3


2 Sélectionnez contient tous les (ET) et les critères de classification PARTAGE-REQUIS et .us (Etats-Unis).

3 Définissez Destinataire sur le destinataire correspondant appartient à l'un des groupes (OU), puissélectionnez gov.us.

5 Définissez la réaction à appliquer si la règle se déclenche.

a Dans DLP Endpoint, définissez Action sur Bloquer.

b Dans DLP Prevent, définissez Action sur Ajouter l'en-tête X-RCIS-Action, puis sélectionnez la valeurBLOCAGE.


7 Appliquez la stratégie.



7 Analyse de données avec la découverteMcAfee DLP Endpoint

La fonction de découverte est un robot qui s'exécute sur les ordinateurs client. Il effectue des recherches dansles fichiers du stockage des e-mails et du système de fichiers local, et applique des règles pour protéger lecontenu confidentiel.

Sommaire Protection des fichiers avec des règles de découverte Comment l'analyse de découverte fonctionne-t-elle ? Recherche de contenu avec le robot de découverte de terminaux

Protection des fichiers avec des règles de découverteLes règles de découverte définissent le contenu que McAfee DLP recherche lors de l'analyse des référentiels etdéterminent les mesures à prendre lorsque du contenu correspondant est détecté. Les règles de découvertepeuvent être définies pour la découverte McAfee DLP Discover ou McAfee DLP Endpoint.

Selon le type de règle, les fichiers détectés lors d'une analyse peuvent être copiés, déplacés, classés, chiffrés oumis en quarantaine. Ils peuvent aussi faire l'objet d'une stratégie de gestion des droits ou leur contenu peutêtre identifié par empreinte. Toutes les conditions de règle de découverte comportent une classification.

Lorsque vous utilisez des règles de découverte du stockage des e-mails avec l'action de prévention Mettre enquarantaine, vérifiez que le complément pour Outlook est activé (Catalogue de stratégies | Data Loss Prevention10 | Configuration client | Mode de fonctionnement et modules). Vous ne pouvez pas libérer d'e-mails de laquarantaine lorsque le complément pour Outlook est désactivé.

Tableau 7-1 Règles de découverte disponibles

Type de règle Produit Contrôle les fichiers découverts par...

Système de fichiers local McAfee DLP Endpoint Les analyses du système de fichiers local.

E-mail local (OST, PST) McAfee DLP Endpoint Les analyses des systèmes de stockage dese-mails.

Protection des serveurs de fichiers(CIFS)

McAfee DLP Discover Les analyses des serveurs de fichiers.

Protection de SharePoint McAfee DLP Discover Les analyses des serveurs SharePoint.

Les règles McAfee DLP Discover requièrent également un référentiel. Pour plus d'informations sur laconfiguration des règles et des analyses, consultez le chapitre Analyse des données avec McAfee DLP Discover.

7


Analyses lancées par l'utilisateur final

Quand ces analyses sont activées dans la configuration de l'analyse du système de fichiers local pour lesstratégies DLP, les utilisateurs finaux peuvent les exécuter et afficher des actions d'auto-correction. Chaqueanalyse doit être programmée et est lancée en fonction de cette programmation, que l'utilisateur décide ou nond'exécuter une analyse. Toutefois, lorsque l'option d'interaction de l'utilisateur est activée, les utilisateurs finauxpeuvent également exécuter des analyses quand ils le souhaitent. Si l'option d'auto-correction est égalementsélectionnée, les utilisateurs finaux peuvent également effectuer des actions de correction.

Classification automatique du système de fichiers local

Lorsque l'action Classer le fichier est sélectionnée pour les règles de découverte du système de fichiers local, larègle applique la classification automatique et intègre l'ID du marqueur de classification dans le format desfichiers. L'ID est ajouté à tous les fichiers Microsoft Office et PDF, ainsi qu'aux formats de fichier audio, vidéo etimage. L'ID de classification peut être détecté par tous les produits McAfee DLP et tiers.

Limitation :

Dans la version 10.0.100 de McAfee DLP, seuls McAfee DLP Discover et McAfee DLP Endpoint pour Windowspeuvent détecter automatiquement la classification intégrée.

Comment l'analyse de découverte fonctionne-t-elle ?Les analyses de découverte Endpoint permettent de localiser le système de fichiers local ou les fichiers destockage des e-mails contenant des données confidentielles, et de les marquer ou de les mettre enquarantaine.

La fonction de découverte de McAfee DLP Endpoint est un robot qui s'exécute sur les ordinateurs clients.Lorsqu'il détecte du contenu prédéfini, il peut surveiller, mettre en quarantaine, marquer ou chiffrer les fichierscomportant ce contenu, ou encore leur appliquer une stratégie de gestion des droits. La découverte Endpointpeut analyser les fichiers d'ordinateur ou les fichiers de stockage des e-mails (PST, PST mappé et OST). Lesfichiers de stockage des e-mails sont mis en cache pour chaque utilisateur.

Pour utiliser la découverte Endpoint, vous devez activer les modules de découverte sur la page Catalogue destratégies | Configuration client | Mode de fonctionnement et modules.

A la fin de chaque analyse de découverte, le client McAfee DLP Endpoint envoie un événement de synthèse dedécouverte à la console Gestionnaire d'incidents DLP dans McAfee ePO pour consigner les détails de l'analyse.L'événement comporte un fichier de preuve qui répertorie les fichiers qui n'ont pas pu être analysés. La raisonpour laquelle ils n'ont pas pu être analysés est indiquée pour chaque fichier. Il existe aussi un fichier de preuveindiquant les fichiers correspondant à la classification et à l'action effectuée.

Dans McAfee DLP Endpoint 9.4.0, l'événement de synthèse était un événement opérationnel. Pour mettre à jourles anciens événements de synthèse dans le Gestionnaire d'incidents DLP, utilisez la tâche serveur McAfee ePOMigrer des événements d'incident DLP de 9.4 vers 9.4.1.

Quand effectuer les recherches ?

Pour planifier des analyses de découverte, accédez à la page Catalogue de stratégies | Stratégie DLP |Découverte Endpoint. Vous pouvez lancer une analyse à une heure précise chaque jour ou uniquement lesjours de la semaine ou du mois que vous aurez spécifiés. Vous pouvez préciser les dates de départ et d'arrêt, ouexécuter une analyse lorsque la configuration McAfee DLP Endpoint est mise en œuvre. Vous pouvez suspendreune analyse lorsque le processeur ou la mémoire RAM de l'ordinateur dépassent une limite définie.

7 Analyse de données avec la découverte McAfee DLP EndpointComment l'analyse de découverte fonctionne-t-elle ?


Si vous modifiez la stratégie de découverte lorsqu'une analyse Endpoint est en cours, les règles et lesparamètres de planification seront modifiés immédiatement. Les modifications liées à l'activation ou à ladésactivation de paramètres seront appliquées au cours de la prochaine analyse. Si vous redémarrezl'ordinateur lorsqu'une analyse est en cours, l'analyse reprend à l'endroit où elle a été interrompue.

Quel type de contenu peut être détecté ?

Vous définissez des règles de découverte avec une classification. Les propriétés de fichier ou conditions dedonnées pouvant être ajoutées aux critères de classification peuvent être utilisées pour découvrir du contenu.

Qu'advient-il des fichiers détectés qui présentent du contenu confidentiel ?

Vous pouvez mettre des fichiers d'e-mails en quarantaine ou les marquer. Vous pouvez chiffrer, mettre enquarantaine et marquer des fichiers du système de fichiers local, ou encore leur appliquer une stratégie degestion des droits. Vous pouvez stocker des preuves pour les deux types de fichier.

Recherche de contenu avec le robot de découverte de terminauxQuatre étapes sont nécessaires à l'exécution du robot de découverte.

1 Créez et définissez des classifications pour identifier le contenu confidentiel.

2 Créez et définissez une règle de découverte. La classification est comprise dans la définition de la règle dedécouverte.

3 Créez une définition de planification.

4 Configurez les paramètres d'analyse. La définition d'analyse inclut la planification parmi ses paramètres.

Procédures• Création et définition d'une règle de découverte, page 141

Les règles de découverte définissent le contenu recherché par le robot et déterminent les actions àeffectuer lorsque ce contenu a été trouvé.

• Création d'une définition de planificateur, page 142Le planificateur permet de déterminer la période et la fréquence d'exécution d'une analyse dedécouverte.

• Configuration d'une analyse, page 143Les analyses de découverte analysent le système de fichiers local ou les boîtes aux lettres, à larecherche de contenu confidentiel.

• Scénario d'utilisation : restauration des fichiers ou des e-mails mis en quarantaine, page 143Lorsque la découverte McAfee DLP Endpoint trouve du contenu confidentiel, elle déplace lesfichiers ou les e-mails concernés dans un dossier de quarantaine et les remplace par un espaceréservé qui indique aux utilisateurs que leurs fichiers ou e-mails ont été mis en quarantaine. Lesfichiers et les e-mails mis en quarantaine sont également chiffrés afin d'empêcher toute utilisationnon autorisée.

Création et définition d'une règle de découverteLes règles de découverte définissent le contenu recherché par le robot et déterminent les actions à effectuerlorsque ce contenu a été trouvé.

Les règles de découverte peuvent porter sur les terminaux (messagerie locale, système de fichiers local) ou leréseau (Box, CIFS, SharePoint).

Les modifications affectant une règle de découverte sont appliquées lorsque la stratégie est déployée. Unenouvelle règle prend effet immédiatement, même lorsqu'une analyse est en cours.

Analyse de données avec la découverte McAfee DLP EndpointRecherche de contenu avec le robot de découverte de terminaux 7


Pour les analyses de stockage des e-mails (PST, PST mappé et OST), le robot analyse les e-mails (corps et piècesjointes), les éléments du calendrier et les tâches. Il n'analyse pas les dossiers publics ou les notes récurrentes.

Procédure


2 Sur la page Jeux de règles, sélectionnez Actions | Nouveau jeu de règles. Entrez un nom, puis cliquez sur OK.

Vous pouvez également ajouter des règles de découverte à un jeu de règles existant.

3 Sous l'onglet Découverte, sélectionnez Actions | Nouvelle règle de découverte Endpoint puis sélectionnez E-maillocal ou Système de fichiers local.

La page correspondante s'affiche.

4 Saisissez le nom de la règle et sélectionnez une classification.

5 Cliquez sur Réaction. Sélectionnez une action dans la liste déroulante.

6 (Facultatif) Sélectionnez les options Signaler l'incident, définissez Etat sur Activé et choisissez une désignationdans la liste déroulante Gravité.


Création d'une définition de planificateurLe planificateur permet de déterminer la période et la fréquence d'exécution d'une analyse de découverte.

Cinq types de planification sont fournis :

• Exécuter immédiatement • Hebdomadaire

• Une fois • Mensuelle

• Tous les jours

Procédure


2 Dans le volet gauche, cliquez sur Planificateur.

Si McAfee DLP Discover et McAfee DLP Endpoint sont installés, la liste des calendriers existants comprendles calendriers des deux logiciels.


La page Nouveau planificateur s'affiche.

4 Entrez un nom unique et sélectionnez le type de planification dans la liste déroulante.

Lorsque vous sélectionnez le type de planification, l'affichage change et fournit les champs nécessaires pource type particulier.

5 Définissez les options requises, puis cliquez sur Enregistrer.

7 Analyse de données avec la découverte McAfee DLP EndpointRecherche de contenu avec le robot de découverte de terminaux


Configuration d'une analyseLes analyses de découverte analysent le système de fichiers local ou les boîtes aux lettres, à la recherche decontenu confidentiel.

Avant de commencerVérifiez que les jeux de règles à appliquer aux analyses ont été appliqués à la stratégie DLP. Cesinformations s'affichent dans l'onglet Stratégie DLP | Jeux de règles.

Les modifications apportées aux paramètres de découverte prennent effet lors de l'analyse suivante. Elles nes'appliquent pas aux analyses en cours.

Procédure


2 Sélectionnez Produit | Data Loss Prevention 10, puis sélectionnez la stratégie DLP active.

3 Sous l'onglet Découverte Endpoint, sélectionnez Actions | Nouvelle analyse Endpoint, puis sélectionnez E-maillocal ou Système de fichiers local.

4 Attribuez un nom à l'analyse, puis sélectionnez une planification dans la liste déroulante.

5 Facultatif : modifiez les valeurs par défaut pour Gestion des incidents et Traitement des erreurs. Définissez lavaleur Etat sur Activé.

Le traitement des erreurs est effectué lorsque le texte ne peut pas être extrait.

6 (Facultatif) Pour les analyses du système de fichiers local, sélectionnez la case à cocher dans le champInteraction de l'utilisateur pour autoriser l'utilisateur à exécuter les analyses activées avant leur lancementprogrammé. Vous pouvez également autoriser les utilisateurs à exécuter des actions de correction à partirde la console client McAfee DLP Endpoint.

7 Sous l'onglet Dossiers, effectuez l'une des actions suivantes :

• Pour analyser un système de fichiers, sélectionnez Actions | Sélectionner les dossiers. Sélectionnez unedéfinition de dossier existante ou cliquez sur Nouvel élément pour en créer une. Définissez l'option Inclureou Exclure pour le dossier.

• Pour analyser les e-mails, sélectionnez les types de fichier (OST, PST) et les boîtes aux lettres à analyser.

8 (Facultatif) Sous l'onglet Filtres (analyses de système de fichiers uniquement) sélectionnez Actions |Sélectionner les filtres. Sélectionnez une définition d'informations de fichier ou cliquez sur Nouvel élément pouren créer une. Définissez l'option Inclure ou Exclure pour le filtre. Cliquez sur OK.

La valeur par défaut est Tous les fichiers. Le fait de définir un filtre rend l'analyse plus efficace.

9 Sous l'onglet Règles, vérifiez les règles qui s'appliquent.

Toutes les règles de découverte issues des jeux de règles appliqués à la stratégie sont exécutées.

Scénario d'utilisation : restauration des fichiers ou des e-mails mis enquarantaineLorsque la découverte McAfee DLP Endpoint trouve du contenu confidentiel, elle déplace les fichiers ou lese-mails concernés dans un dossier de quarantaine et les remplace par un espace réservé qui indique aux



utilisateurs que leurs fichiers ou e-mails ont été mis en quarantaine. Les fichiers et les e-mails mis enquarantaine sont également chiffrés afin d'empêcher toute utilisation non autorisée.

Avant de commencerPour afficher l'icône McAfee DLP dans Microsoft Outlook, l'option Afficher les commandes delibération de la quarantaine dans Outlook doit être activée dans Catalogue de stratégies | Stratégie client| Mode de fonctionnement et modules. Lorsqu'elle est désactivée, l'icône et l'option de menucontextuel permettant d'afficher les e-mails mis en quarantaine sont bloquées, et vous ne pouvezpas libérer d'e-mails de la quarantaine.

Lorsque vous définissez une règle de découverte du système de fichiers sur Quarantaine et que le robotdécouvre un contenu confidentiel, il déplace les fichiers concernés dans un dossier de quarantaine et lesremplace par un espace réservé, qui indique aux utilisateurs que ces fichiers ont été mis en quarantaine. Lesfichiers mis en quarantaine sont chiffrés afin d'empêcher toute utilisation non autorisée.

Concernant les e-mails mis en quarantaine, McAfee DLP Endpoint ajoute un préfixe à l'objet dans Outlook pourindiquer aux utilisateurs que leurs e-mails ont été mis en quarantaine. Le corps de l'e-mail et les pièces jointessont mis en quarantaine.

Le mécanisme a été modifié depuis les versions précédentes de McAfee DLP Endpoint, qui pouvait chiffrer lecorps ou les pièces jointes, pour empêcher la corruption de la signature lors de l'utilisation du système designature d'e-mail.

Les tâches et les éléments du calendrier Microsoft Outlook peuvent également être mis en quarantaine.

Procédure1 Pour restaurer des fichiers mis en quarantaine, procédez comme suit :

a Dans la barre d'état système de l'ordinateur managé, cliquez sur l'icône McAfee Agent et sélectionnezGérer les fonctions | Console DLP Endpoint.

La console DLP Endpoint s'ouvre.

b Sous l'onglet Tâches, sélectionnez Ouvrir le dossier de quarantaine.

Le dossier de quarantaine s'ouvre.

c Sélectionnez les fichiers à restaurer. Cliquez avec le bouton droit de la souris et sélectionnez Libérer de laquarantaine.

L'option Libérer de la quarantaine du menu contextuel s'affiche uniquement lorsque vous sélectionnezdes fichiers de type *.dlpenc (fichiers chiffrés par DLP).

La fenêtre pop-up Code d'autorisation s'affiche.

2 Pour restaurer les éléments d'e-mails mis en quarantaine : cliquez sur l'icône McAfee DLP ou cliquez avec lebouton droit de la souris et sélectionnez Libérer de la quarantaine.

a Dans Microsoft Outlook, sélectionnez les e-mails (ou autres éléments) à restaurer.

b Cliquez sur l'icône McAfee DLP.

La fenêtre pop-up Code d'autorisation s'affiche.

3 Copiez le code ID d'authentification indiqué dans la fenêtre pop-up et envoyez-le à l'administrateur DLP.



4 L'administrateur génère un code de réponse et l'envoie à l'utilisateur. (Ceci crée aussi un événementopérationnel enregistrant tous les détails).

5 L'utilisateur saisit le code d'autorisation dans la fenêtre pop-up Code d'autorisation et clique sur OK.

Les fichiers déchiffrés sont restaurés à leur emplacement d'origine. Si la stratégie de déverrouillage du coded'autorisation a été activée (sous l'onglet Configuration des agents | Service de notification) et que voussaisissez un code incorrect à trois reprises, la fenêtre pop-up est bloquée pendant 30 minutes (paramètrepar défaut).

Pour les fichiers, si le chemin d'accès a été modifié ou supprimé, le chemin d'origine est restauré. Sil'emplacement indiqué contient un fichier portant le même nom, le fichier est restauré sous le nomxxx-copie.abc.





8 Analyse des données avec McAfee DLPDiscover

Configurez les analyses et la stratégie McAfee DLP Discover pour détecter et protéger vos fichiers.

Sommaire Choix du type d'analyse Informations utiles et limites des analyses Référentiels et informations d'identification pour les analyses Utilisation de définitions et de classifications avec des analyses Utilisation de règles avec des analyses Configuration des stratégies pour les analyses Configuration d'une analyse Exécution d'opérations d'analyse Analyse des données analysées

Choix du type d'analyseLe type d'analyse que vous configurez détermine le volume d'informations récupérées et les mesures priseslors d'une analyse, ainsi que la configuration requise.

• Les analyses d'inventaire récupèrent uniquement les métadonnées, sur la base desquelles vous pouvezensuite configurer des analyses de classification et de correction.

• Les analyses de classification récupèrent des métadonnées, effectuent une analyse des fichiers etcorrespondent aux classifications de stratégie que vous définissez.

• Les analyses de correction incluent une analyse de classification et peuvent mettre en œuvre des règles surles fichiers.

Pour les analyses de bases de données, les analyses de correction peuvent uniquement signaler un incidentet stocker des preuves.

• Les analyses d’enregistrement identifient par empreinte le contenu de fichiers confidentiels et stockent lesempreintes sous forme de documents enregistrés sur le serveur Redis maître.

Les composants de stratégie à configurer dépendent du type d’analyse.

Tableau 8-1 Composants de stratégie requis

Type d'analyse Définitions Classifications Règles Critères d'empreintes

Inventaire X

Classification X X

8


Tableau 8-1 Composants de stratégie requis (suite)

Type d'analyse Définitions Classifications Règles Critères d'empreintes

Correction X X X

Enregistrement X X

Les résultats d'analyse sont affichés dans l'onglet Analyse des données. L'onglet Inventaire des données affichel'inventaire des fichiers traités par les analyses pour lesquelles l'option Liste des fichiers est activée.

Fonctionnement des analyses d'inventaireLes analyses d'inventaire sont les analyses les plus rapides, car elles récupèrent uniquement les métadonnées.Ainsi, une analyse d'inventaire est un bon point de départ pour planifier une stratégie de prévention des fuitesde données.

Une analyse d'inventaire effectue les tâches suivantes :

Action Lors de l’analyse d’unréférentiel de fichiers

Lors de l’analysed’une base dedonnées

Collecte les métadonnées, mais ne télécharge aucunfichier / aucune table

x x

Renvoie des compteurs de traitement analytique en ligne(OLAP) et l'inventaire des données (liste des fichiers/tablesanalysés)

x x

Restaure l'heure du dernier accès aux fichiers analysés x

Les analyses d’inventaire sur les référentiels de fichiers collectent des métadonnées telles que le type, la taille,la date de création et la date de la dernière modification des fichiers. Le type de métadonnées disponibles varieselon le type de référentiel. Par exemple, les analyses Box récupèrent les métadonnées de partage, decollaboration et de nom de compte. Les analyses d’inventaire sur les bases de données collectent desmétadonnées telles que le nom de schéma, le nom de table, le nombre d’enregistrements, la taille et lepropriétaire.

Les résultats des analyses d'inventaire sont affichés dans les onglets Inventaire des données et Analyse desdonnées.

Vous pouvez également utiliser des analyses d’inventaire pour faciliter l'automatisation de tâches informatiques,telles que

• la recherche de fichiers vides

• la recherche de fichiers qui n’ont pas été modifiés pendant une longue période

• l’extraction de mises en forme de tables de bases de données

Fonctionnement des analyses de classificationVous pouvez utiliser les résultats des analyses d'inventaire pour créer des analyses de classification.

Une analyse de classification effectue les tâches suivantes :

8 Analyse des données avec McAfee DLP DiscoverChoix du type d'analyse


Action Lors de l’analyse d’unréférentiel de fichiers

Lors de l’analysed’une base dedonnées

Recueille les mêmes métadonnées qu'une analysed'inventaire

x x

Analyse le type de fichier vrai en se fondant sur le contenu dufichier plutôt que sur l'extension

x

Collecte des données sur les fichiers/tables quicorrespondent à la classification configurée

x x

Restaure l'heure du dernier accès aux fichiers analysés x

Les analyses de classification sont plus lentes que les analyses d'inventaire, car l'extracteur de texte doitaccéder aux fichiers, en faire une analyse syntaxique, puis effectuer une nouvelle analyse afin de déterminer lesdéfinitions de classification spécifiées auxquelles ils correspondent. Les classifications sont composées dedéfinitions qui peuvent inclure des mots clés, des dictionnaires, des modèles de texte et des propriétés dedocument. Ces définitions permettent d'identifier d'éventuels contenus confidentiels pouvant nécessiter uneprotection supplémentaire. Les outils OLAP vous permettent d'afficher les modèles multidimensionnels de cesparamètres et ainsi de créer des analyses de correction optimisées.

Les résultats des analyses de classification sont affichés dans les onglets Inventaire des données et Analyse desdonnées.

Détection de fichiers chiffrés

Les analyses de classification de référentiels de fichiers détectent les données qui présentent les types dechiffrement suivants :

• Chiffrement Microsoft Rights Management

• Chiffrement Seclore Rights Management

• Types de chiffrement non pris en charge ou protection par mot de passe

• Non chiffré

Prenez en compte les points suivants lors de l'analyse de fichiers chiffrés :

• McAfee DLP Discover peut extraire et analyser des fichiers chiffrés avec Microsoft RMS à condition que lesinformations d'identification de McAfee DLP Discover soient configurées. D'autres fichiers chiffrés nepeuvent pas être extraits, analysés ou détectés sur la base de classifications.

• Les fichiers chiffrés avec la gestion des droits numériques Adobe Primetime et McAfee® File and RemovableMedia Protection (FRP) sont détectés comme Non chiffrés.

• McAfee DLP Discover prend en charge les options des critères de classification pour Chiffrement MicrosoftRights Management et Non chiffré.

Fonctionnement des analyses de correctionVous pouvez utiliser les résultats des analyses d'inventaire et de classification pour créer des analyses decorrection.

Les analyses de correction appliquent des règles pour protéger le contenu confidentiel du référentiel analysé.Quand des données correspondent à une classification définie pour une analyse de correction, McAfee DLPDiscover peut effectuer les actions suivantes :

Analyse des données avec McAfee DLP DiscoverChoix du type d'analyse 8


Action Lors de l’analyse d’un référentiel de fichiers Lors de l’analysed’une base dedonnées

Générer un incident. x x

Stocker le fichier/la table original(e)dans le partage de preuve.

x x

Copier le fichier. x

Déplacer le fichier. x

Les analyses Box et SharePoint prennent encharge le déplacement de fichiers vers despartages CIFS uniquement.

Appliquer une stratégie de gestion desdroits au fichier.

x

Remplacer le partage anonyme parune connexion requise.

Analyses Box uniquement

McAfee DLP Discover ne peut pas empêcherles utilisateurs Box de réactiver le partageexterne sur leurs fichiers.

Ne prendre aucune mesure. x x

Le déplacement des fichiers et l'application de stratégies de gestion des droits ne sont PAS pris en charge pourles listes SharePoint. Ces actions sont prises en charge pour les fichiers joints à des listes SharePoint ou stockésdans des bibliothèques de documents. Certains types de fichier utilisés pour la création de pages SharePoint(.aspx ou .js, par exemple) ne peuvent pas être déplacés ni supprimés.

Une analyse de correction effectue les mêmes tâches que les analyses d'inventaire et de classification. Lesanalyses de correction requièrent des classifications et des règles pour déterminer l'action à entreprendre surles fichiers détectés.

Les résultats des analyses de correction sont affichés dans les onglets Inventaire des données et Analyse desdonnées. Les analyses de correction peuvent également générer des incidents, qui sont affichés dans leGestionnaire d'incidents.

Fonctionnement des analyses d’enregistrementLes analyses d’enregistrement de document extraient des signatures présentes dans des fichiers, afin de lesutiliser pour définir des critères de classification.

Les documents enregistrés sont une extension de l’identification de contenu par empreinte selon l’emplacement.L’analyse d’enregistrement crée des signatures, sur la base de critères d’empreinte définis, et les stocke dansune base de données Redis (maître) principale. La base de données principale est distribuée et synchroniséeavec les bases de données de signatures (secondaires) sur tous les serveurs McAfee DLP Discover du réseau. Labase de données des signatures sur le serveur McAfee DLP Discover est contenue dans la mémoire RAM, enlecture seule. Vous pouvez utiliser les signatures pour définir des analyses de classification et de correction.

Les documents enregistrés créés par une analyse d’enregistrement sont appelés enregistrement automatique.Vous pouvez les afficher sur la page Classification | Enregistrer des documents, en sélectionnant Type :enregistrement automatique. Vous pouvez les utiliser pour définir des stratégies McAfee DLP Prevent et McAfee DLPMonitor, et pour définir des analyses McAfee DLP Discover. Vous ne pouvez pas les utiliser dans des stratégiesMcAfee DLP Endpoint.

8 Analyse des données avec McAfee DLP DiscoverChoix du type d'analyse


Le Serveur d’enregistrement principal (maître), un serveur DLP, est spécifié dans DLP Settings (Paramètres DLP),sur la page Classification, où vous entrez le nom d’hôte ou l’adresse IP du serveur. Ce serveur distribue la basede données de signatures aux serveurs McAfee DLP Discover sur le réseau. Si cette distribution doit s’effectuersur plus d’un LAN, un deuxième serveur DLP est utilisé pour synchroniser la base de données entre les LAN.

Analyse des données avec McAfee DLP DiscoverChoix du type d'analyse 8


La redistribution respecte les règles suivantes :

• Toutes les signatures sont ajoutées au serveur d’enregistrement principal UNIQUEMENT.

• Les signatures sont supprimées lorsque l’analyse qui les avait enregistrées est supprimée.

• Les signatures sont écrasées lorsque l’analyse qui les avait enregistrées s’exécute à nouveau.

Limitations

Les signatures peuvent avoir un impact important sur la mémoire RAM. 100 millions de signatures, la quantitémaximale pour chaque exécution, occupent environ 5 Go de RAM.

• La taille maximale de la base de données, définie sur la page Classification dans Paramètres DLP, peuts’étendre de 10 millions à 500 millions de signatures.

• Le nombre d’analyses d’enregistrement, activées et désactivés, peut être indiqué dans Scan Operations(Opérations d’analyse) et sa valeur maximale est 100.

• L’hôte du serveur d’enregistrement maître, indiqué dans Paramètres DLP doit se trouver sur le même LANque le serveur McAfee ePO. Les serveurs McAfee DLP Discover et les serveurs des bases de donnéessecondaires peuvent se trouver sur un autre LAN ou sur un WAN.

• Les informations d’identification fournies pour les analyses d’enregistrement doivent bénéficier, auminimum, d’autorisations de LECTURE, d’attributs d’ECRITURE et d’un accès aux dossiers analysés.

Informations utiles et limites des analysesLors de la planification et de la configuration de vos analyses, tenez compte des éléments suivants.

Exclusion de répertoires

Pour éviter tout effet négatif sur les performances, excluez les processus et les répertoires McAfee DLP Discoverdes applications suivantes :

• Logiciels antivirus, y compris McAfee® VirusScan® Enterprise

• McAfee® Host Intrusion Prevention et autres logiciels McAfee

• Pare-feux

• Logiciels de protection d'accès

• Analyse à l'accès

8 Analyse des données avec McAfee DLP DiscoverInformations utiles et limites des analyses


Tableau 8-2 Eléments McAfee DLP Discover à exclure

Type Exclure

Processus • dscrawler.exe • dsrms.exe

• dseng.exe • dssvc.exe

• dsmbroker.exe • dstex.exe

• dsreact.exe • redis-server.exe

• dsreport.exe

Répertoires • c:\programdata\mcafee\discoverserver

• c:\program files\mcafee\discoverserver

Clés de Registre • HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\McAfee\DiscoverServer

• HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\DiscoverServer

• HKEY_LOCAL_MACHINE\SOFTWARE\ODBC.INI\McAfeeDSPostgres

Définitions de référentiel

La configuration d'emplacements de référentiel dans McAfee ePO présente les limitations suivantes.

• Les intervalles d'adresses IP sont uniquement pris en charge pour les adresses de classe C.

• Les intervalles d'adresses IP ne peuvent pas inclure d'adresses se terminant par 0 ou 255.

Vous pouvez définir une adresse IP individuelle se terminant par 0 ou 255.

• IPv6 n'est pas pris en charge.

Analyses de SharePoint

Les analyses de SharePoint ne portent pas sur les catalogues système, les listes masquées ou les listessignalées comme NoCrawl. Les listes SharePoint étant hautement personnalisables, d'autres listes peuvent nepas être analysées.

La plupart des listes prêtes à l'emploi disponibles dans SharePoint 2010 ou 2013 peuvent être analysées,notamment :

• Annonces • Suivi des problèmes

• Contacts • Liens

• Forums de discussion • Réunions

• Evénements • Tâches

• Liste générique

Les éléments individuels d'une même liste sont combinés et regroupés dans une structure XML, puis analyséscomme un seul fichier XML. Les fichiers joints à des éléments de liste sont analysés tels quels.

Analyses Box

La configuration du même référentiel Box sur plusieurs serveurs Discover n'est pas prise en charge.

L'étendue des options d'analyse varie en fonction du compte utilisé. Pour analyser d'autres comptes, contactezle support technique de Box afin d'activer les fonctionnalités en tant qu'utilisateur.

Analyse des données avec McAfee DLP DiscoverInformations utiles et limites des analyses 8


• Le compte administrateur peut analyser tous les comptes.

• Un compte co-administrateur peut analyser son propre compte et les comptes utilisateurs.

• Un compte utilisateur peut uniquement analyser son propre compte.

Analyses de bases de données

Les types de colonne de base de données suivants sont ignorés lors de toutes les analyses McAfee DLPDiscover. Le texte n’est pas extrait et les classifications ne sont pas comparées.

• Tous les types de fichier binaire (blob, clob, image, etc.)

• Horodatage

Dans Microsoft SQL, l’horodatage est un compteur de version de ligne, et non un champ avec une heure.

Réglage de la bande passante pour une analyse

Les analyses importantes peuvent mobiliser une grande quantité de bande passante, en particulier sur lesréseaux disposant de faibles capacités de transmission. Par défaut, McAfee DLP Discover ne limite pas la bandepassante lors des analyses.

Lorsque la limitation de la bande passante est activée, McAfee DLP Discover l'applique à des fichiers individuelsen cours de récupération plutôt qu'à l'ensemble de l'analyse, comme une moyenne. Même si une analyse peutêtre largement au-dessus ou en dessous de la limitation configurée, le débit moyen mesuré sur l'ensemble decette analyse reste malgré tout très proche de cette limite. Lorsque cette option est activée, la valeur delimitation par défaut est de 2 000 ko/s.

Référentiels et informations d'identification pour les analysesMcAfee DLP Discover prend en charge les référentiels Box, CIFS et SharePoint.

Référentiels CIFS et SharePoint

Lorsque vous définissez un référentiel CIFS, le chemin d'accès UNC peut être le nom de domaine complet(FQDN) (\\monserveur1.mondomaine.com) ou le nom de l'ordinateur local (\\monserveur1). Vous pouvezajouter les deux conventions à une même définition.

Lorsque vous définissez un référentiel SharePoint, le nom d'hôte est l'URL du serveur sauf si le mappage desaccès de substitution (AAM) est configuré sur le serveur. Pour plus d'informations sur l'AAM, reportez-vous à ladocumentation Microsoft relative à SharePoint.

Chaque définition d'informations d'identification est propre à une définition de référentiel CIFS ou SharePoint.Dans la définition d'informations d'identification, si l'utilisateur est un utilisateur de domaine, indiquez le nomde domaine complet dans le champ Nom de domaine. Si l'utilisateur est un utilisateur de groupe de travail,utilisez le nom de l'ordinateur local. Si la définition de référentiel ne contient qu'un seul format de chemin UNC,par exemple le nom de domaine complet, vous devez utiliser ce format dans la définition d'informationsd'identification.

Pour les référentiels de domaine AD, utilisez l'option Tester les informations d'identification pour vérifier le nomd'utilisateur et le mot de passe. L'utilisation d'informations d'identification incorrectes génère un événementindiquant le motif de l'échec de l'analyse. Pour plus de détails, affichez l'événement dans la page Liste desévénements opérationnels.

8 Analyse des données avec McAfee DLP DiscoverRéférentiels et informations d'identification pour les analyses


Référentiels Box

Lorsque vous définissez un référentiel Box, obtenez l'ID client et la clé secrète client à partir du site web Box.Utilisez le site web Box pour configurer l'application McAfee DLP Discover, l'option de gestion d'entreprise et lafonctionnalité utilisateur. Si vous n'utilisez pas de compte administrateur, contactez le support technique Boxpour plus d'informations sur la configuration de cette fonctionnalité.

Bases de données

Lorsque vous définissez une base de données, vous pouvez identifier le serveur de la base de données par nomd'hôte ou par adresse IP. Vous pouvez aussi spécifier le port et le nom de la base de données. Vous pouvezspécifier un certificat SSL particulier, tout certificat SSL ou aucun certificat. Les certificats SSL spécifiés dans lesdéfinitions de bases de données sont définis dans DLP Policy Manager (Gestionnaire de stratégies DLP) |Definitions(Définitions).

Utilisation de définitions et de classifications avec des analysesLes définitions et les classifications permettent de configurer des règles, des critères de classification et desanalyses. Tous les types d'analyse requièrent des définitions.

Il y a deux types de définitions utilisés pour McAfee DLP Discover.

• Les définitions utilisées dans les analyses permettent d'indiquer des planifications, des référentiels et desinformations d'identification pour les référentiels.

• Les définitions utilisées dans les classifications permettent d'indiquer les éléments pour lesquels rechercherdes correspondances lors de l'analyse des fichiers, comme les propriétés ou les données d'un fichier.

Tableau 8-3 Définitions disponibles par fonction

Définition Utilisé pour

Modèle avancé* Classifications

Dictionnaire*

Propriétés de documents

Type de fichier vrai*

Extension de fichier* Classifications et analyses

Informations sur le fichier

Informations d'identification Analyses

Planificateur

Certificat SSL

Box

Serveur de fichiers (CIFS)

Base de données

SharePoint

* Indique que des définitions prédéfinies (intégrées) sont disponibles

Les analyses de classification et de correction utilisent des classifications pour identifier les données et lesfichiers confidentiels.

Analyse des données avec McAfee DLP DiscoverUtilisation de définitions et de classifications avec des analyses 8


Les classifications utilisent une ou plusieurs définitions pour faire correspondre les propriétés des fichiers et ducontenu dans un fichier. Les analyses de classification permettent d'analyser les modèles de données desfichiers. Les résultats des analyses de classification permettent d'affiner vos classifications, qui peuvent ensuiteêtre utilisées dans des analyses de correction.

Les analyses de classification et de correction peuvent détecter les fichiers classés manuellement, mais McAfeeDLP Discover ne peut pas appliquer de classifications manuelles aux fichiers.

McAfee DLP Discover peut détecter et identifier des classifications manuelles ou automatiques sur des fichiersdéfinis par McAfee DLP Endpoint. Vous pouvez afficher les classifications automatiques dans les détails relatifsà l'incident ou dans l'onglet Inventaire des données.

McAfee DLP Discover n’utilise pas de documents enregistrés manuellement. Il utilise les documents enregistréscréés par les analyses d’enregistrement de McAfee DLP Discover (documents enregistrés automatiques)stockées sur les serveurs de base de données Redis de McAfee DLP Discover.

Utilisation de règles avec des analysesLes analyses de correction utilisent des règles pour détecter les fichiers confidentiels et prendre des mesures.

Les fichiers faisant l'objet d'une analyse de correction sont comparés à des règles de découverte actives. Si lefichier correspond au référentiel et aux classifications définis dans une règle, McAfee DLP Discover peutprendre des mesures adaptées. Les options disponibles sont les suivantes :

• Ne prendre aucune mesure

• Créer un incident

• Stocker le fichier d'origine comme preuve

• Copier le fichier

• Déplacer le fichier

• Appliquer une stratégie de gestion des droits au fichier

• (Analyses Box uniquement) Supprimer le partage anonyme pour le fichier

Le déplacement des fichiers et l'application de stratégies de gestion des droits ne sont pas pris en charge pourles listes SharePoint. Ces actions sont prises en charge pour les fichiers joints à des listes SharePoint ou stockésdans des bibliothèques de documents. Certains types de fichier utilisés pour la création de pages SharePoint(.aspx ou .js, par exemple) ne peuvent pas être déplacés ni supprimés.

Les analyses Box prennent en charge le déplacement de fichiers vers des partages CIFS uniquement. Lesanalyses de bases de données permettent uniquement la création d’un incident et le stockage des donnéesoriginales en tant que preuves.

8 Analyse des données avec McAfee DLP DiscoverUtilisation de règles avec des analyses


Configuration des stratégies pour les analysesAvant de configurer une analyse, créez des définitions, des classifications et des règles pour votre stratégieMcAfee DLP Discover.

Procédures• Création de définitions pour des analyses, page 157

Configurez les informations d'identification, les référentiels et les planificateurs utilisés pour lesanalyses.

• Création de règles pour les analyses de correction, page 162Utilisez des règles pour définir l'action à effectuer lorsqu'une analyse de correction détecte desfichiers qui correspondent à des classifications.

Création de définitions pour des analysesConfigurez les informations d'identification, les référentiels et les planificateurs utilisés pour les analyses.

Procédures• Création de définitions d'analyse, page 157

Toutes les analyses requièrent une définition pour spécifier le référentiel, les informationsd'identification et la planification.

• Création d'une définition d'informations d'identification, page 158Des informations d'identification sont nécessaires pour pouvoir lire et modifier des fichiers dans laplupart des référentiels. Si ces informations d'identification sont les mêmes pour plusieurs de vosréférentiels, vous pouvez utiliser la même définition d'informations d'identification pour cesréférentiels.

• Création d'une définition de référentiel CIFS ou SharePoint, page 159Configurer un référentiel CIFS ou SharePoint pour l'analyse.

• Création d'une définition de référentiel Box, page 160Configurez un référentiel Box pour l'analyse.

• Exportation ou importation de définitions de référentiel, page 161Si vous avez un grand nombre de référentiels, il peut être plus facile de les gérer comme un fichierXML plutôt que de les ajouter et les modifier un par un dans McAfee ePO.

• Création d'une définition de planificateur, page 161Le planificateur d'analyse permet de déterminer la période et la fréquence d'exécution d'uneanalyse.

Création de définitions d'analyseToutes les analyses requièrent une définition pour spécifier le référentiel, les informations d'identification et laplanification.

Avant de commencerVous devez disposer du nom utilisateur, du mot de passe et du chemin d'accès pour le référentiel.

Procédure

1 Dans McAfee ePO, sélectionnez Menu | Protection des données | DLP Discover.


Analyse des données avec McAfee DLP DiscoverConfiguration des stratégies pour les analyses 8


3 Créez une définition d'informations d'identification.

Pour les analyses de correction, les informations d'identification doivent disposer d'autorisations en lectureet écriture. Pour les analyses de correction qui appliquent une stratégie de gestion des droits ou quidéplacent des fichiers, des autorisations complètes sont requises.

a Dans le volet gauche, sélectionnez Autres | Informations d'identification.

b Sélectionnez Actions | Nouveau et remplacez le nom par défaut par un nom unique pour la définition.

c Renseignez les paramètres des informations d'identification. Cliquez sur Enregistrer.

4 Créez une définition de référentiel.

a Dans le volet gauche, sous Référentiels, sélectionnez le type du référentiel à créer.

b Sélectionnez Actions | Nouveau, entrez un nom de référentiel unique dans le champ Nom et renseignez lereste des informations de type et de définitions.

Les paramètres Exclure sont facultatifs. Il est obligatoire d'indiquer au moins une définition d'inclusion.

5 Créez une définition de planificateur.

a Dans le volet gauche, sélectionnez Autres | Planificateur DLP.

b Sélectionnez Actions | Nouveau et renseignez les paramètres du planificateur. Cliquez sur Enregistrer.

Les options disponibles pour le paramètre dépendent du type de planification que vous avez sélectionné.

6 Créez une définition d'informations sur le fichier.

Les définitions d'informations sur le fichier permettent de définir des filtres d'analyse. Ces filtres vouspermettent d'analyser des référentiels de façon plus précise en définissant les fichiers à inclure et les fichiersà exclure. Les définitions d'informations sur le fichier sont facultatives mais recommandées.

a Dans le volet gauche, sélectionnez Données | Informations sur le fichier.

b Sélectionnez Actions | Nouveau et remplacez le nom par défaut par un nom unique pour la définition.

c Sélectionnez les propriétés à utiliser comme filtres et indiquez les informations de comparaison et devaleur. Cliquez sur Enregistrer.

Création d'une définition d'informations d'identificationDes informations d'identification sont nécessaires pour pouvoir lire et modifier des fichiers dans la plupart desréférentiels. Si ces informations d'identification sont les mêmes pour plusieurs de vos référentiels, vous pouvezutiliser la même définition d'informations d'identification pour ces référentiels.

Procédure



3 Dans le volet gauche, cliquez sur Informations d'identification.


8 Analyse des données avec McAfee DLP DiscoverConfiguration des stratégies pour les analyses


5 Attribuez un nom unique à la définition. Les champs Description et Nom de domaine sont facultatifs. Tous lesautres champs sont obligatoires.

Si l'utilisateur est un utilisateur de domaine, indiquez le suffixe du domaine dans le champ Nom de domaine.Si l'utilisateur est un utilisateur de groupe de travail, utilisez le nom de l'ordinateur local.

Pour analyser toutes les collections de sites d'une application web SharePoint, utilisez des informationsd'identification disposant d'un accès complet en lecture sur l'ensemble de l'application web.

6 Pour les référentiels de domaine Windows, cliquez sur Tester les informations d'identification pour vérifier lenom d'utilisateur et le mot de passe auprès de McAfee ePO.

Les informations d'identification ne sont pas testées auprès du serveur Discover.

Il n'existe aucune vérification pour les informations d'identification qui n'appartiennent pas à un domaineWindows. En cas d'échec de l'analyse en raison d'informations d'identification incorrectes, un événement estcréé sur la page Liste des événements opérationnels.

Création d'une définition de référentiel CIFS ou SharePointConfigurer un référentiel CIFS ou SharePoint pour l'analyse.

Lorsque vous définissez des paramètres d'inclusion ou d'exclusion pour des dossiers, vous pouvez utiliser desexpressions régulières reposant sur la syntaxe Perl au lieu d'indiquer un chemin d'accès complet spécifique.

• Pour les entrées d'inclusion, indiquez le préfixe du chemin d'accès, tel que \\server ou \\server\share\folder.L'expression régulière doit correspondre exactement au suffixe du chemin d'accès.

• Pour les entrées d'exclusion, les dossiers correspondant au chemin d'accès seront entièrement ignorés lorsde l'analyse.

Procédure



3 Dans le volet gauche, sous Référentiels, sélectionnez le type de référentiel.


5 Entrez un nom, sélectionnez les informations d'identification à utiliser et configurez au moins une définitiond'inclusion (Inclure).

6 (Référentiels CIFS) Configurez au moins une entrée d'inclusion (Inclure).

a Sélectionnez le type de préfixe.

b Dans le champ Préfixe, entrez le chemin d'accès UNC, une adresse IP ou un intervalle d'adresses IP.

Le chemin d'accès UNC peut être le nom de domaine complet (FQDN) (\\monserveur1.mondomaine.com)ou le nom de l'ordinateur local (\\monserveur1). Vous pouvez ajouter les deux versions à une mêmedéfinition. Si plusieurs valeurs sont entrées, elles sont analysées avec l'opérateur logique OU.

c (Facultatif) Saisissez une expression régulière pour les dossiers à analyser pour la détection decorrespondances.

d Cliquez sur Ajouter.



7 (Référentiels SharePoint) Configurez au moins une entrée d'inclusion (Inclure).

a Sélectionnez le type d'inclusion.

b Configurez une ou plusieurs URL.

L'option Serveur SharePoint n'utilise qu'une seule URL. Le nom d'hôte est le nom NetBIOS du serveur saufsi le mappage des accès de substitution (AAM) est configuré sur le serveur. Pour plus d'informations surl'AAM, voir la documentation Microsoft relative à SharePoint.

• Pour définir un site : insérez une barre oblique à la fin de l'URL (http://SPServer/sites/DLP/).

• Pour définir un sous-site : utilisez l'URL du sous-site, en insérant une barre oblique à la fin (http://SPServer/sites/DLP/Discover/).

• Pour définir une application web : indiquez uniquement le nom et le port de l'application web dansl'URL (http://SPServer:port).

• Pour définir une liste ou une bibliothèque de documents : utilisez l'URL complète jusqu'à la vuepar défaut de la liste (http://SPServer/sites/DLP/Share%20Documents/Default.aspx).

Vous pouvez rechercher l'URL de la vue par défaut sur la page des paramètres de la liste ou de labibliothèque. Si vous ne disposez pas de privilèges suffisants pour l'afficher, contactez votreadministrateur SharePoint.

c Si vous avez configuré une URL de liste de sites, cliquez sur Ajouter.

8 (Facultatif) Configurez des paramètres d'exclusion (Exclure) pour indiquer les dossiers à exclure de l'analyse.


Création d'une définition de référentiel BoxConfigurez un référentiel Box pour l'analyse.

Procédure



3 Dans le volet gauche, sous Référentiels, sélectionnez Box.


5 Indiquez un nom et une description facultative.

6 Cliquez sur le lien vers le site web Box. Suivez les instructions sur le site web pour définir l'application Box etobtenir l'ID client et la clé secrète client.

• Lors de la définition de l'application, sélectionnez l'option de gestion d'entreprise.

• Pour l’URI de redirection, saisissez l’adresse exacte du serveur McAfee ePO.

En d’autres termes, si vous accédez à McAfee ePO en utilisant le nom d’hôte, vous devez utiliser le nomd’hôte pour l’URI de redirection ; vous ne pouvez pas utiliser une adresse IP. Toute non-concordance dansles adresses conduit à une erreur d’URI de redirection Box.

• Pour analyser d'autres comptes, contactez le support technique de Box afin d'activer les fonctionnalitésen tant qu'utilisateur.

7 Saisissez l'ID client et la clé secrète client, puis cliquez sur Obtenir le jeton.



8 Lorsque vous y êtes invité sur le site web Box, accordez l'accès au serveur Discover.

9 Indiquez si vous souhaitez analyser tous les comptes utilisateur ou des comptes utilisateur spécifiques.


Exportation ou importation de définitions de référentielSi vous avez un grand nombre de référentiels, il peut être plus facile de les gérer comme un fichier XML plutôtque de les ajouter et les modifier un par un dans McAfee ePO.

Utilisez la fonction d'exportation pour enregistrer les définitions de référentiel existantes et les informationsd'identification associées dans un fichier XML. Utilisez ce fichier comme base de référence pour ajouter etconfigurer vos référentiels au format XML.

Lors de l'importation d'un fichier XML, les définitions et les informations d'identification du référentiel sontvalidées et ajoutées à la liste des entrées. Si une définition de référentiel existe dans McAfee ePO et le fichierXML, la définition est remplacée par les informations contenues dans le fichier XML. Les définitions sontidentifiés de manière unique par l'identifiant dans le fichier XML.

Procédure



3 Sélectionnez Serveur de fichiers (CIFS) ou SharePoint.

4 Effectuez l'une des tâches suivantes :

• Pour exporter des référentiels, procédez comme suit :

1 Sélectionnez Actions | Exporter.

2 Indiquez si vous souhaitez ouvrir ou enregistrer le fichier, puis cliquez sur OK.

• Pour importer des référentiels, procédez comme suit :

1 Sélectionnez Actions | Importer.

2 Recherchez le fichier, puis cliquez sur OK.

Création d'une définition de planificateurLe planificateur d'analyse permet de déterminer la période et la fréquence d'exécution d'une analyse.

Les types de planification proposés sont exécutés à la fréquence suivante :

• Exécuter immédiatement • Hebdomadaire

• Une fois • Mensuelle

• Tous les jours

Procédure



3 Dans le volet gauche, cliquez sur Planificateur.




5 Entrez un nom unique et sélectionnez le type de planification.

Lorsque vous sélectionnez le type de planification, l'affichage change et fournit les champs nécessaires pource type particulier.

6 Définissez les options requises, puis cliquez sur Enregistrer.

Création de règles pour les analyses de correctionUtilisez des règles pour définir l'action à effectuer lorsqu'une analyse de correction détecte des fichiers quicorrespondent à des classifications.

Procédure



3 Si aucun jeu de règles n'est configuré, créez-en un.

a Sélectionnez Actions | Nouveau jeu de règles.

b Entrez le nom et éventuellement une remarque, puis cliquez sur OK.

4 Cliquez sur le nom du jeu de règles puis, le cas échéant, cliquez sur l'onglet Découverte.

5 Sélectionnez Actions | Nouvelle règle de découverte réseau puis sélectionnez le type de règle.

6 Sous l'onglet Condition, configurez des classifications et des référentiels.

• Créer un élément : cliquez sur ...

• Ajouter des critères supplémentaires : cliquez sur +.

• Supprimer des critères : cliquez sur -.

7 (Facultatif) Sous l'onglet Exceptions, précisez les éléments à exclure du déclenchement de la règle.

8 Sous l'onglet Réaction, configurez la réaction.

Les réactions disponibles dépendent du type de référentiel.




Configuration d'une analyseLa quantité et le type de données collectées par McAfee DLP Discover dépend du type d'analyse que vousconfigurez.

Procédures• Configuration d'une analyse d'inventaire, page 163

Les analyses d'inventaire collectent uniquement des métadonnées. Il s'agit des analyses les plusrapides et elles constituent donc le point de départ habituel pour déterminer quelles analyses sontnécessaires.

• Configuration d'une analyse de classification, page 164Les analyses de classification collectent des données de fichiers en fonction de classificationsdéfinies. Elles permettent d'analyser des systèmes de fichiers afin d'en protéger les donnéesconfidentielles à l'aide d'une analyse de correction.

• Configuration d'une analyse de correction, page 165Les analyses de correction appliquent des règles pour protéger le contenu confidentiel duréférentiel analysé.

Configuration d'une analyse d'inventaireLes analyses d'inventaire collectent uniquement des métadonnées. Il s'agit des analyses les plus rapides et ellesconstituent donc le point de départ habituel pour déterminer quelles analyses sont nécessaires.

Les analyses d'inventaire permettent de planifier votre stratégie de protection des données. Vous pouvez créerdes analyses ou modifier et réutiliser des analyses existantes selon vos besoins.

Procédure


2 Dans l'onglet Serveurs de découverte, sélectionnez Actions | Détecter les serveurs pour actualiser la liste.

Si cette liste est trop longue, vous pouvez définir un filtre pour la réduire.

3 Dans l'onglet Opérations d'analyse, sélectionnez Actions | Nouvelle analyse et sélectionnez le type duréférentiel.

4 Entrez un nom unique et sélectionnez Type d'analyse : Inventaire. Sélectionnez une plate-forme de serveur etune planification.

Les serveurs de découverte doivent être prédéfinis. Vous pouvez sélectionner un calendrier défini ou en créerun.

5 (Facultatif) Définissez des valeurs pour Liste des fichiers ou Traitement des erreurs à la place des valeurs pardéfaut.

6 Sélectionnez les référentiels à analyser.

a Dans l'onglet Référentiels, cliquez sur Actions | Sélectionner les référentiels.

b Si nécessaire, indiquez les informations d'identification de chaque référentiel de la liste déroulante.

Les informations d'identification sont définies par défaut sur les valeurs configurées pour ce référentiel.

Si nécessaire, vous pouvez créer des définitions de référentiel et d'informations d'identification dans lafenêtre de sélection.

Analyse des données avec McAfee DLP DiscoverConfiguration d'une analyse 8


7 (Facultatif) Dans l'onglet Filtres, sélectionnez Actions | Sélectionner les filtres pour indiquer les fichiers àinclure ou exclure.

Par défaut, tous les fichiers sont analysés.



Configuration d'une analyse de classificationLes analyses de classification collectent des données de fichiers en fonction de classifications définies. Ellespermettent d'analyser des systèmes de fichiers afin d'en protéger les données confidentielles à l'aide d'uneanalyse de correction.

Avant de commencer• Exécutez une analyse d'inventaire. Définissez des classifications à l'aide des données

d'inventaire.

• Créez les définitions de classification nécessaires avant de configurer une analyse declassification. La configuration des analyses ne comporte aucune option permettant de créerune classification.

Procédure



Si cette liste est trop longue, vous pouvez définir un filtre pour la réduire.


4 Entrez un nom unique et sélectionnez Type d'analyse : Classification. Sélectionnez une plate-forme de serveuret une planification.

Les serveurs de découverte doivent être prédéfinis. Vous pouvez sélectionner un calendrier défini ou en créerun.

5 (Facultatif) Définissez des valeurs pour Limitation, Liste des fichiers ou Traitement des erreurs à la place desvaleurs par défaut.








8 Analyse des données avec McAfee DLP DiscoverConfiguration d'une analyse


8 Sélectionnez les classifications pour l'analyse.

a Dans l'onglet Classifications, cliquez sur Actions | Sélectionner les classifications

b Sélectionnez une ou plusieurs classifications dans la liste.



Configuration d'une analyse de correctionLes analyses de correction appliquent des règles pour protéger le contenu confidentiel du référentiel analysé.

Avant de commencer• Si l'analyse est configurée pour appliquer des stratégies de gestion des droits ou déplacer des

fichiers, les informations d'identification du référentiel doivent disposer d'une autorisationd'accès total.

• Créez les classifications et les règles pour l'analyse.

Procédure




4 Entrez un nom unique et sélectionnez Type d'analyse : correction. Sélectionnez une plate-forme de serveur etune planification.

Les serveurs de découverte doivent être prédéfinis. Vous pouvez sélectionner une planification définie ou encréer une.

5 (Facultatif) Définissez des valeurs pour Limitation, Liste des fichiers, Gestion des incidents ou Traitement deserreurs à la place des valeurs par défaut.






7 (Facultatif) Dans l'onglet Filtres, sélectionnez Actions | Sélectionner les filtres pour indiquer les fichiers àinclure ou à exclure.


8 Sélectionnez les règles pour l'analyse.

a Dans l'onglet Règles, cliquez sur Actions | Sélectionner les jeux de règles.

b Sélectionnez un ou plusieurs jeux de règles dans la liste.

Analyse des données avec McAfee DLP DiscoverConfiguration d'une analyse 8




Configurer une analyse d’enregistrementLes analyses d’enregistrement extraient des signatures de fichiers.

Avant de commencer• Les serveurs de découverte doivent être prédéfinis. Déployez le logiciel McAfee DLP Discover sur

les serveurs réseau et vérifiez l’installation.

• Créez une ou plusieurs classifications avec critères d'empreintes, sur la base du référentiel àanalyser.

Procédure



Si cette liste est trop longue, définissez un filtre pour la réduire.


Vous pouvez effectuer des analyses d'enregistrement sur les référentiels Box, CIFS ou SharePointuniquement.

4 Entrez un nom unique et sélectionnez Type d'analyse : enregistrement de document. Sélectionnez uneplate-forme de serveur et une planification.

Vous pouvez sélectionner une planification définie ou en créer une.

5 (Facultatif) Définissez des valeurs pour Limitation, Liste des fichiers, Signatures ou Traitement des erreurs à laplace des valeurs par défaut.








8 Sélectionnez les critères d'analyse.

a Dans l'onglet Fingerprint Criteria (Critères d'empreintes), cliquez sur Actions (Actions) | SelectClassifications (Sélectionner les classifications).

b Sélectionnez les classifications dans la liste, puis cliquez sur OK.

8 Analyse des données avec McAfee DLP DiscoverConfiguration d'une analyse




Exécution d'opérations d'analyseGérez et affichez les informations relatives aux analyses configurées.

L'application de la stratégie déclenche toutes les analyses programmées pour s'exécuter immédiatement. Lesanalyses en cours ne sont pas touchées.

Procédure


2 Cliquez sur l'onglet Opérations d'analyse.

L'onglet affiche les informations relatives aux analyses configurées (nom, type, état et vue d'ensemble desrésultats, par exemple).

3 Pour mettre à jour la configuration de toutes les analyses, cliquez sur Appliquer la stratégie.

4 Pour appliquer un filtre à la liste des analyses, sélectionnez-le dans la liste déroulante Filtre.

5 Pour activer ou désactiver une analyse, procédez comme suit :

a Activez la case à cocher correspondant aux analyses que vous souhaitez activer ou désactiver.

L'icône dans la colonne Etat indique si l'analyse est activée ou désactivée.

• Icône en bleu uni : activée

• Icône en bleu et blanc : désactivée

b Sélectionnez Actions | Changer l'état, puis sélectionnez Activé ou Désactivé.

c Cliquez sur Appliquer la stratégie.

6 Pour changer l'état d'exécution de l'analyse, cliquez sur les boutons de démarrage, de suspension ou d'arrêtdans la colonne Commandes.

La disponibilité de ces options dépend de l'état de l'analyse et du fait qu'elle soit en cours d'exécution ouinactive.

7 Pour cloner, supprimer ou modifier une analyse, procédez comme suit :

a Cochez la case correspondant à l'analyse.

b Sélectionnez Actions, puis Cloner les analyses, Supprimer l'analyse ou Modifier l'analyse.

Pour modifier le serveur Discover affecté à l'analyse, vous devez désactiver cette dernière. Vous nepouvez pas modifier le type d'une analyse. Pour changer le type d'une analyse, vous devez la cloner.

8 Pour actualiser l'onglet, sélectionnez Actions | Synchroniser des données.

Analyse des données avec McAfee DLP DiscoverExécution d'opérations d'analyse 8


Analyse des données analyséesVous pouvez analyser des informations collectées à partir de données analysées de plusieurs façons.

L'analyse d'inventaire de base (collecte de métadonnées) est incluse dans tous les types d'analyse. Les analysesde classification analysent également des données en fonction de classifications définies. L'extracteur de texteanalyse le contenu du fichier, en ajoutant des informations supplémentaires aux métadonnées stockées.

Utilisation d'OLAP dans McAfee DLP DiscoverMcAfee DLP Discover utilise le traitement analytique en ligne (OLAP, Online Analytical Processing), un modèle dedonnées qui permet un traitement rapide des métadonnées à partir de différents points de vue.

Utilisez les outils OLAP de McAfee DLP Discover pour visualiser les relations multidimensionnelles entre lesdonnées collectées lors d'analyses. Ces relations sont appelées hypercubes ou cubes OLAP.

Vous pouvez trier et organiser les résultats des analyses en fonction de conditions telles que la classification, letype de fichier, le référentiel et plus encore. En utilisant les modèles de données pour détecter d'éventuellesviolations, vous pouvez optimiser les analyses de classification et de correction de façon à identifier et àprotéger les données plus rapidement et plus efficacement.

Affichage des résultats d'analyseLes onglets Inventaire des données et Analyse des données dans le module DLP Discover affichent les résultatsd’analyse des analyses d’inventaire, de classification et de correction.

Ces onglets affichent les résultats recueillis depuis la dernière exécution de l’analyse.

Les résultats des analyses d’enregistrement peuvent être consultés dans le module Classification (Classification)dans l’onglet Register Documents (Enregistrer les documents) lorsque vous sélectionnez Type: AutomaticRegistration (Type : enregistrement automatique).

Onglet Analyse des données

L'onglet Analyse des données vous permet d'analyser les fichiers des analyses. L'onglet utilise un modèle dedonnées OLAP pour afficher jusqu'à trois catégories et mettre en évidence des modèles de donnéesmultidimensionnels. Vous pouvez utiliser ces modèles pour optimiser vos analyses de correction et declassification.

Onglet Inventaire des données

L'onglet Inventaire des données affiche l'inventaire des fichiers traités par les analyses pour lesquelles l'optionListe des fichiers est activée. Vous pouvez définir et utiliser des filtres pour ajuster les informations affichées, cequi pourrait révéler des modèles ou des violations possibles des stratégies.

Classification, File Type (Type de fichier) et Encryption type (Type de chiffrement) ne sont pas disponibles pour lesanalyses d’inventaire.

Etude des résultats de l'analyseUtilisez le modèle de données OLAP pour organiser et visualiser les relations entre des fichiers d'analyses.

Procédure


2 Cliquez sur l'onglet Analyse des données.

8 Analyse des données avec McAfee DLP DiscoverAnalyse des données analysées


3 Dans la liste déroulante Nom d'analyse, sélectionnez l'analyse à étudier.

4 Dans la liste déroulante Type analytique, sélectionnez Fichier ou Classification.

5 Dans la liste déroulante Afficher, sélectionnez le nombre d'entrées principales à afficher.

6 Utilisez les listes déroulantes de catégorie pour afficher les fichiers de trois catégories différentes aumaximum.

7 Utilisez les options Développer la table et Réduire la table pour développer ou réduire la quantitéd'informations affichées.

8 Pour afficher les résultats de l'inventaire des fichiers appartenant à une catégorie, cliquez sur le lienindiquant le nombre de fichiers entre parenthèses.

Ce lien n'est disponible que si vous avez sélectionné l'option Liste des fichiers lors de la configuration del'analyse. Le lien affiche la page Inventaire des données.

Affichage des résultats d'inventaireAffichez l'inventaire des fichiers pour tous les types d'analyse.

Procédure


2 Cliquez sur l'onglet Inventaire des données.


• Pour afficher les résultats d'une analyse particulière, sélectionnez l'analyse dans la liste déroulanteAnalyse.

• Pour filtrer les fichiers affichés, sélectionnez un filtre dans la liste déroulante Filtre.

Cliquez sur Modifier pour modifier et créer des filtres.

• Pour regrouper des fichiers sur la base d'une propriété donnée :

1 Dans la liste déroulante Grouper par, sélectionnez une catégorie.

Les propriétés disponibles s'affichent dans le volet gauche.

2 Sélectionnez la propriété pour regrouper les fichiers.

• Pour configurer les colonnes affichées :

1 Sélectionnez Actions | Choisir les colonnes.

2 Dans la liste Colonnes disponibles, cliquez sur une option pour la déplacer vers la zone Colonnessélectionnées.

3 Dans la zone Colonnes sélectionnées, organisez et supprimez des colonnes selon vos besoins.

• Pour supprimer une colonne, cliquez sur x.

• Pour déplacer une colonne, cliquez sur les boutons fléchés ou faites-la glisser.

4 Cliquez sur Mettre à jour l'affichage.

Analyse des données avec McAfee DLP DiscoverAnalyse des données analysées 8


8 Analyse des données avec McAfee DLP DiscoverAnalyse des données analysées


Surveillance et génération derapportsVous pouvez utiliser les composants d'extension McAfee DLP pour suivre etcontrôler les violations de stratégie (Gestionnaire d'incidents DLP) et pour effectuerun suivi des événements d'administration (Opérations DLP).

Chapitre 9 Incidents et événements opérationnelsChapitre 10 Collecte et gestion des donnéesChapitre 11 Journalisation et surveillance des appliances McAfee DLP


Surveillance et génération de rapports


9 Incidents et événements opérationnels

McAfee DLP offre différents outils pour afficher des incidents et des événements opérationnels.

• Incidents : la page Gestionnaire d'incidents DLP affiche les incidents générés par des règles.

• Evénements opérationnels : la page Opérations DLP affiche des erreurs et des informationsd'administration.

• Cas : la page Gestion des cas DLP contient les cas qui ont été créés pour grouper et gérer les incidents liés.

Lorsque plusieurs produits McAfee DLP sont installés, les consoles affichent les événements et les incidents detous les produits.

L'affichage pour Gestionnaire d'incidents DLP et Opérations DLP peut inclure des informations sur l'ordinateur etsur l'utilisateur connecté à l'origine de l'incident/événement, la version du client, le système d'exploitation etd'autres informations.

Vous pouvez définir des états et des définitions de résolution personnalisés. La définition est constituée d’unnom personnalisé et d’un code couleur, et elle peut prendre l’état activé ou désactivé. Avant de les utiliser, vousdevez ajouter et activer les définitions personnalisées dans Paramètres DLP, sur la page Gestionnaire d’incidents,Operations Center (Centre opérationnel) ou Gestion des cas.

Parties prenantes

Une partie prenante est toute personne intéressée par un incident, un événement ou un cas donné. Parexemple, les administrateurs DLP, les réviseurs de cas, les managers ou les utilisateurs ayant subi des incidents.McAfee DLP envoie automatiquement des e-mails aux parties prenantes lorsqu’un incident, un événement ouun cas est créé ou modifié. Il peut également ajouter automatiquement des parties prenantes à la liste, parexemple lorsqu’un réviseur est affecté à un cas. L'administrateur peut aussi ajouter manuellement des partiesprenantes à des incidents, des événements ou des cas spécifiques.

Les détails d’e-mails automatiques sont définis dans Paramètres DLP. Les options des pages Gestionnaired'incidents, Centre opérationnel et Gestion des cas déterminent si des e-mails sont envoyés automatiquement etqui est ajouté automatiquement à la liste des parties prenantes. L’administrateur peut ajouter manuellementdes parties prenantes à partir des modules Gestionnaire d'incidents DLP, Opérations DLP ou Gestion des cas DLP.

Sommaire Surveillance et rapports d'événements Gestionnaire d’incidents DLP/Opérations DLP Affichage des incidents Gestion des incidents Utilisation des cas Gérer les cas

9


Surveillance et rapports d'événementsMcAfee DLP sépare les événements en deux classes : les incidents (c'est-à-dire les violations de stratégies) et lesévénements d'administration. Ces événements sont affichés dans les deux consoles, Gestionnaired'incidents DLP et Opérations DLP.

Lorsque McAfee DLP détecte une violation de stratégie, il génère un événement qu'il envoie à l'analyseurd'événements McAfee ePO. Ces événements sont visualisés, filtrés et triés sur la console Gestionnaired'incidents DLP, ce qui permet aux administrateurs ou aux responsables de la sécurité de consulter cesévénements et de réagir dans les plus brefs délais. Le cas échéant, le contenu suspect est joint à l'événement entant que preuve.

McAfee DLP jouant un rôle majeur dans les mesures prises par une entreprise pour respecter ses obligationsréglementaires et la législation en matière de confidentialité, le Gestionnaire d'incidents DLP présente lesinformations relatives à la transmission des données confidentielles de la façon la plus souple et précisepossible. Les auditeurs, les directeurs, les responsables de la confidentialité et d'autres employés essentielspeuvent utiliser le Gestionnaire d'incidents DLP pour identifier les activités suspectes ou non autorisées, afind'agir conformément à la politique de confidentialité de l'entreprise et aux autres réglementations etlégislations en vigueur.

L'administrateur système ou le responsable de la sécurité dispose d'un suivi des événements d'administrationconcernant les agents et l'état de la distribution des stratégies.

Selon les produits McAfee DLP que vous utilisez, la console Opérations DLP peut afficher les erreurs, lesmodifications apportées aux stratégies, les contrôles prioritaires sur l'agent et d'autres événementsd'administration.

Vous pouvez configurer l'envoi d'une notification par e-mail à des adresses spécifiées en cas de mise à jourd'incidents, de cas et d'événements opérationnels.

Gestionnaire d’incidents DLP/Opérations DLPLe module Gestionnaire d'incidents DLP de McAfee ePO permet d'afficher les événements de sécurité généréspar des violations de stratégie. Les opérations DLP permettent d’afficher des informations administratives, parexemple des informations sur le déploiement de clients.

Le Gestionnaire d’incidents DLP contient quatre pages d’onglets. Sur chaque page, la liste déroulante Présentdétermine l’ensemble de données affiché : Données en utilisation/mouvement, Données stockées passivement(Endpoint) ou Données stockées passivement (Réseau).

• Analyse : affiche six graphiques récapitulant la liste des incidents. Chaque graphique dispose d’un filtre pourajuster l’affichage. Les graphiques affichent :

• 10 premiers jeux de règles

• Incidents par type

• 10 premiers utilisateurs présentant des violations

• Nombre d’incidents par jour

• 10 premières destinations

• 10 premières classifications

• Liste des incidents : liste en cours des événements de violation de stratégie.

9 Incidents et événements opérationnelsSurveillance et rapports d'événements


• Tâches relatives aux incidents : liste des actions que vous pouvez effectuer sur la liste ou sur des partiessélectionnées de la liste. Ces tâches comprennent l'affectation de réviseurs à des incidents, la configurationde notifications par e-mail automatiques et la purge de la totalité ou d'une partie de la liste.

• Historique des incidents : liste contenant l’historique de tous les incidents. La purge de la liste des incidentsn'a aucun effet sur l'historique.

Opérations DLP contient quatre onglets :

• Liste d'événements opérationnels : la liste actuelle des événements administratifs.

• Tâches relatives aux événements opérationnels : la liste des actions que vous pouvez effectuer sur la liste ousur des parties sélectionnées de la liste, similaire aux tâches relatives aux incidents.

• Historique des événements opérationnels : liste contenant l’historique de tous les événements.

• Informations utilisateur : affiche les données du tableau des informations d'utilisateur.

Des informations détaillées peuvent être affichées en sélectionnant un incident ou un événement spécifique.

Informations utilisateur

La page Informations utilisateur affiche les données du tableau des informations relatives aux utilisateurs. Letableau est renseigné automatiquement à partir des informations d'utilisateur des incidents et des événementsopérationnels. Vous pouvez ajouter des informations plus détaillées via l'importation à partir d'un fichier CSV.

Les informations généralement affichées incluent le nom principal de l’utilisateur (nomutilisateur@xyz), le nomde connexion de l’utilisateur, l’unité opérationnelle de l’utilisateur, le prénom, le nom de famille, l’adresse demessagerie principale de l’utilisateur, le responsable de l’utilisateur, le département et l’unité d’exploitation. Laliste complète des champs disponibles peut être visualisée à partir de la commande Modifier pour l'optionVisualiser.

Fonctionnement du gestionnaire d'incidentsL'onglet Liste des incidents du Gestionnaire d'incidents DLP contient toutes les fonctionnalités nécessaires à larévision des incidents de violation de stratégie. Vous pouvez afficher les détails d'un événement donné encliquant dessus. Vous pouvez créer et enregistrer des filtres pour modifier l'affichage, ou utiliser des filtresprédéfinis dans le volet gauche. Vous pouvez aussi modifier l'affichage en sélectionnant et en organisant descolonnes. Les icônes de couleur et les évaluations numériques de gravité permettent de passer en revue lesévénements de façon simple et rapide.

Pour afficher le Nom principal de l’utilisateur et le Nom de connexion de l’utilisateur dans les incidents de l’applianceMcAfee DLP, ajoutez un serveur LDAP à la stratégie Gestion des appliances DLP (catégorie Utilisateurs et groupes).Vous devez le faire même si vos règles de protection de la messagerie n'utilisent pas LDAP.

L’onglet Liste des incidents s’appuie sur la fonctionnalité Requêtes et rapports de McAfee ePO pour créer desrapports d’appliance McAfee DLP Endpoint et McAfee DLP, et pour afficher des données sur les tableaux debord McAfee ePO.

Vous pouvez utiliser les options suivantes sur les événements :

• Gestion des cas : permet de créer des cas et d'ajouter les incidents sélectionnés à un cas.

• Commentaires : permet d'ajouter des commentaires à des incidents sélectionnés.

• Envoyer les événements par e-mail : permet d'envoyer les événements sélectionnés.

• Exporter les paramètres de l'équipement : permet d'exporter les paramètres de l'équipement vers unfichier CSV (liste des données en utilisation/mouvement uniquement).

• Etiquettes : permet de définir une étiquette pour filtrer par étiquette.

Incidents et événements opérationnelsGestionnaire d’incidents DLP/Opérations DLP 9


• Rédaction de version : permet de supprimer la rédaction pour afficher les champs protégés (requiert desautorisations adaptées).

• Définir les propriétés : permet de modifier la gravité, l'état ou la résolution ; permet d'affecter unutilisateur ou un groupe pour la révision des incidents.

La page Opérations DLP fonctionne de la même façon que les événements d'administration. Les événementscontiennent des informations telles que la raison pour laquelle l'événement a été généré et le produit McAfeeDLP qui a signalé l'événement. Ils peuvent également inclure des informations sur l'utilisateur en lien avecl'événement, comme son nom de connexion, son nom principal (nomutilisateur@xyz), son supérieur, sonservice ou sa division. Les événements opérationnels peuvent être filtrés en fonction de chacune de cesinformations, ou par d'autres paramètres, tels que la gravité, l'état, la version client, le nom de stratégie et bienplus encore.

Tâches relatives aux incidents/Tâches d'événements opérationnels

Les onglets Tâches relatives aux incidents et Tâches d'événements opérationnels permettent de définir des critèrespour les tâches planifiées. Les tâches configurées sur les pages utilisent la fonctionnalité Tâches serveur deMcAfee ePO pour planifier des tâches.

Les deux onglets de tâches sont organisés par type de tâche (volet gauche). L'onglet Tâches relatives aux incidentsest également organisé par type d'incident. Les données apparaissent donc sous forme de matrice 4 x 3 et lesinformations affichées dépendent des deux paramètres que vous sélectionnez.

Données enutilisation/mouvement

Données stockéespassivement(Endpoint)

Données stockéespassivement(réseau)

Données enutilisation/mouvement(historique)

Définition du réviseur X X X

Notification par e-mailautomatique X X X

Purge desévénements X X X X

Scénario d'utilisation - Définition des propriétés

Les propriétés sont des données ajoutées à un incident qui nécessite un suivi. Vous pouvez ajouter lespropriétés du volet des détails de l'incident ou en sélectionnant Actions | Définir les propriétés. Les propriétéssont les suivantes :

• Gravité • Révision du groupe

• Etat • Révision de l'utilisateur

• Résolution

Le réviseur peut être n'importe quel utilisateur McAfee ePO. La gravité est modifiable, car si l'administrateurétablit que l'incident est un faux positif, le niveau de gravité d'origine n'est plus pertinent.

Scénario d'utilisation - Modification de l'affichage

Outre l'utilisation des filtres permettant de modifier l'affichage, vous pouvez aussi personnaliser les champs etl'ordre de l'affichage. Les affichages personnalisés peuvent être enregistrés et réutilisés.

La création d'un filtre s'articule autour des tâches suivantes :

9 Incidents et événements opérationnelsGestionnaire d’incidents DLP/Opérations DLP


1 Pour ouvrir la fenêtre d'édition de la vue, cliquez sur Actions | Afficher | Choisir les colonnes.

2 Pour déplacer des colonnes à gauche ou à droite, utilisez l'icône x pour supprimer des colonnes, et lesicônes de flèches.

3 Pour appliquer l'affichage personnalisé, cliquez sur Mettre à jour l'affichage.

4 Pour enregistrer pour une utilisation ultérieure, cliquez sur Actions | Afficher | Enregistrer l'affichage.

Une fois l'affichage enregistré, vous pouvez aussi enregistrer les filtres personnalisés et temporels. Lesaffichages enregistrés sont disponibles dans la liste déroulante en haut de la page.

Traitement des incidentsQuand McAfee DLP reçoit des données correspondant à des paramètres définis dans une règle, une violationest déclenchée et McAfee DLP génère un incident.

Le Gestionnaire d'incidents DLP de McAfee ePO permet d'afficher, de trier, de grouper et de filtrer les incidentsafin de repérer les violations importantes. Vous pouvez afficher les détails des incidents ou supprimer lesincidents inutiles.

Incidents de branchement d'équipement

Deux options du menu Actions de la liste des incidents vous permettent de travailler avec les incidents debranchement d'équipement. Créer un modèle d'équipement crée une définition d'équipements à partir d'unincident de branchement d'équipement. Cette option est disponible uniquement si un seul incident debranchement d'équipement est sélectionné. Si vous sélectionnez plus d'un incident, ou un incident qui n'est paslié à un branchement d'équipement, un message pop-up vous informera de l'erreur. Exporter les informationsd'équipement vers un fichier CSV enregistre les informations d'un ou plusieurs incidents de branchementd'équipement. Vous pouvez importer les informations d'équipement enregistrées à partir de la pageGestionnaire de stratégies DLP | Définitions | Modèles d'équipement.

Affichage des incidentsLa console Gestionnaire d'incidents DLP affiche tous les incidents signalés par les applications McAfee DLP.Vous pouvez modifier l'affichage des incidents afin de repérer plus facilement les violations importantes.

Le champ Présent du Gestionnaire d'incidents DLP permet d'afficher les incidents en fonction de l'applicationqui les a générés :

• Données en utilisation/mouvement

• McAfee DLP Endpoint • McAfee DLP Monitor

• Device Control • McAfee DLP Prevent for Mobile Email


• Données stockées passivement (terminal) - Découverte McAfee DLP Endpoint

• Données stockées passivement (réseau) - McAfee DLP Discover

Quand McAfee DLP traite un objet (un e-mail par exemple) qui déclenche plusieurs règles, la consoleGestionnaire d'incidents DLP rassemble les différentes violations et les affiche en tant qu'incident unique,plutôt que sous forme d'incidents distincts.

Incidents et événements opérationnelsAffichage des incidents 9


Procédures• Tri et filtrage des incidents, page 178

Organisez l'affichage des incidents sur la base d'attributs tels que la date et l'heure, l'emplacement,l'utilisateur ou la gravité.

• Configuration de l'affichage des colonnes, page 178Les options d'affichage permettent d'organiser le type et l'ordre des colonnes disponibles dans legestionnaire d'incidents.

• Configuration de filtres d'incidents, page 179Les filtres permettent d'afficher les incidents qui correspondent à des critères spécifiés.

• Affichage des détails relatifs à un incident, page 180Affichez les informations relatives à un incident.

Tri et filtrage des incidentsOrganisez l'affichage des incidents sur la base d'attributs tels que la date et l'heure, l'emplacement, l'utilisateurou la gravité.

Procédure

1 Dans McAfee ePO, sélectionnez Gestionnaire d'incidents DLP.

2 Dans la liste déroulante Présent, sélectionnez l'option correspondant à votre produit.


• Pour effectuer un tri par colonne, cliquez sur un en-tête de colonne.

• Pour utiliser une vue personnalisée au lieu de colonnes, sélectionnez une vue personnalisée dans la listedéroulante Afficher.

• Pour filtrer par date et heure, sélectionnez un laps de temps dans la liste déroulante Date et heure.

• Pour appliquer un filtre personnalisé, sélectionnez-en un dans la liste déroulante Filtre.

• Pour regrouper par attribut :

1 Sélectionnez un attribut dans la liste déroulante Grouper par.

La liste des options disponibles s'affiche. La liste contient jusqu'à 250 options parmi les plusfréquemment utilisées.

2 Sélectionnez une option dans la liste. Les incidents correspondant à la sélection s'affichent.

ExempleLorsque vous utilisez des incidents McAfee DLP Endpoint, sélectionnez ID utilisateur pour afficher lesnoms des utilisateurs ayant déclenché des violations. Sélectionnez le nom d'un utilisateur pourafficher tous les incidents correspondant à cet utilisateur.

Configuration de l'affichage des colonnesLes options d'affichage permettent d'organiser le type et l'ordre des colonnes disponibles dans le gestionnaired'incidents.

9 Incidents et événements opérationnelsAffichage des incidents


Procédure



3 Dans la liste déroulante Afficher, sélectionnez Par défaut et cliquez sur Modifier.

4 Configurez les colonnes.

a Dans la liste Colonnes disponibles, cliquez sur une option pour la déplacer vers la zone Colonnessélectionnées.

b Dans la zone Colonnes sélectionnées, organisez et supprimez des colonnes selon vos besoins.

• Pour supprimer une colonne, cliquez sur x.

• Pour déplacer une colonne, cliquez sur les boutons fléchés ou faites-la glisser.

c Cliquez sur Mettre à jour l'affichage.

5 Configurez les paramètres d'affichage.

a En regard de la liste déroulante Afficher, cliquez sur Enregistrer.

b Sélectionnez l'une des options suivantes :

• Enregistrer comme nouvel affichage : attribuez un nom à l'affichage.

• Remplacer un affichage existant : sélectionnez l'affichage à enregistrer.

c Indiquez qui peut utiliser l'affichage.

• Public : tous les utilisateurs peuvent utiliser l'affichage.

• Privé : seul l'utilisateur qui a créé l'affichage peut l'utiliser.

d Indiquez si vous souhaitez appliquer les filtres ou les groupements actuels à l'affichage.

e Cliquez sur OK.

Vous pouvez également gérer les affichages dans le gestionnaire d'incidents en sélectionnant Actions | Afficher.

Configuration de filtres d'incidentsLes filtres permettent d'afficher les incidents qui correspondent à des critères spécifiés.

Exemple McAfee DLP Endpoint : vous soupçonnez un utilisateur particulier d'avoir envoyé du contenu comportantdes données confidentielles vers un intervalle d'adresses IP externe à la société. Vous pouvez créer un filtrepour afficher les incidents qui correspondent au nom de cet utilisateur et à cet intervalle d'adresses IP.

Procédure



3 Dans la liste déroulante Filtre, sélectionnez (aucun filtre personnalisé) et cliquez sur Modifier.

Incidents et événements opérationnelsAffichage des incidents 9


4 Configurez les paramètres de filtrage.

a Dans la liste Propriétés disponibles, sélectionnez une propriété.

b Saisissez la valeur de la propriété.

Pour ajouter d'autres valeurs à la même propriété, cliquez sur +.

c Sélectionnez d'autres propriétés selon vos besoins.

Pour supprimer une propriété, cliquez sur <.

d Cliquez sur Mettre à jour le filtre.

5 Configurez les paramètres de filtrage.

a En regard de la liste déroulante Filtre, cliquez sur Enregistrer.

b Sélectionnez l'une des options suivantes :

• Enregistrer comme nouveau filtre : attribuez un nom au filtre.

• Remplacer un filtre existant : sélectionnez le filtre à enregistrer.

c Indiquez qui peut utiliser le filtre.

• Public : tous les utilisateurs peuvent utiliser le filtre.

• Privé : seul l'utilisateur qui a créé le filtre peut l'utiliser.

d Cliquez sur OK.

Vous pouvez également gérer les filtres dans le gestionnaire d'incidents en sélectionnant Actions | Filtre.

Affichage des détails relatifs à un incidentAffichez les informations relatives à un incident.

Procédure



3 Cliquez sur un ID d'incident.

Pour les incidents McAfee DLP Endpoint, McAfee DLP Monitor et McAfee DLP Prevent, la page affiche desdétails généraux et des informations sur la source. Selon le type d'incident, des détails relatifs à ladestination ou aux équipements apparaissent. Pour les incidents McAfee DLP Discover, la page affiche desdétails généraux sur l'incident.

4 Pour afficher des informations supplémentaires, effectuez l'une des tâches suivantes.

• Pour afficher des informations relatives à un utilisateur pour des incidents McAfee DLP Endpoint, cliquezsur son nom dans la zone Source.

• Pour afficher des fichiers de preuve :

1 Cliquez sur l'onglet Preuves.

2 Cliquez sur le nom d'un fichier pour l'ouvrir avec le programme adapté.

9 Incidents et événements opérationnelsAffichage des incidents


L'onglet Preuves affiche également la chaîne correspondante courte, qui contient jusqu'à trois surlignages decorrespondances sous forme de chaîne unique.

• Pour afficher les règles ayant déclenché l'incident, cliquez sur l'onglet Règles.

• Pour afficher des classifications, cliquez sur l'onglet Classifications.

L'onglet Classifications n'apparaît pas pour certains types d'incidents McAfee DLP Endpoint.

• Pour afficher l'historique des incidents, cliquez sur l'onglet Journal d'audit.

• Pour afficher les commentaires ajoutés à l'incident, cliquez sur l'onglet Commentaires.

• Pour envoyer les informations relatives aux incidents par e-mail, y compris les preuves déchiffrées et lesfichiers avec surlignage de correspondances, sélectionnez Actions | Envoyer les événements sélectionnés pare-mail.

• Pour revenir au gestionnaire d'incidents, cliquez sur OK.

Gestion des incidentsLe Gestionnaire d'incidents DLP permet de mettre à jour et de gérer des incidents.

Si vous avez configuré les notifications par e-mail, un e-mail est envoyé chaque fois qu'un incident est mis àjour.

Pour supprimer des incidents, configurez une tâche afin de purger des événements.

Procédures

• Mise à jour d'un incident unique, page 181Mettez à jour les informations relatives à un incident, telles que sa gravité, son état et son réviseur.

• Mise à jour de plusieurs incidents, page 182Mettez à jour plusieurs incidents avec les mêmes informations simultanément.

• Envoyer les événements sélectionnés par e-mail, page 183Les tableaux suivants donnent des détails concernant les options d'envoi par e-mail etd'exportation des événements sélectionnés.

• Gérer les étiquettes, page 183Une étiquette est un attribut personnalisé permettant d'identifier des incidents partageant descaractéristiques similaires.

Mise à jour d'un incident uniqueMettez à jour les informations relatives à un incident, telles que sa gravité, son état et son réviseur.

L'onglet Journal d'audit signale toutes les mises à jour et les modifications effectuées sur un incident.

Procédure



3 Cliquez sur un incident.

La fenêtre de détails de l'incident s'ouvre.

Incidents et événements opérationnelsGestion des incidents 9


4 Dans le volet Informations générales, effectuez l'une des tâches suivantes.

• Pour mettre à jour la gravité, l'état ou la résolution, procédez comme suit :

1 Sélectionnez une option dans la liste déroulante Gravité, Etat ou Résolution.


• Pour mettre à jour le réviseur, procédez comme suit :

1 En regard du champ Réviseur, cliquez sur ...

2 Sélectionnez le groupe ou l'utilisateur et cliquez sur OK.


• Pour ajouter un commentaire, procédez comme suit :

1 Sélectionnez Actions | Ajouter un commentaire.

2 Entrez un commentaire, puis cliquez sur OK.

Mise à jour de plusieurs incidentsMettez à jour plusieurs incidents avec les mêmes informations simultanément.

Exemple : vous avez appliqué un filtre pour afficher tous les incidents associés à une analyse ou un utilisateurparticulier et vous souhaitez définir la gravité de ces incidents sur Majeur.

Procédure



3 Cochez les cases correspondant aux incidents à mettre à jour.

Pour mettre à jour tous les incidents affichés avec le filtre actuel, cliquez sur Tout sélectionner dans cette page.


• Pour ajouter un commentaire, sélectionnez Actions | Ajouter un commentaire, puis saisissez uncommentaire et cliquez sur OK.

• Pour envoyer les incidents dans un e-mail, sélectionnez Actions | Envoyer les événements sélectionnés pare-mail, entrez les informations, puis cliquez sur OK.

Vous pouvez sélectionner un modèle ou créer un modèle en saisissant des informations et en cliquantsur Enregistrer.

• Pour exporter les incidents, sélectionnez Actions | Exporter les événements sélectionnés, entrez lesinformations, puis cliquez sur OK.

• Pour libérer la rédaction des incidents, sélectionnez Actions | Rédaction de version, entrez un nomd'utilisateur et un mot de passe, puis cliquez sur OK.

Vous devez disposer d'autorisations de rédaction de données pour pouvoir supprimer la rédaction.

• Pour modifier les propriétés, sélectionnez Actions | Définir les propriétés, modifiez les options, puis cliquezsur OK.

9 Incidents et événements opérationnelsGestion des incidents


Envoyer les événements sélectionnés par e-mailLes tableaux suivants donnent des détails concernant les options d'envoi par e-mail et d'exportation desévénements sélectionnés.

Tableau 9-1 Envoyer les événements sélectionnés par e-mail

Paramètre Valeur

Nombre maximal d'événements à envoyer par e-mail 100

Taille maximale de chaque événement illimitée

Taille maximale du fichier compressé (ZIP) 20 Mo

De limité à 100 caractères

A, Cc limités à 500 caractères

Objet limité à 150 caractères

Corps limité à 1 000 caractères

Tableau 9-2 Exporter les événements sélectionnés

Paramètre Valeur

Nombre maximal d'événements à exporter 1000

Taille maximale de chaque événement illimitée

Taille maximale du fichier compressé (ZIP) à exporter illimitée

Gérer les étiquettesUne étiquette est un attribut personnalisé permettant d'identifier des incidents partageant des caractéristiquessimilaires.

Vous pouvez affecter plusieurs étiquettes à un incident et réutiliser une étiquette pour plusieurs incidents.

Exemple : des incidents ont été générés pour plusieurs projets développés par votre entreprise. Vous pouvezcréer des étiquettes avec le nom de chaque projet et les affecter aux incidents correspondants.

Procédure



3 Cochez les cases correspondant à un ou plusieurs incidents.



• Pour ajouter des étiquettes, procédez comme suit :

1 Sélectionnez Actions | Etiquettes | Joindre.

2 Pour ajouter une nouvelle étiquette, entrez un nom et cliquez sur Ajouter.

3 Sélectionnez une ou plusieurs étiquettes.

4 Cliquez sur OK.

Incidents et événements opérationnelsGestion des incidents 9


• Pour retirer des étiquettes associées à un incident, procédez comme suit :

1 Sélectionnez Actions | Etiquettes | Détacher.

2 Sélectionnez les étiquettes à retirer de l'incident.

3 Cliquez sur OK.

• Pour supprimer des étiquettes, procédez comme suit :

1 Sélectionnez Actions | Etiquettes | Supprimer des étiquettes.

2 Sélectionnez les étiquettes à supprimer.

3 Cliquez sur OK.

Utilisation des casLes cas permettent aux administrateurs de collaborer à la résolution des incidents liés.

Dans de nombreuses situations, un seul incident n'est pas un événement isolé. Vous pouvez voir plusieursincidents dans le Gestionnaire d'incidents DLP qui partagent des propriétés communes ou qui sont liés les unsaux autres. Vous pouvez affecter ces incidents liés à un cas. Plusieurs administrateurs peuvent surveiller etgérer un cas en fonction de leurs rôles dans l'organisation.

Scénario McAfee DLP Endpoint : vous remarquez qu'un utilisateur particulier génère souvent plusieurs incidentsaprès les heures de bureau. Cela pourrait indiquer que l'utilisateur effectue une activité suspecte ou que lesystème de l'utilisateur a été compromis. Attribuez ces incidents à un cas afin de garder une trace du nombrede violations et du moment où elles se produisent.

Scénario McAfee DLP Discover : les incidents générés à partir d'une analyse de correction indiquent que denombreux fichiers confidentiels ont récemment été ajoutés à un référentiel accessible au public. Une autreanalyse de correction indique que ces fichiers ont également été ajoutés à un référentiel public différent.

Selon la nature des violations, vous pourriez avoir besoin d'alerter les équipes RH ou juridiques au sujet de cesincidents. Vous pouvez permettre aux membres de ces équipes de travailler sur le cas, comme ajouter descommentaires, modifier la priorité ou avertir les principales parties prenantes.

9 Incidents et événements opérationnelsUtilisation des cas


Gérer les casCréez et gérez des cas pour la résolution des incidents.

Procédures

• Créer des cas, page 185Créez un cas pour regrouper et examiner les incidents liés.

• Afficher les informations sur les cas, page 185Affichez les journaux d'audit, les commentaires de l'utilisateur et les incidents affectés à un cas.

• Affecter des incidents à un cas, page 186Ajouter des incidents liés à un nouveau cas ou à un cas existant.

• Déplacement ou suppression d'incidents d'un cas, page 186Si un incident ne correspond plus à un cas, vous pouvez le supprimer du cas ou le déplacer vers unautre cas.

• Mettre à jour les cas, page 187Mettez à jour les informations de cas comme le changement de propriétaire, l'envoi de notificationsou l'ajout de commentaires.

• Ajouter ou supprimer des étiquettes dans un cas, page 188Utiliser des étiquettes pour distinguer les cas grâce à un attribut personnalisé.

• Supprimer des cas, page 188Supprimez les cas qui ne sont plus nécessaires.

Créer des casCréez un cas pour regrouper et examiner les incidents liés.

Procédure

1 Dans McAfee ePO, sélectionnez Menu | Protection des données | Gestion des cas DLP.


3 Saisissez un nom de titre et configurez les options.

4 Cliquez sur OK.

Afficher les informations sur les casAffichez les journaux d'audit, les commentaires de l'utilisateur et les incidents affectés à un cas.

Procédure


2 Cliquez sur un ID de cas.


• Pour afficher les incidents affectés au cas, cliquez sur l'onglet Incidents.

• Pour afficher les commentaires de l'utilisateur, cliquez sur l'onglet Commentaires.

• Pour afficher les journaux d'audit, cliquez sur l'onglet Journal d'audit.

4 Cliquez sur OK.

Incidents et événements opérationnelsGérer les cas 9


Affecter des incidents à un casAjouter des incidents liés à un nouveau cas ou à un cas existant.

Procédure

1 Dans McAfee ePO, sélectionnez Menu | Protection des données | Gestionnaire d'incidents DLP.

2 Sélectionnez le type d'incident dans la liste déroulante Présent. Pour Données stockées passivement (réseau),cliquez sur le lien Analyse pour définir l'analyse si nécessaire.

3 Cochez les cases correspondant à un ou plusieurs incidents.

Utilisez des options telles que Filtre ou Grouper par pour afficher les incidents liés. Pour mettre à jour tous lesincidents affichés avec le filtre actuel, cliquez sur Tout sélectionner dans cette page.

4 Affecter des incidents à un cas.

• Pour ajouter à un nouveau cas, sélectionnez Actions | Gestion des cas | Ajouter à un nouveau cas, saisissezun nom de titre et configurez les options.

• Pour ajouter à un cas existant, sélectionnez Actions | Gestion des cas | Ajouter à un cas existant, filtrez parID de cas ou titre, puis sélectionnez le cas.

5 Cliquez sur OK.

Déplacement ou suppression d'incidents d'un casSi un incident ne correspond plus à un cas, vous pouvez le supprimer du cas ou le déplacer vers un autre cas.

Procédure


2 Cliquez sur l'ID d'un cas.


• Pour déplacer des incidents d'un cas à l'autre, procédez comme suit :

1 Cliquez sur l'onglet Incidents et sélectionnez les incidents.

2 Sélectionnez Actions | Déplacer, puis indiquez si vous souhaitez les déplacer vers un nouveau cas ouun cas existant.

3 Sélectionnez le cas existant ou configurez des options pour un nouveau cas, puis cliquez sur OK.

• Pour supprimer des incidents du cas, procédez comme suit :

1 Cliquez sur l'onglet Incidents et sélectionnez les incidents.

2 Sélectionnez Actions | Supprimer, puis cliquez sur Oui.

4 Cliquez sur OK.

Vous pouvez également déplacer ou supprimer un incident de l'onglet Incidents en cliquant sur Déplacer ouSupprimer dans la colonne Actions.

9 Incidents et événements opérationnelsGérer les cas


Mettre à jour les casMettez à jour les informations de cas comme le changement de propriétaire, l'envoi de notifications ou l'ajoutde commentaires.

Les notifications sont envoyées au créateur du cas, au propriétaire du cas et aux utilisateurs sélectionnésquand :

• un e-mail est ajouté ou modifié ;

• Des incidents sont ajoutés au cas ou supprimés du cas.

• le titre du cas est modifié ;

• les détails du propriétaire sont modifiés ;

• la priorité est modifiée ;

• la résolution est modifiée.

• Les commentaires sont ajoutés.

• Une pièce jointe est ajoutée.

Vous pouvez désactiver les notifications automatiques par e-mail au créateur et au propriétaire du cas dans Menu| Configuration | Paramètres serveur | Prévention contre la fuite de données.

Procédure


2 Cliquez sur l'ID d'un cas.


• Pour mettre à jour le nom du cas, saisissez un nouveau nom dans le champ Titre, puis cliquez surEnregistrer.

• Mise à jour du propriétaire :

1 En regard du champ Propriétaire, cliquez sur ...

2 Sélectionnez le groupe ou l'utilisateur.

3 Cliquez sur OK.


• Pour mettre à jour les options Priorité, Etat ou Résolution, utilisez les listes déroulantes pour sélectionnerles éléments, puis cliquez sur Enregistrer.

• Envoi de notifications par e-mail :

1 En regard du champ Envoyer des notifications à, cliquez sur ...

2 Sélectionnez les utilisateurs auxquels envoyer des notifications.

Si aucun contact n'est répertorié, vous devez spécifier un serveur de messagerie pour McAfee ePO etajouter des adresses électroniques pour les utilisateurs. Configurez le serveur de messagerie dansMenu | Configuration | Paramètres serveur | Serveur de messagerie. Configurez des utilisateurs dansMenu | Gestion des utilisateurs | Utilisateurs.


Incidents et événements opérationnelsGérer les cas 9


• Ajout d'un commentaire au cas :

1 Cliquez sur l'onglet Commentaires.

2 Saisissez le commentaire dans la zone de texte.

3 Cliquez sur Ajouter un commentaire.

4 Cliquez sur OK.

Ajouter ou supprimer des étiquettes dans un casUtiliser des étiquettes pour distinguer les cas grâce à un attribut personnalisé.

Procédure


2 Cochez les cases correspondant à un ou plusieurs cas.



• Pour ajouter des étiquettes aux cas sélectionnés :

1 Sélectionnez Actions | Gérer les étiquettes | Joindre.

2 Pour ajouter une nouvelle étiquette, entrez un nom et cliquez sur Ajouter.

3 Sélectionnez une ou plusieurs étiquettes.

4 Cliquez sur OK.

• Pour supprimer des étiquettes des cas sélectionnés :

1 Sélectionnez Actions | Gérer les étiquettes | Détacher.

2 Sélectionnez les étiquettes à supprimer.

3 Cliquez sur OK.

Supprimer des casSupprimez les cas qui ne sont plus nécessaires.

Procédure


2 Cochez les cases correspondant à un ou plusieurs cas.

Pour supprimer tous les cas affichés par le filtre actuel, cliquez sur Tout sélectionner dans cette page.

3 Sélectionnez Actions | Supprimer, puis cliquez sur Oui.

9 Incidents et événements opérationnelsGérer les cas


10 Collecte et gestion des données

La surveillance du système consiste à rassembler et à analyser des preuves et des événements, puis à produiredes rapports. Les données relatives aux incidents et aux événements contenues dans les tables DLP de la basede données McAfee ePO sont affichées dans les pages Gestionnaire d'incidents DLP et Opérations DLP, ou sontrassemblées dans des rapports et des tableaux de bord. Les informations d'utilisateur sont rassemblées dansl'onglet Informations utilisateur du module Opérations DLP et peuvent être exportées dans un fichier CSV.

L'analyse des preuves et des événements enregistrés permet aux administrateurs de déterminer si les règlessont trop restrictives, entraînant des retards inutiles, ou au contraire trop imprécises, favorisant la fuite desdonnées.

Sommaire Modification des tâches serveur Surveillance des résultats des tâches Création de rapports

Modification des tâches serveurMcAfee DLP utilise les Tâches serveur McAfee ePO afin d’exécuter des tâches pour les appliances McAfee DLPDiscover et McAfee DLP, et pour le Gestionnaire d’incidents DLP, les Opérations DLP et la Gestion des cas DLP.

Chaque tâche relative aux incidents ou aux événements opérationnels est prédéfinie dans la liste des tâchesserveur. Les seules options disponibles sont celles permettant de les activer ou de les désactiver, ou demodifier la planification. Les tâches serveur McAfee DLP disponibles pour les incidents et les événements sontles suivantes :

• Conversion des événements DLP 9.4 et versions ultérieures

• Migration d'incidents DLP de 9.3.x vers 9.4.1 et versions ultérieures

• Migration d'événements opérationnels DLP de 9.3.x vers 9.4.1 et versions ultérieures

• Conversion de stratégie DLP

• Purger l'historique des incidents et événements opérationnels DLP

• Purger les incidents et événements opérationnels DLP

• Envoyer un e-mail pour les incidents et les événements opérationnels DLP

• Définir le réviseur pour les incidents et les événements opérationnels DLP

Les tâches serveur McAfee DLP pour les appliances McAfee DLP Discover et McAfee DLP sont les suivantes :

• Détecter les serveurs de découverte

• Synchronisation LDAP : synchroniser les utilisateurs de LDAP

10


En outre, vous pouvez utiliser une tâche Données cumulées (serveur ePO local) pour cumuler les incidents,événements opérationnels ou données de découverte de terminaux de McAfee DLP à partir des serveursMcAfee ePO sélectionnés afin de produire un rapport unique.

Si vous effectuez une mise à niveau et que McAfee DLP Endpoint est installé dans McAfee ePO, les tâchessuivantes apparaissent également :

• Exécuteur de tâches relatives aux incidents DLP

• Tâche du rapporteur de propriétés MA DLP

• Tâche d'envoi de stratégie DLP en mode Push

Pour plus d’informations sur ces tâches, consultez le Guide produit McAfee Data Loss Prevention Endpoint 9.3.

Procédure

1 Dans McAfee ePO, sélectionnez Menu | Automatisation | Tâches serveur.

2 Sélectionnez la tâche à modifier.

Meilleure pratique : entrez DLP dans le champ Recherche rapide pour filtrer la liste.

3 Sélectionnez Actions | Modifier, puis cliquez sur Planification.

4 Modifiez la planification selon vos besoins, puis cliquez sur Enregistrer.

Procédures

• Création d'une tâche Purge des événements, page 190Les tâches de purge des incidents et des événements permettent d'effacer les données qui ne sontplus nécessaires de la base de données.

• Création d'une tâche Notification par e-mail automatique, page 191Vous pouvez définir l'envoi automatique de notifications par e-mail aux administrateurs, auxgestionnaires ou aux utilisateurs pour leur signaler des incidents ou des événements opérationnels.

• Création d'une nouvelle tâche de définition du réviseur, page 192Vous pouvez affecter des réviseurs à différents incidents et événements opérationnels afin dediviser la charge de travail dans les grandes organisations.

Création d'une tâche Purge des événementsLes tâches de purge des incidents et des événements permettent d'effacer les données qui ne sont plusnécessaires de la base de données.

Vous pouvez créer des tâches de purge pour la liste des incidents, pour les incidents relatifs aux données enutilisation de la liste Historique ou pour la liste des événements opérationnels.

Procédure

1 Dans McAfee ePO, sélectionnez Menu | Protection des données | Gestionnaire d'incidents DLP ou Menu |Protection des données | Opérations DLP.

2 Cliquez sur l'onglet Tâches relatives aux incidents ou Tâches d'événements opérationnels.

3 Sélectionnez un type d'incident dans la liste déroulante (tâches relatives aux incidents uniquement),sélectionnez Purge des événements dans le volet Type de tâche, puis cliquez sur Actions | Nouvelle règle.

L'option Données en utilisation/mouvement - Historique permet de purger les événements de l'historique.

10 Collecte et gestion des donnéesModification des tâches serveur


4 Entrez un nom et éventuellement une description, puis cliquez sur Suivant.

Les règles sont activées par défaut. Vous pouvez modifier ce paramètre pour retarder l'exécution de la règle.

5 Cliquez sur > pour ajouter des critères et sur < pour les supprimer. Définissez les paramètres Comparaison etValeur. Lorsque vous avez terminé de définir les critères, cliquez sur Enregistrer.

La tâche est exécutée tous les jours pour les données réelles et tous les vendredis à 22 h 00 pour les donnéeshistoriques.

Création d'une tâche Notification par e-mail automatiqueVous pouvez définir l'envoi automatique de notifications par e-mail aux administrateurs, aux gestionnaires ouaux utilisateurs pour leur signaler des incidents ou des événements opérationnels.

Procédure



3 Sélectionnez un type d'incident dans la liste déroulante (tâches relatives aux incidents uniquement),sélectionnez Notification par e-mail automatique dans le volet Type de tâche, puis cliquez sur Actions | Nouvellerègle.



5 Sélectionnez les événements à traiter.

• Traiter tous les incidents/événements (du type d'incident sélectionné).

• Traiter les incidents/événements survenus depuis la dernière exécution de la tâche de notification pare-mail.

6 Sélectionnez les destinataires.

Ce champ est obligatoire. Au moins un destinataire doit être sélectionné.

7 Saisissez l'objet de l'e-mail.

Ce champ est obligatoire.

Vous pouvez insérer des variables à partir de la liste déroulante selon vos besoins.

8 Saisissez le texte du corps de l'e-mail.

Vous pouvez insérer des variables de la liste déroulante selon vos besoins.

9 (Facultatif) Cochez la case pour pouvoir joindre des informations de preuve à l'e-mail. Cliquez sur Suivant.


La tâche s'exécute toutes les heures.

Collecte et gestion des donnéesModification des tâches serveur 10


Création d'une nouvelle tâche de définition du réviseurVous pouvez affecter des réviseurs à différents incidents et événements opérationnels afin de diviser la chargede travail dans les grandes organisations.

Avant de commencerDans McAfee ePO Gestion des utilisateurs | Ensembles d'autorisations, créez un réviseur ou désignezun réviseur de groupe. Vous devez pour cela disposer des autorisations Définition du réviseur pourle Gestionnaire d'incidents DLP et Opérations DLP.

La tâche Définition du réviseur affecte un réviseur aux incidents/événements selon les critères de règle. Latâche est uniquement appliquée aux incidents pour lesquels aucun réviseur n'a été affecté. Vous ne pouvez pasl'utiliser pour réaffecter des incidents à un autre réviseur.

Procédure



3 Sélectionnez un type d'incident dans la liste déroulante (tâches relatives aux incidents uniquement),sélectionnez Définition du réviseur dans le volet Type de tâche, puis cliquez sur Actions | Nouvelle règle.

4 Indiquez un nom et éventuellement une description. Sélectionnez un réviseur ou un groupe, puis cliquez surSuivant.



Meilleure pratique : si plusieurs règles de type Définition du réviseur sont définies, vous pouvez lesréordonner dans la liste.

La tâche s'exécute toutes les heures.

Une fois qu'un réviseur est défini, il n'est pas possible de le remplacer avec la tâche Définition du réviseur.

Surveillance des résultats des tâchesSurveillez les résultats des tâches relatives aux incidents et aux événements opérationnels.

Procédure

1 Dans McAfee ePO, sélectionnez Menu | Automatisation | Journal des tâches serveur.

2 Localisez les tâches McAfee DLP terminées.

Meilleure pratique : entrez DLP dans le champ Recherche rapide ou définissez un filtre personnalisé.

3 Cliquez sur le nom de la tâche.

Les détails de la tâche apparaissent, y compris les erreurs si la tâche a échoué.

10 Collecte et gestion des donnéesSurveillance des résultats des tâches


Création de rapportsMcAfee DLP utilise les fonctions de génération de rapports de McAfee ePO. Plusieurs rapports préprogramméssont disponibles ainsi que l'option de création de rapports personnalisés.

Pour plus d'informations, reportez-vous à la rubrique Exécution de requêtes sur la base de données du guideproduit McAfee ePolicy Orchestrator.

Types de rapportsVous pouvez utiliser les fonctionnalités de génération de rapports McAfee ePO pour surveiller les performancesde McAfee DLP Endpoint.

Quatre types de rapports sont pris en charge dans les tableaux de bord McAfee ePO :

• Synthèse des incidents DLP

• Récapitulatif de la découverte de terminaux DLP

• Synthèse de la stratégie DLP

• Synthèse des opérations DLP

Les tableaux de bord fournissent un total de 22 rapports, fondés sur les 28 requêtes disponibles dans laconsole McAfee ePO sous Menu | Rapports | Requêtes et rapports | Groupes McAfee | Data Loss Prevention.

Options de rapportLe logiciel McAfee DLP utilise les rapports McAfee ePO pour la révision des événements. Vous pouvez en outreafficher des informations sur les propriétés du produit via le tableau de bord McAfee ePO.

Rapports McAfee ePO

Le logiciel McAfee DLP Endpoint permet d'intégrer la génération de rapports au service de génération derapports McAfee ePO. Pour plus d'informations sur l'utilisation du service de génération de rapports McAfeeePO, reportez-vous au Guide produit de McAfee ePolicy Orchestrator.

Les requêtes avec données cumulées et les rapports de cumul des données McAfee ePO, qui synthétisent lesdonnées provenant de plusieurs bases de données McAfee ePO, sont pris en charge.

Les notifications McAfee ePO sont prises en charge. Pour plus d'informations, reportez-vous à la rubrique Envoide notifications du Guide produit de McAfee ePolicy Orchestrator.

Tableaux de bord ePO

Vous pouvez afficher des informations sur les propriétés du produit McAfee DLP sur la page McAfee ePO Menu| Tableaux de bord. Il existe quatre tableaux de bord prédéfinis :

• Synthèse des incidents DLP

• Récapitulatif de la découverte de terminaux DLP

• Synthèse de la stratégie DLP

• Synthèse des opérations DLP

Il est possible de modifier, de personnaliser et de créer des tableaux de bord. Pour plus d'informations,reportez-vous à la documentation de McAfee ePO.

Les requêtes prédéfinies résumées dans les tableaux de bord sont disponibles en sélectionnant Menu |Requêtes et rapports. Elles apparaissent sous Groupes McAfee.

Collecte et gestion des donnéesCréation de rapports 10


Création d'une tâche serveur Données cumuléesLes tâches de cumul McAfee ePO extraient des données de plusieurs serveurs pour produire un rapportunique. Vous pouvez créer des rapports de cumul pour les incidents et les événements opérationnels McAfeeDLP.

Procédure


2 Cliquez sur Nouvelle tâche.

3 Dans le Générateur de tâches serveur, entrez un nom et éventuellement une remarque, puis cliquez surSuivant.

4 Dans la liste déroulante Actions, sélectionnez Cumuler les données.

Le formulaire de cumul de données apparaît.

5 (Facultatif) Sélectionnez des serveurs dans le champ Cumuler les données de.

6 Dans la liste déroulante Type de données, sélectionnez Incidents DLP, Evénements opérationnels DLP ouDécouverte McAfee DLP Endpoint, selon vos besoins.

7 (Facultatif) Configurez les options de purge, de filtre ou de méthode de cumul. Cliquez sur Suivant.

8 Indiquez le type de planification, la date de début, la date de fin et l'heure de planification. Cliquez surSuivant.

9 Passez en revue les informations de synthèse, puis cliquez sur Enregistrer.

10 Collecte et gestion des donnéesCréation de rapports


11 Journalisation et surveillance des appliancesMcAfee DLP

Les appliances McAfee DLP incluent des options de journalisation et de surveillance, qui fournissent desinformations sur l'intégrité du système et des statistiques, et elles peuvent vous aider à résoudre desproblèmes.

Sommaire Génération de rapports sur les événements Surveillance de l'état et de l'intégrité du système

Génération de rapports sur les événementsUn certain nombre d'événements McAfee DLP Prevent sont disponibles dans les journaux Evénements client etOpérations DLP de McAfee ePO. Des informations complémentaires peuvent être obtenues dans le journalsyslog local et dans un serveur de journalisation à distance si vous en avez activé un.

Le journal Evénements client affiche également les événements de gestion des appliances. Pour plusd'informations sur ces événements, consultez l'aide en ligne de la console Gestion des appliances.

Evénements d’appliances McAfee DLPLes appliances McAfee DLP envoient des événements au journal Evénements client ou au journal Operations DLP.

Evénements du journal Evénements de client

Certains événements incluent des codes motif que vous pouvez utiliser pour effectuer des recherches dans lesfichiers journaux.

Meilleure pratique : purgez régulièrement le journal Evénements client pour éviter qu’il soit plein.

IDd'événement

Texte d'événementd'UI

Description

15001 Echec de la requête LDAP La requête a échoué. Les motifs sont indiqués dans lesdescriptions d'événement.

15007 Synchronisationd'annuaire LDAP

Etat de la synchronisation d'annuaire.

210003 L'utilisation desressources a atteint leniveau critique

McAfee DLP Prevent ne peut pas analyser un message car leremplissage de l’annuaire a atteint un niveau critique.

11


IDd'événement


Description

210900 La mise à niveau ISO del'appliance a été effectuée

Echec de la mise à niveauISO de l'appliance

Mise à niveau vers uneversion inférieure del'appliance

L'image d'installationinterne a été mise à jour

Echec de la mise à jour del'image d'installationinterne

Evénements de mise à niveau de l'appliance :

• 983 - Echec de la mise à niveau ISO de l'appliance. Les journauxdétaillés sont disponibles dans /rescue/logs/.

• 984 - La mise à niveau ISO de l'appliance a été effectuée.L'appliance a été mise à niveau vers une version supérieure.

• 985 - Mise à niveau vers une version inférieure de l'appliance.Cet événement est envoyé lorsqu'une tentative de retour à uneversion antérieure est initiée. Les événements de réussite oud’échec de la mise à niveau sont envoyés une fois la mise àniveau terminée.Si une mise à niveau non infectée vers une version supérieureou inférieure est demandée, l'événement de réussite ou d'échecest envoyé une fois la connexion avec McAfee ePO établie.

Mises à jour de l’image d’installation interne à l’aide desévénements SCP :

• 986 — L'image d'installation interne a été mise à jour.

• 987 — Echec de la mise à jour de l'image d'installation interne.

220000 Connexion utilisateur Un utilisateur s’est connecté à l’appliance :• 354 — La connexion à l'interface utilisateur graphique a réussi.

• 355 — La connexion à l'interface utilisateur graphique a échoué.

• 424 — La connexion à SSH a réussi

• 425 — La connexion à SSH a échoué.

• 426 — La connexion à la console de l'appliance a réussi.

• 427 — La connexion à la console de l'appliance a échoué.

• 430 — Le changement d'utilisateur a réussi.

• 431 — Le changement d'utilisateur a échoué.

11 Journalisation et surveillance des appliances McAfee DLPGénération de rapports sur les événements


IDd'événement


Description

220001 Déconnexion utilisateur Un utilisateur s’est déconnecté de l’appliance :• 356 - L'utilisateur de l'interface utilisateur graphique s'est

déconnecté.

• 357 - La session a expiré.

• 428 - L'utilisateur de SSH s'est déconnecté.

• 429 - L'utilisateur de la console de l'appliance s'est déconnecté.

• 432 - L'utilisateur s'est déconnecté.

220900 Installation du certificat • L’installation du certificat a réussi

• L’installation du certificat a échoué : <raison>

Impossible d’installer un certificat pour l’une des raisonssuivantes :• Phrase secrète incorrecte

• Aucune clé privée

• Erreur de chaîne

• Certificat incorrect

• Certificat expiré

• Pas encore valide

• Signature incorrecte

• Certificat d'autorité de certification incorrect

• Chaîne trop longue

• Objectif incorrect

• Révoqué

• Liste de révocation de certificats (CRL) incorrecte ou manquante

La raison est également indiquée dans le journal syslog. Si aucunedes raisons disponibles n'est en cause, l'événement par défaut,Echec de l'installation du certificat, est indiqué.

Evénements du journal Opérations DLP

ID d'événement Texte d'événement d'UI Description

19100 Modification de stratégie La gestion des appliances a envoyé une stratégie àl'appliance en mode Push.

19500 Echec de l'envoi de stratégie enmode Push

La gestion des appliances n'a pas réussi à envoyer unestratégie à l'appliance en mode Push.

19105 Echec de la réplication depreuves

• Un fichier de preuve n'a pas pu être chiffré.

• Un fichier de preuve n'a pas pu être copié sur le serveurde preuve.

19501 Echec de l'analyse • Possible attaque de type déni de service.

• Le contenu n'a pas pu être décomposé pour analyse.

Journalisation et surveillance des appliances McAfee DLPGénération de rapports sur les événements 11


ID d'événement Texte d'événement d'UI Description

19402 DLP Prevent enregistré L’appliance a été enregistrée auprès de McAfee ePO.

19403 DLP Monitor enregistré L’appliance a été enregistrée auprès de McAfee ePO.

Utilisation de syslog avec les appliances McAfee DLPLes appliances McAfee DLP envoient des informations de journalisation de protocole et de matériel au sysloglocal, et à un ou plusieurs serveurs de journalisation distants, si vous les avez activés. L’état de l’installation ducertificat et les événements ICAP sont des exemples d’informations envoyées au syslog.

Utilisez les paramètres de la catégorie Général de la stratégie Appliance partagée pour configurer les serveurs dejournalisation distants.

Les appliances McAfee DLP envoient des informations au syslog au format Common Event Format (CEF). Leformat CEF est une norme ouverte de gestion des journaux qui améliore l'interopérabilité des informationsliées à la sécurité provenant de différentes appliances et applications de sécurité et de réseau. Pour simplifierl'intégration, le syslog est utilisé comme mécanisme de transport. Cela permet d'appliquer un préfixe communà chaque message contenant la date et le nom d'hôte.

Pour plus d’informations sur le format CEF et sur les champs de données d’événements d’appliances McAfee DLP,consultez le Guide Common Event Format de McAfee DLP, disponible dans la base de connaissances McAfee.

Meilleure pratique : sélectionnez le protocole TCP pour envoyer des données d’événements d’appliancesMcAfee DLP à un serveur de journalisation distant. UDP présente une limite de 1 024 octets par paquet de sorteque les événements qui dépassent cette valeur soient tronqués.

Les entrées du journal syslog contiennent des informations sur l'équipement lui-même (fournisseur, nom duproduit et version), la gravité de l'événement et la date de l'événement. Le tableau fournit des informations surcertains des champs d’appliances McAfee DLP qui apparaissent le plus couramment dans les entrées syslog.

Les événements relatifs aux messages SMTP peuvent inclure l'expéditeur et le destinataire, l'objet, ainsi que lesadresses IP source et de destination. Toute tentative d'envoi d'un message crée au moins une entrée dans lejournal. Si le message contient du contenu qui viole une stratégie de prévention des fuites de données, une autreentrée est ajoutée au journal. Lorsque deux entrées sont ajoutées au journal, elles contiennent toutes les deux lenuméro McAfeeDLPOriginalMessageID correspondant.

Tableau 11-1 Définitions d'entrée de journal syslog

Champ Définition

act Action de McAfee DLP qui a été appliquée suite à l'événement

app Nom du processus qui a généré l'événement

msg Message descriptif sur l'événement, par exemple Le disque RAID est en coursde reconstruction

dvc Hôte sur lequel l'événement est survenu

dst Adresse IP de destination si la connexion est disponible

dhost Nom d'hôte de destination si la connexion est disponible

src Adresse IP d'origine de l'hôte établissant la connexion

shost Nom d'hôte d'origine de l'hôte établissant la connexion

suser Expéditeur de l'e-mail

duser Liste des adresses e-mail des destinataires

sourceServiceName Nom de la stratégie active

filePath Nom du fichier dans lequel la détection a eu lieu

11 Journalisation et surveillance des appliances McAfee DLPGénération de rapports sur les événements


Tableau 11-1 Définitions d'entrée de journal syslog (suite)

Champ Définition

field ID unique attribué à chaque e-mail

rt Moment de l'événement en temps Unix (en millisecondes)

flexNumber1 ID attribué à la raison de l'événement

McAfeeDLPOriginalSubject Ligne d'objet d'origine dans le message

McAfeeDLPOriginalMessageId Numéro d'ID d'origine attribué au message

McAfeeDLPProduct Nom du produit McAfee DLP qui a détecté l'événement

McAfeeDLPHardwareComponent Nom de l'appliance matérielle McAfee DLP qui a détecté l'événement

McAfeeEvidenceCopyError Problème lors de la copie des preuves

McAfeeDLPClassificationText Informations sur les classifications McAfee DLP

Champs cs

Les entrées cs du journal syslog se comportent selon la valeur du champ cs5 :

Valeur Définition

cs1 Si le champ cs5 est défini sur « DP » ou « DPA » : fichier qui a déclenché la règle DLP

Si le champ cs5 est défini sur « AR » : règle antirelais qui a déclenché l'événement

cs2 Si le champ cs5 est défini sur « DP » ou « DPA » : catégories DLP qui ont entraîné le déclenchement

cs3 Si le champ cs5 est défini sur « DP » : catégories DLP qui ont entraîné le déclenchement

cs4 Pièces jointes à l'e-mail (si disponible)

cs5 Pour un événement de détection, l'analyseur ayant déclenché l'événement 'DL' - Data LossPrevention

cs6 Objet de l'e-mail.

cs1Label Si le champ cs5 est défini sur « DP » ou « DPA » : « dlpfile »

Si le champ cs5 est défini sur « AR » : « antirelay-rule »

cs2Label Si le champ cs5 est défini sur « DP » ou « DPA » : « dlp-rules »

cs3Label Si le champ cs5 est défini sur « DP » : « dlpclassification »

cs4Label email-attachments

cs5Label master-scan-type

cs6Label email-subject

Journalisation et surveillance des appliances McAfee DLPGénération de rapports sur les événements 11


Surveillance de l'état et de l'intégrité du systèmeUtilisez le tableau de bord Gestion des appliances de McAfee ePO pour gérer vos appliances, afficher l'étatd'intégrité du système et obtenir des informations détaillées sur les alertes.

Tableau de bord Gestion des appliancesLe tableau de bord Gestion des appliances combine l'arborescence Appliances, les cartes Intégrité du système, ainsique les volets Alertes et Détails.

Le tableau de bord affiche les informations suivantes pour toutes vos appliances managées.

• Une sélection d’informations sur chaque appliance McAfee DLPDans un environnement de cluster McAfee DLP Prevent, les cartes d’intégrité du système montrentl’affichage de l’arborescence de l’appliance principale de cluster ainsi qu’un certain nombre d’analyseurs decluster.

• Des indicateurs signalant si une appliance requiert votre attention.

• Des informations détaillées sur les problèmes détectés.

La barre d'information indique le nom de l'appliance, le nombre d'alertes actuellement signalées et d'autresinformations propres à l'appliance signalée.

Intégrité du systèmeUtilisez l'arborescence Appliances pour vérifier l'état d'intégrité du système de vos appliances et clusters géréspar McAfee ePO.La page Gestion des appliances comprend une arborescence de l'ensemble de vos appliances et clustersconfigurés. Cette vue vous permet de voir en un coup d'œil l'état de vos appliances et clusters gérés par McAfeeePO.

Avantages de l'affichage des informations sur l'intégrité du systèmeLe volet d'arborescence et les volets Intégrité du système, Alertes et Détails sont combinés pour créer une page.Cette page constitue un emplacement idéal pour vérifier l'état de toutes vos appliances gérées par l'extensionGestion des appliances de McAfee ePO.Lorsque vous sélectionnez l’appliance appropriée (ou le cluster d’appliances McAfee DLP Prevent) dansl’arborescence, le volet Intégrité du système se met à jour pour afficher l’intégrité de l’équipement sélectionné. Lecas échéant, les alertes sont affichées dans les volets Alertes et Détails.

Le volet Intégrité du système affiche les informations ou les cartes Intégrité du système de vos appliances gérées.Le type d'information affiché varie en fonction du type d'appliance et de la façon dont vous avez configuré vosappliances.

Cartes d'intégrité système pour McAfee DLP PreventLes cartes d'intégrité système pour McAfee DLP Prevent affichent des informations à propos du typed'appliance, de l'intégrité du système, des e-mails, des statistiques web et de la file d'attente de preuves.Les cartes d’intégrité système affichent les appliances de McAfee DLP Prevent en tant que Serveur de prévention,et chaque appliance en fonctionnement est indiquée comme Active. Une appliance peut être de l’un des typessuivants, selon qu’elle soit autonome ou fasse partie d’un cluster :

• Serveur de prévention autonome

• Serveur de prévention appliance principale de cluster

• Serveur de prévention analyseur de cluster

L'état est affiché en vert, orange ou rouge, selon que les valeurs dépassent le seuil d'alerte et le seuil critique, ousi une erreur est présente. Plus d'informations sont fournies dans les volets Alertes et Détails.

11 Journalisation et surveillance des appliances McAfee DLPSurveillance de l'état et de l'intégrité du système


Statistiques de McAfee DLP Prevent

En plus des informations standard sur l’intégrité du système de chaque appliance ou cluster d’appliances,McAfee DLP Prevent fournit les informations suivantes :

• File d’attente de preuves : affiche le nombre de fichiers de preuves en attente d’être copiés dans le stockagede preuves. Si la taille totale des éléments de la file d’attente dépasse un seuil, une alerte est déclenchée. Sile serveur de preuve n’est pas disponible, par exemple s’il ne peut pas être contacté, la preuve est mise enattente jusqu’à ce que le serveur soit de nouveau disponible.

La file d’attente de preuves compte de 20 à 200 Go de stockage disponible, selon la plate-forme. Si elle estpleine, aucun autre incident n’est créé, tout trafic supplémentaire est refusé et une réponse d’échec estfournie. Pour le trafic SMTP, il s’agit d’une réponse d’échec temporaire. Pour le trafic ICAP, la réponse est uneerreur de défaillance de serveur.

• E-mails (par minute) : indique le nombre de messages remis, rejetés de manière permanente ou temporaire,ou n'ayant pas pu être analysés.

• Un message peut être rejeté de manière temporaire si, par exemple, l'hôte actif est indisponible.

• Un message peut être rejeté de manière permanente si, par exemple, l'adresse du destinataire estincorrecte ou si le message a été bloqué par l'hôte actif.

• Requêtes web (par minute) : indique le nombre de requêtes que McAfee DLP Prevent a reçu, et le nombre qu'iln'a pas pu analyser.

Consultez les informations à propos des messages d’erreur de McAfee DLP Prevent pour savoir ce qu’il se passesi un message ou une demande web est bloqué. Excepté le compteur de file d’attente de preuves, lescompteurs ne sont pas cumulatifs.

Alertes McAfee DLP Prevent

Si un état de l'intégrité du système s'affiche en orange ou rouge, plus d'informations sont fournies dans lesvolets Alertes et Détails. McAfee DLP Prevent fournit également des informations concernant les alertes dans lescas suivants.

• La file d'attente de preuves dépasse le seuil par défaut.

• McAfee DLP Prevent n'a pas pu mettre en œuvre la stratégie.

• L’adresse IP virtuelle que vous avez affectée n’est pas dans le même sous-réseau que l’appliance McAfee DLPPrevent.

• McAfee ePO n'a pas pu contacter l'appliance McAfee DLP Prevent (par exemple, si l'alimentation a étéinterrompue).

Une alerte n'est pas générée si l'appliance a été arrêtée manuellement.

Journalisation et surveillance des appliances McAfee DLPSurveillance de l'état et de l'intégrité du système 11


Volet AlertesLe volet Alertes fournit des informations sur les erreurs ou les avertissements relatifs à vos appliances gérées.S'il n'y a aucune erreur et aucun avertissement en cours, ce volet est vide.

Les informations affichées dans le volet Alertes reflètent l'appliance ou le groupe d'appliances actuellementsélectionné dans l'arborescence. Lorsque vous accédez à une autre appliance ou à un autre grouped'appliances, les alertes affichées changent pour n'afficher que celles qui sont pertinentes pour votre sélection.

Figure 11-1 Arborescence Appliances et volet Alertes

Les alertes sont groupées par catégorie. Par défaut, les alertes sont affichées en condensé, à l'exception desmises à jour et des alertes DNS. Les types de catégorie comprennent, par exemple :

• Processeur • Réseau

• Mémoire • Mises à jour

• Disque • DNS

Les catégories que vous voyez dépendent des produits McAfee que vous gérez à partir de McAfee ePO, et destypes d’alerte émis.



Pour afficher les messages d'alerte individuels, cliquez sur le triangle rotatif ( ) à gauche de la catégorie.

Figure 11-2 Volet Alertes avec catégorie d'alerte développée

Toutes les alertes de la catégorie choisie figurent sous l'étiquette de la catégorie. Un horodatage, le nom del'appliance et une brève description de l'alerte sont également indiqués dans chaque alerte. Pour réduire

l'affichage des alertes, cliquez sur le triangle rotatif ( ).

Volet DétailsLe volet Détails affiche des informations détaillées sur l'alerte sélectionnée dans le volet Alertes.

Le type d'information affiché dans le volet Détails varie en fonction du type d'avertissement ou d'erreur signalé.

Figure 11-3 Volet Détails

Les compteurs d'alertes sont affichés au bas du volet Détails. Ces compteurs indiquent le nombre d'alertesrelatives à l'appliance ou au groupe d'appliances actuellement sélectionné. Le nombre total d'alertesactuellement répertoriées pour toutes les appliances gérées est également indiqué.



Cartes d'intégrité du systèmeLes cartes d’intégrité du système affichent des états, des alertes et des notifications qui vous aident à gérertoutes les appliances virtuelles et physiques McAfee sur votre réseau. Excepté le compteur File d’attente depreuves, les compteurs ne sont pas cumulatifs.

Cartes d’intégrité McAfee DLP Prevent

Les cartes d'intégrité du système affichent les informations suivantes pour chaque appliance et clusterd'appliances McAfee DLP Prevent.

Dans un environnement de cluster, l'arborescence affiche une appliance principale de cluster ainsi qu'un certainnombre d'analyseurs de cluster.



Volet Informations

Intégritédu système

• File d'attente de preuves : nombre de fichiers en attente d'être copiés dans le stockage despreuves. La taille de file d'attente est actualisée en temps réel.

• E-mails : nombre de messages remis, rejetés de manière permanente ou temporaire, ou n'ayantpas pu être analysés. Les compteurs indiquent les données des 60 dernières secondes.

• Demandes web : nombre de demandes web reçues et nombre de demandes web n'ayant pas puêtre analysées. Les compteurs indiquent les données des 60 dernières secondes.

• Utilisation processeur : utilisation totale du processeur.

• Mémoire : taux d'échange de la mémoire.

• Disque : pourcentage d'utilisation du disque.

• Réseau : interfaces réseau de l'appliance, affiche des informations sur les données reçues ettransmises. Les compteurs indiquent les données des 60 dernières secondes.

Alertes Affiche les erreurs ou les avertissements relatifs aux éléments suivants :• Etats d'intégrité du système

• Taille de la file d'attente de preuves

• Mise en œuvre de stratégie

• Communication entre McAfee ePO et l’appliance

Vous pouvez accéder à plus d'informations sur une alerte dans le volet Détails.

Cartes d’intégrité McAfee DLP Monitor

Les cartes d’intégrité du système affichent les informations suivantes pour chaque appliance.



Volet Informations

Intégrité dusystème

• File d’attente de preuves : nombre de fichiers de preuves en attente d’être copiés dans lestockage de preuves. La taille de file d'attente est actualisée en temps réel.

• Packets per second (Paquets par seconde) : nombre de paquets traités par seconde par McAfeeDLP Monitor.

• Packet drops (Suppression de paquets) : nombre de paquets supprimés au niveau de l’interfaceréseau.Vous pouvez obtenir plus d’informations sur les paquets supprimés auprès de votre applicationvirtuelle. Consultez le chapitre de maintenance et dépannage.

• Active flows (Flux actifs) : nombre actuel de conversations sur votre réseau qui sont suivies parl’appliance McAfee DLP Monitor.

• Flows filtered (Flux filtrés) : nombre actuel de conversations qui ne sont pas analysées enfonction des règles de filtrage.

• Charges actives analysées : affiche le nombre de charges actives analysées par McAfee DLPMonitor pour chaque protocole. Une charge active est une transaction unique sur le réseau,par exemple un téléchargement à partir d’un site web, qui a été analysée par McAfee DLPMonitor, à laquelle des classifications ont été appliquées et qui a été comparée aux règlesappropriées pour générer des incidents.

• Echec d’analyse de la charge active : affiche le nombre de charges actives qui ne peuvent pas êtreanalysées si, par exemple, un e-mail est corrompu ou si la durée d’analyse de la charge activedépasse les paramètres de délai d’expiration de connexion configurés dans Catalogue destratégies | Gestion des appliances DLP | Général | Paramètres de connexion .

• Payloads oversize (Taille excessive des charges actives) : affiche le nombre de charges actives quidépassent la limite configurée dans Catalogue de stratégies | Gestion des appliances DLP | Général| Paramètres d’analyse. McAfee DLP Monitor analyse les données jusqu’à la limite configurée,même si les données sont incomplètes ou ont été tronquées.McAfee DLP Monitor ne peut pas analyser les fichiers .zip partiellement extraits.

• Utilisation processeur : utilisation totale du processeur.

• Mémoire : taux d’échange de la mémoire, et détails de l’utilisation de la mémoire et de l’échange.

• Disque : pourcentage d'utilisation du disque.

• Réseau : interfaces réseau de l’appliance, affichant des informations sur les données reçues ettransmises.

Alertes Affiche les erreurs ou les avertissements relatifs aux éléments suivants :• Etats d'intégrité du système • Mise en œuvre de stratégie

• Taille de la file d'attente de preuves • Communication entre McAfee ePO etl’appliance

• Echecs d’analyse de la charge active

Vous pouvez accéder à plus d'informations sur une alerte dans le volet Détails.



Affichage de l'état d'une applianceVous pouvez déterminer si une appliance fonctionne correctement ou requiert votre attention en consultant lesinformations de Gestion des appliances.

Procédure1 Connectez-vous à McAfee ePO.

2 Dans le menu, sélectionnez Gestion des appliances dans la section Systèmes.

3 Dans l'arborescence Appliances, développez la liste des appliances jusqu'à ce que vous trouviez celle quevous souhaitez afficher.

Pour plus d'informations sur les états et alertes, vous pouvez consulter l'aide en ligne de Gestion desappliances.

Téléchargement des fichiers MIB et SMITéléchargez des fichiers MIB et SMI pour afficher les compteurs et les interruptions SNMP disponibles surl'appliance.

Pour plus d'informations sur le fonctionnement de l'appliance avec SNMP, consultez l'aide en ligne de l'extensionGestion des appliances de McAfee.

Procédure

1 Accédez à https://<APPLIANCE>:10443/mibs.

2 Téléchargez les fichiers MCAFEE-SMI.txt, MCAFEE-DLP-PREVENT-MIB.txt et MCAFEE-DLP-MONITOR-MIB.txtdans la langue dans laquelle afficher les informations.

3 Importez les fichiers MIB et SMI dans votre logiciel de surveillance du réseau.





Maintenance et dépannageUtilisez l'outil de diagnostic McAfee DLP pour résoudre les problèmes avec McAfeeDLP Endpoint pour les clients Windows. Utilisez la console de l’appliance McAfeeDLP Prevent et McAfee DLP pour accéder aux options de maintenance et dedépannage.

Chapitre 12 Diagnostics McAfee DLP EndpointChapitre 13 Gestion des appliances McAfee DLP et résolution de problèmes


Maintenance et dépannage


12 Diagnostics McAfee DLP Endpoint

Utilisez l'utilitaire Outil de diagnostic McAfee DLP Endpoint pour surveiller l'intégrité du système et résoudre lesproblèmes.

Outil de diagnosticL'outil de diagnostic est conçu pour faciliter la résolution des problèmes dans McAfee DLP Endpoint sur lesordinateurs clients Microsoft Windows. Il n'est pas pris en charge sur les ordinateurs OS X.

L'outil de diagnostic collecte des informations sur les performances du logiciel client. L'équipe informatiqueutilise ces informations pour résoudre les problèmes et configurer les stratégies. En cas de problème grave, cetoutil permet également à l'équipe de développement McAfee DLP de collecter des données pour analyse.

L'outil est distribué sous la forme d'un utilitaire à installer sur les ordinateurs à problème. Il se compose de septpages réparties en onglets, chacune consacré à un aspect particulier du fonctionnement du logiciel McAfee DLPEndpoint.

Sur toutes les pages affichant des informations dans des tableaux (à l'exception de Informations générales etOutils, vous pouvez trier les tableaux en fonction de n'importe quelle colonne en cliquant sur l'en-tête de celle-ci.

Informationsgénérales

Collecte des données pour indiquer, par exemple, si les pilotes et les processus de l'agentsont en cours d'exécution, ainsi que pour afficher des informations générales sur lesstratégies, l'agent et la journalisation. Lorsqu'une erreur est détectée, les informations laconcernant sont affichées.

Modules DLPE Affiche la configuration de l'agent (indiquée sur la page Configuration de l'agent | Divers dela console des stratégies McAfee DLP Endpoint). Cet onglet indique le paramètre deconfiguration et l'état de chaque module, complément et gestionnaire. Le fait desélectionner un module affiche des informations qui peuvent vous aider à déterminer lesproblèmes.

Flux de données Affiche le nombre d'événements sur le client McAfee DLP Endpoint et la mémoire qu'ilutilise, ainsi que les détails des événements que vous sélectionnez.

Outils Permet d'effectuer plusieurs tests et d'afficher les résultats. Si nécessaire, un vidage desdonnées est effectué pour une analyse ultérieure.

Liste de processus Affiche tous les processus en cours d'exécution sur l'ordinateur. Le fait de sélectionner unprocessus affiche les détails, les titres des fenêtres et les définitions d'applicationsassociés.

Equipements Affiche tous les équipements Plug-and-Play et amovibles connectés à l'ordinateur. Le faitde sélectionner un équipement en affiche les détails, ainsi que les définitions associées.Affiche toutes les règles de contrôle des équipements actives, ainsi que les définitionsd'équipement appropriées.

Stratégie active Affiche toutes les règles contenues dans la stratégie active, ainsi que les définitions destratégie pertinentes. Le fait de sélectionner une règle ou une définition en affiche lesdétails.

12


Vérification de l'état de l'agentUtilisez l'onglet Informations générales pour obtenir un aperçu de l'état de l'agent.

Les informations fournies sous l'onglet Informations générales sont conçues pour confirmer les attentes desutilisateurs et répondre à des questions de base. Les pilotes et les processus d'agent sont-ils en coursd'exécution ? Quelles sont les versions des produits installées ? Quels sont le mode de fonctionnement et lastratégie actuels ?

Pilotes et processus d'agent

L'une des questions les plus importantes pour résoudre les problèmes est la suivante : « Est-ce que toutfonctionne comme prévu ? » Les sections Processus d'agent et Pilotes permettent d'y répondre d'un seul coupd'œil. Les cases à cocher indiquent si le processus est activé, tandis que le point de couleur indique s'il est encours d'exécution. Si le processus ou le pilote ne fonctionne pas, la zone de texte fournit des informations sur leproblème.

La mémoire maximale par défaut est de 150 Mo. Une valeur élevée pour ce paramètre peut indiquer desproblèmes.

Tableau 12-1 Processus d'agent

Terme Processus État prévu

Fcag Agent (client) McAfee DLP Endpoint activé ; en cours d'exécution

Fcags Service d'agent McAfee DLP Endpoint activé ; en cours d'exécution

Fcagte Extracteur de texte McAfee DLP Endpoint activé ; en cours d'exécution

Fcagwd Surveillance McAfee DLP Endpoint activé ; en cours d'exécution

Fcagd Agent McAfee DLP Endpoint avec vidage automatique activé uniquement pour le dépannage.

Tableau 12-2 Pilotes

Terme Processus État prévu

Hdlpflt Pilote de minifiltre McAfee DLP Endpoint (applique lesrègles pour équipements de stockage amovibles)

activé ; en cours d'exécution

Hdlpevnt événement McAfee DLP Endpoint activé ; en cours d'exécution

Hdlpdbk pilote de filtre d'équipement McAfee DLP Endpoint(applique les règles d'équipement Plug-and-Play)

peut être désactivé dans la configuration

Hdlpctrl Contrôle McAfee DLP Endpoint activé ; en cours d'exécution

Hdlhook Pilote d'accrochage McAfee DLP Endpoint activé ; en cours d'exécution

Section d'informations sur l'agent

Les valeurs Mode de fonctionnement et Etat de l'agent doivent normalement correspondre. L'indication deconnectivité de l'agent, ainsi que l'adresse EPO peuvent être utiles pour la résolution des problèmes.

Il existe trois options pour la connectivité de l'agent : en ligne, hors ligne ou connecté par VPN.

Exécution de l'outil de diagnosticL'outil de diagnostic fournit aux équipes informatiques des informations détaillées sur l'état de l'agent.

Avant de commencerL'outil de diagnostic requiert une authentification auprès de McAfee

®

Help Desk.

12 Diagnostics McAfee DLP EndpointOutil de diagnostic


Procédure1 Double-cliquez sur le fichier hdlpDiag.exe.

Une fenêtre d'authentification s'affiche.

2 Copiez le code d'identification Help Desk dans la zone de texte idoine de la page Générer une clé decontournement du client DLP. Entrez le reste des informations et générez un code d'autorisation.

3 Copiez ce code d'autorisation dans la zone de texte Code de validation de la fenêtre d'authentification, puiscliquez sur OK.

L'outil de diagnostic s'ouvre.

Les onglets Informations générales, Modules DLPE et Liste de processus comportent un bouton Actualiser en basà droite. Les modifications apportées lorsqu'un onglet est ouvert ne mettent pas automatiquement à jour lesinformations figurant sous ces onglets. Cliquez sur le bouton Actualiser fréquemment pour vous assurer quevous affichez des données à jour.

Configuration des stratégiesL'outil de diagnostic peut être utilisé pour dépanner ou régler des stratégies.

Scénario d'utilisation : utilisation élevée du processeurLes utilisateurs rencontrent parfois une baisse des performances lors de l'application d'unenouvelle stratégie. L'une des causes peut en être l'utilisation élevée du processeur. Pour le vérifier,accédez à l'onglet Liste des processus. Si vous observez un nombre inhabituel d'événements pourun processus, cela peut être l'origine du problème. Par exemple, une vérification détecte quetaskmgr.exe est classé dans la catégorie Editeur et qu'il a le deuxième plus grand nombre totald'événements. Comme il est très peu probable que cette application connaisse une fuite dedonnées, il n'est pas nécessaire que le client McAfee DLP Endpoint la surveille de façon très étroite.

Pour tester votre théorie, créez un modèle d'application. Dans le catalogue de stratégies, accédez àStratégie DLP | Paramètres et remplacez la catégorie de l'application par Approuvée. Appliquez lastratégie et effectuez un test pour vérifier que les performances sont meilleures.

Scénario d'utilisation : création de critères efficaces pour la classification du contenu etl'identification du contenu par empreinteToute stratégie de protection des données repose sur le marquage des données confidentielles.L'outil de diagnostic affiche des informations qui vous aident à créer des critères efficaces pour laclassification du contenu et son identification par empreinte. Les marqueurs peuvent être troprestrictifs, ignorer des données qui devraient être marquées ou être trop larges, ce qui génère desfaux positifs.

La page Stratégie active fournit une liste de critères efficaces pour la classification du contenu etson identification par empreinte. La page Flux de données fournit la liste de tous les marqueursappliqués par la stratégie, ainsi que leur nombre. Lorsque ce nombre est plus élevé que prévu,vous pouvez suspecter la présence de faux positifs. Dans un cas précis, un nombre de balisesextrêmement élevé a permis de découvrir que la classification était déclenchée par le texte d'uneclause d'exclusion de responsabilité. L'ajout de cette clause d'exclusion à la liste blanche a suppriméles faux positifs. Suivant le même principe, un nombre plus faible qu'attendu peut suggérer que laclassification est trop stricte.

Diagnostics McAfee DLP EndpointOutil de diagnostic 12


Si un nouveau fichier est marqué pendant l'exécution de l'outil de diagnostic, le chemin d'accès aufichier apparaît dans le volet de détails. Ces informations permettent de localiser les fichiers àtester.

12 Diagnostics McAfee DLP EndpointOutil de diagnostic


13 Gestion des appliances McAfee DLP etrésolution de problèmes

Utilisez la console de l'appliance pour réaliser des tâches de maintenance générale telles que la modificationdes paramètres réseau et l'application de mises à jour logicielles.

Vous disposez d'options de dépannage, de vérifications d'intégrité et de messages d'erreur pour déterminer etrésoudre des problèmes sur une appliance McAfee DLP.

Sommaire Surveillance des paquets supprimés sur une appliance virtuelle Gestion avec la console de l’appliance McAfee DLP Accès à la console de l'appliance Modification des paramètres réseau d'origine Modifier les paramètres de vitesse et de duplex pour les appliances matérielles Gestion des appliances matérielles avec le module RMM Mise à niveau d’une appliance Redémarrage de l'appliance Restauration des paramètres d'usine de l'appliance Déconnexion de l'appliance McAfee DLP Prevent n'accepte pas les e-mails Remplacement du certificat par défaut Messages d'erreur Création d'un rapport pour la procédure d'escalade minimale (MER)

Surveillance des paquets supprimés sur une appliance virtuelleLes paquets supprimés ne sont pas signalés dans les cartes d’intégrité du système McAfee DLP Monitor sur letableau de bord de la Gestion des appliances. Vous pouvez cependant obtenir des informations à leur sujetauprès de l’application virtuelle.

Procédure

1 Connectez-vous à l’hôte VMware ESXi ou VMware ESX, ou à vCenter Server au moyen du vSphere Client.

2 Sélectionnez l’hôte VMware ESXi ou ESX dans la liste d’inventaire.

3 Sélectionnez l’appliance virtuelle et cliquez sur l’onglet Perfomance (Performances).

4 Cliquez sur Advanced | Chart Options (Avancé | Options de graphique).

13


5 Sélectionnez Network | Real-time (Réseau | Temps réel).

6 Activez les compteurs Transmit packets dropped (Paquets envoyés supprimés) et Receive packets dropped(Paquets reçus supprimés), puis cliquez sur Apply (Appliquer).

Gestion avec la console de l’appliance McAfee DLPUtilisez des informations d'identification administrateur pour ouvrir la console de l'appliance afin de modifierles paramètres réseau saisis dans l'Assistant d'installation et d'effectuer d'autres tâches de maintenance et dedépannage.

Vous pouvez ajouter votre propre texte pour qu’il s'affiche en haut de la console de l’appliance ou sur l’écran deconnexion à SSH à l’aide de l’option Bannière de connexion personnalisée dans McAfee ePO (Menu | Catalogue destratégies | Gestion des appliances DLP | Général).

Tableau 13-1 Options de menu de la console de l'appliance

Option Définition

Graphical configuration wizard Ouvrez l'Assistant de configuration graphique.

Si vous vous connectez à l'aide de SSH, l'Assistant de configuration graphiquen'est pas disponible.

Shell Ouvrez le shell de l'appliance.

Enable/Disable SSH Activez ou désactivez SSH comme méthode de connexion à l'appliance.

Generate MER Créez un rapport pour la procédure d'escalade minimale (MER) à envoyer ausupport technique McAfee pour lui permettre de diagnostiquer des problèmesavec l'appliance.

Power down Arrêtez l'appliance.

Reboot Redémarrez l'appliance.

Rescue Image Créez une image de secours à partir de laquelle l'appliance puisse êtredémarrée.

Reset to factory defaults Restaurez les paramètres par défaut de l'appliance.

Change password Changez le mot de passe du compte administrateur.

Logout Déconnectez-vous de l'appliance principale.

Accès à la console de l'applianceLa console de l'appliance vous permet d'effectuer différentes tâches de maintenance. Il existe différentesméthodes permettant d'accéder à la console selon le type d'appliance dont vous disposez.

Tableau 13-2 Méthodes d'accès à la console

Méthode Appliance virtuelle Appliance matérielle

SSH X X

Client vSphere X

Module KVM local (clavier, moniteur, souris) X

RMM X

Port série X

13 Gestion des appliances McAfee DLP et résolution de problèmesGestion avec la console de l’appliance McAfee DLP


Modification des paramètres réseau d'origineVous pouvez utiliser l'Assistant de configuration graphique pour modifier les paramètres réseau que vous avezentrés pendant l'installation.

Procédure1 Connectez-vous à l'appliance avec des informations d'identification d'administrateur.

Si vous vous connectez à l'aide de SSH, l'Assistant de configuration graphique n'est pas disponible.

2 Ouvrez l'Assistant de configuration graphique.

3 Modifiez les paramètres de configuration réseau de base souhaités.

4 Cliquez sur Terminer.

Modifier les paramètres de vitesse et de duplex pour les appliancesmatérielles

Par défaut, les interfaces réseau sont configurées pour l'autonégociation. Passez par la ligne de commandepour modifier les paramètres de vitesse et de duplex.

Procédure1 En utilisant une session de ligne de commande, connectez-vous à l'appliance.

2 Dans le menu options, sélectionnez l'option Shell.

3 Affichez l'aide sur la formation de la commande.

$ /opt/NETAwss/mgmt/nic_options -?• Utilisez lan1 pour l'interface du client et mgmt pour l'interface de gestion.

• --(no)autoneg permet d'activer ou de désactiver l'autonégociation. Par défaut, elle est activée.

• --duplex indique le type de duplex : semi- ou intégral. La valeur par défaut est Intégral.

• --speed indique la vitesse du réseau en Mo/s : 0, 100 ou 1 000. La valeur par défaut est 1 000.

• --mtu indique la taille d'unité de transmission maximum (MTU) en octets, comprise entre 576 et 1 500.La valeur par défaut est 1500.

4 Entrez la commande pour modifier le paramètre. Exemples :

• Pour désactiver l'autonégociation et définir une vitesse réseau de 100 Mo/s sur l'interface du client :

$ sudo /opt/NETAwss/mgmt/nic_options --noautoneg --speed 100 lan1

• Pour restaurer le comportement par défaut sur le port de gestion :

$ sudo /opt/NETAwss/mgmt/nic_options mgmt

Gestion des appliances McAfee DLP et résolution de problèmesModification des paramètres réseau d'origine 13


Gestion des appliances matérielles avec le module RMMUtilisez le module RMM (également appelé contrôleur de gestion de la carte de base, ou BMC) pour gérer uneappliance matérielle à distance. Le module RMM n'est pas disponible sur les appliances virtuelles.

La console de l'appliance permet d'activer et de configurer les paramètres de base du module RMM. Après avoirconfiguré les paramètres réseau du RMM, vous pouvez accéder à la console de l'appliance à l'aide du serveurweb intégré. A partir de l'interface web, vous pouvez vérifier l'état du matériel, définir d'autres paramètres etgérer l'appliance à distance. Accédez à :

https://<adresse IP du RMM>

Utilisez les informations d'identification administrateur de l'appliance pour accéder à l'interface utilisateur. Vouspouvez configurer le RMM de manière à utiliser le protocole LDAP pour l'authentification au lieu du compteadministrateur.

Par défaut, tous les protocoles utilisés pour accéder au module RMM sont activés :

• HTTP/HTTPS

• SSH

• IPMI sur LAN

• Module KVM distant

Configuration du module RMMConfigurez les paramètres réseau et les protocoles utilisés par le module RMM.

Procédure1 A l'aide de la console, connectez-vous à l'appliance.

2 Dans le menu de la console, sélectionnez Configure the BMC (Configurer le contrôleur de gestion de la cartede base).


• Pour configurer les informations relatives au réseau :

1 Sélectionnez Configure the address (Configurer l'adresse).

2 Saisissez l'adresse IP, le masque réseau et éventuellement la passerelle. Utilisez les flèches haut etbas pour naviguer entre les options.

3 Appuyez sur la touche Entrée ou sélectionnez OK pour enregistrer les modifications.

• Pour configurer les protocoles autorisés, procédez comme suit :

1 Sélectionnez Configure remote protocols (Configurer les protocoles distants).

2 Pour activer ou désactiver une option, appuyez sur la barre d'espace. Utilisez les flèches haut et baspour naviguer entre les options.

3 Appuyez sur la touche Entrée ou sélectionnez OK pour enregistrer les modifications.

Utilisez le compte et le mot de passe administrateur pour vous connecter à l'appliance à l'aide du module RMM.

13 Gestion des appliances McAfee DLP et résolution de problèmesGestion des appliances matérielles avec le module RMM


Exécution de l'Assistant d'installation à l'aide du service KVM distantSi vous n'avez pas accès en local au clavier, au moniteur et à la souris pour exécuter l'Assistant d'installation,vous pouvez le faire via l'interface web du module RMM.

Procédure1 Avec un navigateur web, connectez-vous à https://<adresse IP du RMM>.

2 Cliquez sur l'onglet Remote Control (Contrôle à distance).

3 Cliquez sur Launch Console (Lancer la console).

4 Pour certains navigateurs, il peut être nécessaire de télécharger l'application de console distante. Dans cecas, téléchargez et ouvrez le fichier jviewer.jnlp.

5 Dans le shell d'administration, sélectionnez Graphical configuration wizard (Assistant de configurationgraphique).

Meilleures pratiques : sécurisation du module RMMSécurisez votre environnement RMM afin d'empêcher les utilisateurs non autorisés d'accéder à l'appliance.

• Vérifiez que le microprogramme RMM est à jour.

• Connectez le port RMM à un VLAN ou à un réseau physique dédié sécurisé.

• Désactivez les protocoles non utilisés. Seuls les protocoles HTTP/HTTPS et le service KVM distant sontnécessaires pour configurer l'appliance à distance.

• Si votre appliance utilise RMM4, assurez-vous qu'elle est configurée de manière à forcer l'utilisation deHTTPS.

La console de l'appliance et l'interface web affichent le type de module RMM utilisé par l'appliance, RMM3 ouRMM4.

Dans l'interface web, cliquez sur l'onglet Configuration, sélectionnez Security Settings (Paramètres de sécurité),puis sélectionnez l'option Force HTTPS (Forcer l'utilisation du protocole HTTPS).

• Changez régulièrement le mot de passe administrateur.

Mise à niveau d’une applianceLes appliances McAfee DLP contiennent une partition avec une image d’installation interne que vous pouvezutiliser pour mettre à niveau ou réinstaller l’appliance.

Les patchs, les HotFix et les nouvelles versions du logiciel sont distribuées en tant que fichiers .iso. Pourappliquer un patch, un HotFix ou une nouvelle version, vous devez démarrer à partir du fichier .iso. Vouspouvez écrire cette opération sur un CD ou un périphérique USB et démarrer à partir de ce support, ou copierl’image sur l’image d’installation interne de l'appliance et démarrer à partir de là. Si vous installez une versionantérieure à celle qui est déjà installée, un message apparaît pour vous indiquer que vous pouvez uniquementeffectuer une réinstallation. Lorsque vous revenez à une version antérieure, les configurations ou lesenregistrements auprès de McAfee ePO ne sont pas conservés.

Meilleure pratique : copiez le fichier .iso sur l’appliance, puis démarrez à partir de l’image d’installation interne.Cette option est disponible à partir de la console de l’appliance lorsque vous vous connectez en tantqu’administrateur à partir du menu de la console ou de SSH. Vous pouvez également mettre à jour l’imaged’installation de l’appliance à partir d’un CD, d’un périphérique USB (le système de fichiers Exfat n’est pas pris encharge) ou d’un CD virtuel (RMM ou VMware).

Gestion des appliances McAfee DLP et résolution de problèmesMise à niveau d’une appliance 13


Options d'installation

• Full (Complète) : conserve toute la configuration, y compris les fichiers de preuve et le surlignage decorrespondances en attente d'être copiés dans le partage de stockage de preuves.

• Config (Configuration) : conserve toute la configuration sauf les fichiers de preuve et le surlignage decorrespondances en attente d'être copiés.

• Basic (De base) : conserve uniquement la configuration réseau et l'enregistrement McAfee ePO.

• Reinstall (Réinstallation) : effectue une réinstallation sans conserver aucune configuration ; vous devezutiliser l'Assistant d'installation pour enregistrer l'appliance auprès de McAfee ePO

Meilleure pratique : effectuez une installation complète.

Appliquer un patch, un Hotfix ou une nouvelle version au moyen del’image d’installation interne

Procédure1 Mettez à jour l’image d’installation au moyen d’un utilitaire comme WinSCP ou d’une session de ligne de

commande pour copier le fichier .iso sous /home/admin/upload/iso.

2 En utilisant une session de ligne de commande, connectez-vous à l'appliance en tant qu'administrateur.

3 Dans le menu de la console de l'appliance, sélectionnez Mise à niveau.

4 Sélectionnez Afficher les détails de l’image d’installation interne afin de confirmer la version.

La version actuelle de l’image d’installation doit être celle que vous avez copiée auparavant.

5 Sélectionnez Démarrer à partir de l’image d’installation interne.

6 Sélectionnez l’option Complète, puis Oui.

L'appliance redémarre et l'installation s'exécute en préservant toutes les données.

7 Revenez au menu, puis cliquez sur Show internal rescue image details (Afficher les détails de l’image desecours interne) pour confirmer que la nouvelle version a été installée.

Mettre à niveau l’appliance au moyen d’un CD

Procédure1 Insérez le CD dans l’appliance.

2 Sélectionnez Update the internal install image from an external device (Mettre à jour l'image d'installationinterne à partir d'un équipement externe).

3 Vérifiez que l’équipement externe est correctement identifié dans la liste.

Si plusieurs fichiers .iso sont détectés, tous les fichiers sont répertoriés.

4 Sélectionnez l’image .iso et l’équipement, puis sélectionnez Yes (Oui).

5 Redémarrez l’appliance à partir du CD.

13 Gestion des appliances McAfee DLP et résolution de problèmesMise à niveau d’une appliance


Mettre à niveau l’appliance au moyen d’une clé USB

Procédure1 Créez une clé USB contenant l’image d’installation.

a Insérez le lecteur USB dans l'appliance.

b Sélectionnez Copy the internal install image to a USB flash device (Copier l'image d'installation interne versun équipement flash USB).

c Sélectionnez Yes (Oui).

2 Redémarrez l’appliance à partir de la clé USB.

Redémarrage de l'applianceArrêtez et redémarrez McAfee DLP Prevent.


2 Dans le menu général de la console, sélectionnez Redémarrer.

Restauration des paramètres d'usine de l'applianceRétablissez les paramètres d'origine de l'appliance.Vous devrez reconfigurer les paramètres de configuration réseau.


Le menu général de la console s'ouvre.

2 Dans le menu général de la console, cliquez sur l'option Reset to factory defaults (Rétablir les paramètrespar défaut).

Déconnexion de l'applianceFermez la session de connexion et revenez à l'invite de connexion.



2 Dans le menu général de la console, cliquez sur l'option Se déconnecter.

La session SSH se ferme ou la console revient à l'invite de connexion.

Gestion des appliances McAfee DLP et résolution de problèmesRedémarrage de l'appliance 13


McAfee DLP Prevent n'accepte pas les e-mailsSi aucun hôte actif n'est configuré, McAfee DLP Prevent ne peut pas accepter les e-mails, car il n'a nulle part oùles envoyer.

McAfee DLP Prevent émet l'erreur 451 System problem: retry later. (No SmartHost has been configured)(451 Problème système : réessayez plus tard. Aucun hôte actif n'a été configuré) et ferme la connexion.

Vous pouvez vérifier si McAfee DLP Prevent accepte les e-mails en utilisant telnet. Si l'appliance est correctementconfigurée, vous obtenez un message d'accueil 220 :

220 hôte.domaine.exemple PVA/SMTP Ready (220 hôte.domaine.exemple PVA/SMTP Prêt)

Procédure

• Pour résoudre un problème de connexion, vous devez :

a Installer les extensions requises dans McAfee ePO.

b Enregistrer l'appliance auprès d'un serveur McAfee ePO.

Suivre les étapes de l'aide de l'Assistant d'installation McAfee DLP Prevent.

c Configurer au moins un serveur DNS dans la stratégie Gestion des appliances partagées.

Consultez la section relatives à la configuration des paramètres généraux de l'aide en ligne de l'extensionGestion des appliances.

d Configurez un hôte actif dans la catégorie de stratégies Paramètres d'e-mail de McAfee DLP Prevent.

e Appliquer une stratégie McAfee Data Loss Prevention.

Consulter la section relative à l'affectation de stratégies de l'aide en ligne McAfee ePolicy Orchestrator.

Remplacement du certificat par défaut Vous pouvez remplacer le certificat autosigné par un autre fourni par une autorité de certification (AC) pour qued'autres hôtes sur le réseau puissent valider le certificat SSL de l'appliance.

Avant de commencerSSH doit être activé.

Pour remplacer le certificat, vous pouvez soit :

• Charger un nouveau certificat et une nouvelle clé privée.

• Télécharger une demande de signature de certificat (CSR) depuis l'appliance, la faire signer par une autoritéde certification, puis charger le certificat fourni par l'autorité de certification.

Meilleure pratique : télécharger une CSR depuis l'appliance et assurez-vous que la clé privée de l'appliance nepourra pas être dévoilée par inadvertance.

Seuls les certificats et clés ECDSA et RSA sont autorisés dans le fichier chargé. Le certificat doit être adapté àl'utilisation avec à la fois le serveur et le client TLS, et le chargement doit inclure la chaîne complète decertificats. Les chargements peuvent se faire dans les formats suivants :

13 Gestion des appliances McAfee DLP et résolution de problèmesMcAfee DLP Prevent n'accepte pas les e-mails


• Fichier PEM (Base64) : chaîne de certificats et clé privée ou uniquement chaîne de certificats

• PKCS#12 : chaîne de certificats et clé privée

• PKCS#7 : chaîne de certificats uniquement

Si le format chargé est PKCS#12 ou PKCS#7, l'extension de fichier correcte doit être utilisée :

• Le format PKCS#12 doit avoir .p12 ou .pfx comme extension.

• Le format PKCS#7 doit avoir .p7b comme extension.

Il est possible que l'installation du certificat échoue pour les raisons suivantes :

• Le certificat est inutilisable pour le rôle auquel il est destiné.

• Le certificat a expiré.

• Le fichier chargé ne contient pas les certificats d'une autorité de certification dont il a besoin pour lavérification.

• Le certificat utilise un algorithme de clé publique qui n'est pas pris en charge (DSA par exemple).

Si l'installation échoue, des informations détaillées sont disponibles dans le fichier syslog de l'appliance. Pour leconsulter, connectez-vous à la console de l'appliance, sélectionnez l'option Shell, puis entrez $ grepimport_ssl_cert /var/log/messages.

Procédure

1 Dans le navigateur, rendez-vous à l'adresse https://APPLIANCE:10443/certificates/ et sélectionnez l'un desliens CSR pour le téléchargement.

Deux fichiers sont disponibles : l'un contient une clé publique RSA (le fichier avec l'extension .rsa.csr) etl'autre contient une clé publique ECDSA (le fichier avec l'extension .ec.csr).

2 Suivez les instructions de votre autorité de certification pour obtenir la signature de la demande.

3 Utilisez un client SFTP, par exemple winscp, pour copier le fichier vers le répertoire /home/admin/upload/cert de l'appliance.

Le journal Evénements client indique si l'installation a réussi ou échoué.

Le fichier s'installe automatiquement.

Procédures• Régénérer la clé privée de l'appliance, page 223

Vous pouvez régénérer la clé privée si elle a été compromise ou si vous avez besoin de renouvelerun certificat qui a été signé à l'extérieur.

Régénérer la clé privée de l'applianceVous pouvez régénérer la clé privée si elle a été compromise ou si vous avez besoin de renouveler un certificatqui a été signé à l'extérieur.

Gestion des appliances McAfee DLP et résolution de problèmesRemplacement du certificat par défaut 13


Procédure

1 Connectez-vous à la console de l'appliance.

2 Sélectionnez l'option Shell.

3 Entrez sudo /opt/NETAwss/mgmt/make_ssl_cert.

La clé privée, le certificat autosigné et les demandes de signature de certificat de l'appliance sontrenouvelés.

Si l'appliance utilisait un certificat qui a été signé à l'extérieur, vous devez à nouveau charger un certificat signé.

Messages d'erreurSi l'appliance n'est pas configurée correctement, elle tente de déterminer le problème et envoie un messaged'erreur temporaire ou permanente.

Le texte entre parenthèses dans le message d'erreur fournit des informations supplémentaires sur le problème.Certains messages d'erreur relaient la réponse de l'hôte actif, et la réponse McAfee DLP Prevent contient doncl'adresse IP, qui est indiquée par x.x.x.x.

Par exemple, 442 192.168.0.1 : connexion refusée indique que l'hôte actif avec l'adresse 192.168.0.1 n'a pasaccepté la connexion SMTP.

Tableau 13-3 Messages d'erreur temporaire

Texte Cause Action recommandée

451 (Le système n'a pas aété enregistré avec unserveur ePO)

La configuration initiale n'a pas ététerminée.

Enregistrez l'appliance auprès d'unserveur McAfee ePO à l'aide de l'optionAssistant de configuration graphique de laconsole de l'appliance.

451 (Aucun serveur DNSn'a été configuré)

La configuration appliquée à partir deMcAfee ePO ne spécifie aucun serveurDNS.

Configurez au moins un serveur DNSdans la catégorie Général de lastratégie Appliance partagée.

451 (Aucun hôte actif n'aété configuré)

La configuration appliquée à partir deMcAfee ePO ne spécifie aucun hôte actif.

Configurez un hôte actif dans lacatégorie de stratégies Paramètresd'e-mail de McAfee DLP Prevent.

451 (Fichier OPG destratégie introuvable àl'emplacement configuré)

La configuration appliquée à partir deMcAfee ePO est incomplète.

• Vérifiez que l'extension Data LossPrevention est installée.

• Configurez une stratégie Data LossPrevention.

• Contactez votre représentant dusupport technique. Le fichier OPG deconfiguration doit être appliqué avecle fichier OPG de stratégie.

13 Gestion des appliances McAfee DLP et résolution de problèmesMessages d'erreur


Tableau 13-3 Messages d'erreur temporaire (suite)

Texte Cause Action recommandée

451 (Fichier OPG deconfiguration introuvableà l'emplacementconfiguré)

La configuration appliquée à partir deMcAfee ePO est incomplète.

• Vérifiez que l'extension Data LossPrevention est installée.

• Configurez une stratégie Data LossPrevention.

• Contactez votre représentant dusupport technique. Le fichier OPG deconfiguration doit être appliqué avecle fichier OPG de stratégie.

451 (configuration duserveur LDAPmanquante)

Cette erreur se produit lorsque les deuxconditions suivantes sont réunies :• McAfee DLP Prevent contient une règle

qui spécifie un expéditeur en tant quemembre d'un groupe d'utilisateursLDAP.

• McAfee DLP Prevent n'est pasconfiguré pour recevoir desinformations sur les groupes à partirdu serveur LDAP qui contient cegroupe d'utilisateurs.

Vérifiez que le serveur LDAP estsélectionné dans la catégorie destratégies Utilisateurs et groupes.

451 (Erreur lors de larésolution d'une stratégiefondée sur l'expéditeur)

Une stratégie contient des conditionsd'expéditeur LDAP, mais ne parvient pasà obtenir les informations à partir duserveur LDAP pour les raisons suivantes :• McAfee DLP Prevent et le serveur LDAP

ne sont pas synchronisés.

• Le serveur LDAP ne répond pas.

Vérifiez que le serveur LDAP estdisponible.

451 (échec du test FIPS) Echec des autotests de cryptographierequis pour la conformité au standardFIPS

Contactez votre représentant dusupport technique.

451 (Impossible devérifier les données parrapport au serveur dedocuments enregistrés)

Le serveur de documents enregistrésn’est pas disponible.

Vérifiez votre configuration pourconfirmer que le serveur est disponibleet que les détails que vous avez saisissont corrects.

x.x.x.x 442 : connexionrefusée

McAfee DLP Prevent ne peut pas seconnecter à l'hôte actif pour envoyer lemessage ou la connexion à l'hôte actif aété supprimée lors d'une conversation.

Vérifiez que l'hôte actif peut recevoirdes e-mails.

Tableau 13-4 Messages d'erreur permanente

Erreur Cause Action

550 L'hôte/le domaine n'est pasautorisé

McAfee DLP Prevent a refusé laconnexion à partir du MTA source.

Vérifiez que le MTA se trouve dans laliste des hôtes autorisés de lacatégorie de stratégies Paramètresd’e-mail de McAfee DLP Prevent.

550 x.x.x.x: Denied by policy. TLSconversation required (550 :refusé en raison d'une stratégie.Conversation TLS requise)

L'hôte actif n'a pas accepté unecommande STARTTLS mais McAfeeDLP Prevent est configuré pourtoujours envoyer les e-mails via uneconnexion TLS.

Vérifiez la configuration de TLS surl'hôte.

Gestion des appliances McAfee DLP et résolution de problèmesMessages d'erreur 13


Tableau 13-5 Messages d'erreur ICAP

Erreur Cause Action

500 (Impossible devérifier les données parrapport au serveur dedocuments enregistrés)

Le serveur de documents enregistrés n’est pasdisponible.

Vérifiez votre configurationpour confirmer que leserveur est disponible etque les détails que vousavez saisis sont corrects.

500 (configuration duserveur LDAP manquante)

Cette erreur se produit lorsque les deux conditionssuivantes sont remplies :• McAfee DLP Prevent contient une règle qui

spécifie un expéditeur en tant que membre d'ungroupe d'utilisateurs LDAP.

• McAfee DLP Prevent n'est pas configuré pourrecevoir des informations sur les groupes à partirdu serveur LDAP qui contient ce grouped'utilisateurs.

Vérifiez que le serveur LDAPest sélectionné dans lacatégorie de stratégiesUtilisateurs et groupes.

500 (Erreur lors de larésolution de la stratégiebasée sur l'utilisateurfinal)

Une stratégie contient des conditions d'expéditeurLDAP, mais ne parvient pas à obtenir lesinformations à partir du serveur LDAP pour lesraisons suivantes :• McAfee DLP Prevent et le serveur LDAP ne sont

pas synchronisés.

• Le serveur LDAP ne répond pas.

Vérifiez que le serveur LDAPest disponible.

Création d'un rapport pour la procédure d'escalade minimale (MER)Créez un rapport pour la procédure d’escalade minimale, afin de fournir au support technique McAfee lesinformations nécessaires pour diagnostiquer un problème au niveau d'une appliance McAfee DLP.

Vous pouvez télécharger le rapport pour la procédure d’escalade minimale. Cinq rapports peuvent êtredisponibles simultanément, chaque rapport étant supprimé au bout de 24 heures. Si un autre rapport estgénéré, le rapport le plus ancien est supprimé. La génération d'un rapport pour la procédure d'escalademinimale peut prendre plusieurs minutes, et le fichier fait plusieurs mégaoctets.

Le rapport contient des renseignements tels que les journaux du matériel, les versions logicielles, l'utilisation dela mémoire et du disque, ainsi que des informations sur le réseau et le système, ou concernant les fichiersouverts, les processus actifs, la communication inter-processus, les fichiers binaires, la génération de rapports,les images de secours et les tests système.

Le rapport ne contient pas le détail des preuves ou d'informations de surlignage des correspondances.

Meilleure pratique : lorsque vous créez un rapport pour la procédure d'escalade minimale, spécifiez un mot depasse pour le sécuriser. N'oubliez pas d'inclure le mot de passe lorsque vous envoyez le rapport au supporttechnique McAfee.

Procédure

1 Connectez-vous à l'appliance avec des informations d'identification d'administrateur.


2 Utilisez la touche Bas pour sélectionner Generate MER.

13 Gestion des appliances McAfee DLP et résolution de problèmesCréation d'un rapport pour la procédure d'escalade minimale (MER)


3 Saisissez un mot de passe que le support technique McAfee peut utiliser pour ouvrir le rapport MER, puisutilisez la touche fléchée pour accéder au champ de confirmation du mot de passe.

4 Appuyez sur Entrée pour lancer la génération du rapport.

Lorsque le rapport est prêt, une notification vous indique l'URL (https://<APPLIANCE>:10443/mer) à partir delaquelle vous pouvez télécharger le rapport.

5 Accédez à l'URL, puis sélectionnez le rapport pour la procédure d'escalade minimale que vous souhaiteztélécharger.

6 Suivez les instructions du support technique McAfee pour envoyer le rapport.

N'oubliez pas d'inclure le mot de passe si vous en avez défini un.

Gestion des appliances McAfee DLP et résolution de problèmesCréation d'un rapport pour la procédure d'escalade minimale (MER) 13


13 Gestion des appliances McAfee DLP et résolution de problèmesCréation d'un rapport pour la procédure d'escalade minimale (MER)


A Annexe

Les tableaux suivants fournissent des informations de référence détaillées sur les fonctionnalités de McAfeeDLP.

Sommaire Conversion des stratégies et migration de données Ports par défaut utilisés par McAfee DLP Définitions et critères de classification Expressions régulières pour modèles avancés Propriétés d'équipements La configuration du client prend en charge les règles de protection des données Actions des règles de protection des données Réactions disponibles pour les types de règle Comportement des analyses Tableaux de bord prédéfinis Glossaire

Conversion des stratégies et migration de donnéesPour effectuer une mise à niveau vers McAfee DLP 10.0 ou une version ultérieure à partir de versionsantérieures à 9.4.100, vous devez migrer ou convertir des incidents, des événements opérationnels ou desstratégies. Les tâches serveur McAfee ePO sont utilisées pour la conversion/migration.

Cette tâche décrit la mise à niveau à partir de McAfee DLP Endpoint 9.3.x.

Mettez à niveau l’extension McAfee DLP Endpoint vers la version 9.3.600 (9.3 Patch 6) ou une version ultérieure,puis installez l’extension McAfee DLP 9.4.100 ou ultérieure dans McAfee ePO.

La tâche de conversion de stratégie ne convertit que les règles qui sont activées et appliquées à la base dedonnées. Pour vérifier l'état de règles que vous voulez convertir, passez en revue votre stratégie McAfee DLPEndpoint 9.3 avant la conversion.


Procédure


2 Sélectionnez Conversion de stratégie DLP, puis cliquez sur Actions | Exécuter.

La page Journal des tâches serveur s'ouvre, ce qui vous permet de vérifier que la tâche est en coursd'exécution. La stratégie convertie est compatible avec les stratégies de version 9.4.100 et ultérieures.

La tâche échoue si elle a été précédemment exécutée. Si vous apportez des modifications à la stratégieMcAfee DLP 9.3 et que vous voulez réexécuter la conversion, modifiez la tâche serveur en désactivant l'optionNe pas exécuter la conversion de stratégies si le jeu de règles '[9.3] Jeu de règles de conversion de stratégies' existe surla page Actions. Le jeu de règles précédent est supprimé et remplacé.

3 Retournez à la page Tâches serveur, sélectionnez Migrer des incidents DLP de 9.3.x à 9.4.1 et versions ultérieures,puis cliquez sur Actions | Modifier.

La migration d’événements opérationnels DLP de 9.3.x vers 9.4.1 et versions ultérieures est effectuée de la mêmemanière.

4 Sélectionnez Etat de planification | Activé, puis cliquez deux fois sur Suivant.

La migration est préprogrammée, de sorte que vous pouvez sauter la page Actions.

5 Sélectionnez un type de planification et la fréquence.

Meilleure pratique : planifiez les tâches de migration pendant le week-end ou en dehors des heures detravail en raison de la charge appliquée au processeur.

a Définissez la date de début et la date de fin pour définir une période, et programmez la tâche pourqu'elle soit exécutée toutes les heures.

b Planifiez la répétition de la tâche en fonction de la taille de la base de données d'incidents que vousdevez migrer.

Les incidents sont migrés par segments de 200 000.

6 Cliquez sur Suivant pour passer en revue les paramètres, puis cliquez sur Enregistrer.

Ports par défaut utilisés par McAfee DLPMcAfee DLP utilise plusieurs ports pour les communications réseau. Configurez tous les équipements de miseen œuvre de stratégies ou pare-feux intermédiaires de sorte à autoriser l'utilisation de ces ports là où cela estnécessaire.

Tous les protocoles de la liste utilisent uniquement TCP, sauf indication contraire.

Pour plus d'informations sur les ports qui communiquent avec McAfee ePO, reportez-vous à l'article KB66797de la base de connaissance.

A AnnexePorts par défaut utilisés par McAfee DLP


https://kc.mcafee.com/corporate/index?page=content&id=KB66797

Tableau A-1 Ports par défaut de McAfee DLP Discover

Port, protocole Utilisation

• 137, 138, 139 — NetBIOS

• 445 — SMB

Analyses CIFS

• 80 — HTTP

• 443 — SSL

Analyses Box et SharePointVous pouvez configurer des serveursSharePoint pour utiliser des ports HTTP ou SSLnon standard. Si nécessaire, configurez vospare-feux pour qu'ils autorisent les ports nonstandard.

53 — DNS (UDP) Requêtes DNS

• 1801 — TCP

• 135, 2101*, 2103*, 2105 — RPC

• 1801, 3527 — UDP

*Indique que les numéros de port peuvent être incrémentéspar 11 en fonction des ports disponibles lors del’initialisation.Pour plus d'informations, reportez-vous à l'article https://support.microsoft.com/fr-fr/kb/178517#/en-us/kb/178517de la base de connaissances Microsoft.

Microsoft Message Queuing (MSMQ)

1433 Microsoft SQL

1521 Oracle

3306 MySQL

50000 DB2

6379 Ce port doit être ouvert/autorisé sur lesserveurs McAfee DLP Discover et sur le serveurDLP (serveur de base de données Redis). Labase de données de signatures utilise ce portpour ajouter des documents enregistrés.

Tableau A-2 Ports par défaut de McAfee DLP Prevent et McAfee DLP Monitor

Port Utilisation Direction au niveau del’appliance

22 — SSH SSH (si activé) Entrant

161 (UDP) SNMP (si activé) Entrant

162 (UDP) Interruptions SNMP (si activé) Sortant

445 — SMB, 137, 138, 139 —NetBIOS

Copie de preuve Sortant

8081 — McAfee ePO Service d’agent McAfee ePO Entrant

10443 — HTTPS Trafic HTTPS pour téléchargement, parexemple, le rapport pour la procédured'escalade minimale (MER) et les fichiers MIB

Entrant

53 — DNS (UDP) Requêtes DNS Sortant

123 — NTP (UDP) Demandes NTP Entrant et sortant

389, 636 : LDAP et Secure LDAP Obtention de groupes pour l’évaluation derègles

Sortant

AnnexePorts par défaut utilisés par McAfee DLP A


https://support.microsoft.com/en-us/kb/178517#/en-us/kb/178517

https://support.microsoft.com/en-us/kb/178517#/en-us/kb/178517

Tableau A-2 Ports par défaut de McAfee DLP Prevent et McAfee DLP Monitor (suite)

Port Utilisation Direction au niveau del’appliance

80, 443 — HTTP et HTTPS Communication de serveur McAfee ePO,requêtes de réputation d’URL et services dedocuments enregistrés

Sortant

61613 McAfee Logon Collector Sortant

Tableau A-3 Ports par défaut de McAfee DLP Prevent

Port Utilisation Direction

25 — SMTP Trafic SMTP avec l'agent MTA Entrant et sortant

1344, 11344 : ICAP et ICAP over SSL Trafic ICAP avec le proxy web Entrant

Pour plus d’informations sur les ports utilisés par McAfee ePO, reportez-vous à l’article https://kc.mcafee.com/corporate/index?page=content&id=kb66797

Définitions et critères de classificationLes définitions et critères de classification contiennent une ou plusieurs conditions décrivant les propriétés ducontenu ou des fichiers.

Tableau A-4 Conditions disponibles

Propriété S'applique à : Définition Produits

Modèle avancé Définitions,critères

Expressions régulières ou expressions utiliséespour détecter des données telles que des dates oudes numéros de cartes de crédit.

Tous les produits

Dictionnaire Définitions,critères

Ensembles de mots clés et expressions connexes,tels que du contenu obscène ou de la terminologiemédicale.

Mot clé Critères Valeur de chaîne.Vous pouvez ajouter plusieurs mots clés à laclassification de contenu ou aux critèresd'empreintes de contenu. La valeur booléenne pardéfaut pour plusieurs mots-clés est OR, mais vouspouvez aussi utiliser AND.

Proximité Critères Définit une liaison entre deux propriétés enfonction de leur emplacement relatif l’un parrapport à l’autre.Vous pouvez utiliser des modèles avancés, desdictionnaires ou des mots clés pour l'une ou l'autredes propriétés.

Le paramètre Proximité est défini comme« inférieur à x caractères », la valeur par défautétant de 1. Vous pouvez également spécifier leparamètre Nombre de correspondances pourdéterminer le nombre minimal decorrespondances nécessaire pour générer uneoccurrence.

A AnnexeDéfinitions et critères de classification


https://kc.mcafee.com/corporate/index?page=content&id=kb66797

https://kc.mcafee.com/corporate/index?page=content&id=kb66797

Tableau A-4 Conditions disponibles (suite)


Propriétés dedocuments

Définitions,critères

Contient les options suivantes :• Toute propriété • Dernier

enregistrementpar

• Auteur • Nom dugestionnaire

• Catégorie • Sécurité

• Commentaires • Objet

• Société • Modèle

• Mots clés • Titre

Toute propriété est une propriété définie parl'utilisateur.

Chiffrement desfichiers

Critères Contient les options suivantes :• Non chiffré*

• Auto-extracteur chiffré McAfee

• McAfee Endpoint Encryption

• Chiffrement Microsoft Rights Management*

• Chiffrement Seclore Rights Management

• Types de chiffrement non pris en charge oufichier protégé par mot de passe*

• McAfee DLPEndpoint pourWindows (toutes lesoptions)

• McAfee DLPDiscover, McAfeeDLP Prevent, McAfeeDLP Monitor(options marquéesd’un *)

Extension defichier


Groupes de types de fichiers pris en charge, parexemple les fichiers MP3 et PDF.

Tous les produits

Informations surle fichier


Contient les options suivantes :• Date d'accès • Nom du fichier*

• Date de création • Propriétaire dufichier

• Date demodification

• Taille du fichier*

• Extension defichier*

• Tous les produits

• McAfee DLP Preventet McAfee DLPMonitor (optionsmarquées d’un *)

Emplacementdans le fichier

Critères Section du fichier dans laquelle se trouvent lesdonnées.• Documents Microsoft Word : le moteur de

classification peut identifier les valeurs de typeEn-tête, Corps et Pied de page.

• Documents PowerPoint : WordArt est considérécomme une valeur de type En-tête, tout le resteest identifié comme étant de type Corps.

• Autres documents : les valeurs de type En-tête etPied de page ne sont pas disponibles. Cescritères de classification ne bloquent pas ledocument lorsqu'ils sont sélectionnés.

AnnexeDéfinitions et critères de classification A


Tableau A-4 Conditions disponibles (suite)


Balises tierces Critères Cette propriété est utilisée pour spécifier les nomset les valeurs de champ Titus.

• McAfee DLPEndpoint pourWindows



Type de fichiervrai


Groupes de types de fichier.Par exemple, le groupe intégré Microsoft Excelcomprend les fichiers Excel XLS, XLSX et XML, ainsique les fichiers Lotus WK1 et FM3, les fichiers CSVet DIF, les fichiers iWork d'Apple, et bien d'autres.

Tous les produits

Modèled'application

Définitions Application ou fichier exécutable qui accède aufichier.

• McAfee DLPEndpoint pourWindows

• McAfee DLPEndpoint for Mac

Grouped'utilisateursfinaux

Définitions Permet de définir des autorisations declassification manuelles.

Partage réseau Définitions Partage réseau dans lequel le fichier est stocké. McAfee DLP Endpointpour Windows

Liste d'URL Définitions URL d'accès au fichier.

Expressions régulières pour modèles avancésLes modèles avancés de McAfee DLP utilisent des expressions régulières pour la mise en correspondance demodèles complexes.

Les définitions de modèles avancés utilisent la syntaxe d’expressions régulières Google RE2. Par défaut, ellessont sensibles à la casse. Bien qu’une description complète de la syntaxe RE2 dépasse la portée de cedocument, certains des termes les plus souvent utilisés sont répertoriés dans le tableau ci-après.

[abc] Correspond à un seul caractère : a, b ou c

[^abc] Correspond à un seul caractère : ni a, b ou c

[0-9] Correspond à un seul caractère dans l’intervalle 0 à 9

[^0-9] Correspond à un seul caractère en dehors de l’intervalle 0 à 9

(ab|cd) Correspond à ab ou cd

\d Correspond à tout chiffre ASCII

\D Correspond à tout caractère non numérique

\s Correspond à tout caractère d’espace

\S Correspond à tout caractère différent d’un espace

\w Correspond à tout caractère alphanumérique

\W Correspond à tout caractère non alphanumérique

\b Limite de mot ASCII

\ (si utilisé avec un caractèrede ponctuation, parexemple \]

Correspond à ] (supprime la signification spéciale du caractère suivant)

. Tout caractère unique

A AnnexeExpressions régulières pour modèles avancés


* Modifie le jeton précédent pour correspondre 0 ou plusieurs fois

+ Modifie le jeton précédent pour correspondre 1 ou plusieurs fois

{3,4} Modifie le jeton précédent pour correspondre 3 ou 4 fois

? Modifie le jeton précédent pour correspondre 0 ou 1 fois (le rend facultatif)

(?i) Correspondance non sensible à la casse jusqu’à la fermeture suivante ) (permetde prendre en charge les () imbriquées, par exemple : ((?i)non sensible)sensible

(?-i) Correspondance sensible à la casse jusqu’à la fermeture suivante )

Propriétés d'équipementsLes propriétés d'équipements spécifient les caractéristiques d'équipements telles que leur nom, leur type debus ou leur type de système de fichiers.

Le tableau indique les définitions des propriétés d'équipements, les types de définition qui utilisent chaquepropriété et le système d'exploitation auxquels elles s'appliquent.

Tableau A-5 Types de propriétés d'équipements



Description

Type de bus Tout • Windows :Bluetooth,Firewire(IEEE1394),IDE/SATA, PCI,PCMIA, SCSI,USB

• Mac OS X :Firewire(IEEE1394),IDE/SATA, SD,Thunderbolt,USB

Permet de choisir le type de bus deséquipements dans la liste proposée.

Pour les règles des équipementsPlug-and-Play, McAfee DLP Endpoint forMac prend en charge le type de bus USBuniquement.

Lecteurs CD/DVD Stockageamovible

• Windows

• Mac OS X

Sélectionnez un lecteur de CD ou de DVD.

Contenu chiffré parEndpoint Encryption

Stockageamovible

Windows Equipements protégés par Endpoint Encryption.

Classe d'équipement Plug-and-Play Windows Permet de choisir la classe d'équipement dansla liste des équipements managés proposée.

ID d'équipementcompatible

Tout Windows Liste des descriptions d'équipementsphysiques. Cette option est particulièrementutile avec les types d'équipements autresqu'USB et PCI, qui sont plus facilementidentifiables à l'aide de l'ID fournisseur/IDd'équipement PCI ou de l'ID fournisseur/ID deproduit USB.

AnnexePropriétés d'équipements A


Tableau A-5 Types de propriétés d'équipements (suite)



Description

ID d’instance del’équipement(Microsoft Windows XP)Chemin d'instance del'équipement(Windows Vista etsystèmes d'exploitationMicrosoft Windowsultérieures, y comprisles serveurs)

Tout Windows Chaîne générée par Windows qui identifie defaçon unique l’équipement dans le système.Exemple :

USB\VID_0930&PID_6533\5&26450FC&0&6.

Nom convivial del'équipement

Tout • Windows

• Mac OS X

Nom lié à l'équipement matériel, représentantson adresse physique.

Type de système defichiers

• Disque durfixe


• Windows :CDFS, exFAT,FAT16, FAT32,NTFS, UDFS

• Mac OS X :CDFS, exFAT,FAT16, FAT32,HFS/HFS+,NTFS, UDFS

Mac OS X prenduniquement encharge FAT surles disquesautres que ledisque dedémarrage.Mac OS X prenden charge NTFSen lectureseule.

Type de système de fichiers.• Pour les disques durs, sélectionnez l'un des

systèmes exFAT, FAT16, FAT32 ou NTFS.

• Pour les équipements de stockage amovibles,sélectionnez l'un des systèmes précédentsainsi que CDFS ou UDFS.

Accès au système defichiers

Stockageamovible

• Windows

• Mac OS X

Type d'accès au système de fichiers : lectureseule ou lecture-écriture.

Etiquette de volume dusystème de fichiers

• Disque durfixe


• Windows

• Mac OS X

Etiquette de volume définie par l'utilisateur,consultable dans l'Explorateur Windows. Lescorrespondances partielles sont autorisées.

Numéro de série duvolume du système defichiers

• Disque durfixe


Windows Numéro 32 bits généré automatiquementlorsqu'un système de fichiers est créé sur lepériphérique. Il est consultable en exécutant laligne de commande dir x:, où x: désigne lalettre du lecteur.

A AnnexePropriétés d'équipements


Tableau A-5 Types de propriétés d'équipements (suite)



Description

ID fournisseur PCI/ID depériphérique PCI

Tout Windows PCI VendorID (ID fournisseur PCI) / DeviceID (IDde périphérique PCI) incorporés dansl’équipement PCI. Il est possible d’obtenir cesparamètres à partir de la chaîne d’ID matérieldes équipements physiques.Exemple :

PCI\VEN_8086&DEV_2580&SUBSYS_00000000&REV_04

Equipements TrueCrypt Stockageamovible

Windows Sélectionnez cette option pour spécifier unéquipement TrueCrypt.

Code de classe USB Plug-and-Play Windows Identifie un équipement USB physique par safonction générale. Sélectionnez le code declasse dans la liste proposée.

Numéro de série del'équipement USB

• Plug-and-Play


• Windows

• Mac OS X

Chaîne alphanumérique unique attribuée par lefabricant de l’équipement USB, généralementpour les équipements de stockage amovibles.Le numéro de série est la dernière partie de l'IDde l'instance.Exemple :

USB\VID_3538&PID_0042\00000000002CD8Un numéro de série valide doit comporter aumoins 5 caractères alphanumériques et aucun& (et commercial). Si la dernière partie de l'IDde l'instance ne respecte pas cette condition, ilne s'agit pas d'un numéro de série.

Vous pouvez entrer un numéro de série partielen utilisant la comparaison Contains (Contient)plutôt que Equals (Est égal à).

ID fournisseur/ID deproduit de l'équipementUSB

• Plug-and-Play


• Windows

• Mac OS X

L’ID du fournisseur USB et l’ID del’équipement USB sont incorporés dansl’équipement USB. Il est possible d’obtenir cesparamètres à partir de la chaîne d’ID matérieldes équipements physiques.Exemple :

USB\Vid_3538&Pid_0042

La configuration du client prend en charge les règles de protection desdonnées

Les règles de protection des données utilisent les paramètres de configuration du client.

Meilleure pratique : pour optimiser les règles de protection des données, configurez le client de façon àrépondre aux exigences des différents jeux de règles.

Le tableau suivant répertorie les règles de protection des données et les paramètres spécifiques de laconfiguration client qui ont une incidence sur elles. Dans la plupart des cas, vous pouvez accepter la valeur pardéfaut.

AnnexeLa configuration du client prend en charge les règles de protection des données A


Tableau A-6 Règles de protection des données et paramètres de configuration du client

Règle de protectiondes données

Page et paramètres de la configuration du client

Protection de l'accèsaux fichiersd'application

Suivi du contenu : ajoutez ou modifiez les processus inclus dans la liste blanche

Protection duPresse-papiers

• Mode de fonctionnement et modules : activez le service de Presse-papiers.

• Protection du Presse-papiers : ajoutez ou modifiez les processus inclus dans la listeblanche. Activez ou désactivez le Presse-papiers Microsoft Office.

Le Presse-papiers de Microsoft Office est activé par défaut. Lorsqu'il est activé, vous nepouvez pas empêcher les opérations de copie d'une application Office à une autre.

Protection du cloud Mode de fonctionnement et modules : sélectionnez les gestionnaires de protection ducloud.

Protection de lamessagerie

• Mode de fonctionnement et modules : activez les logiciels de messagerie disponibles(Lotus Notes, Microsoft Outlook). Pour Microsoft Outlook, sélectionnez les modulescomplémentaires requis.

Dans les systèmes où Microsoft Exchange et Lotus Notes sont disponibles, les règlesde messagerie ne fonctionnent pas si le nom du serveur de messagerie sortant(SMTP) n'est pas configuré pour les deux.

• Protection de la messagerie : sélectionnez des compléments tiers de MicrosoftOutlook (Boldon James ou Titus). Définissez la stratégie d'expiration, ainsi que lesparamètres de mise en cache, d'API et de notification des utilisateurs.

Lorsque le complément tiers est installé et actif, le complément Outlook de McAfeeDLP Endpoint passe automatiquement en mode de contournement. McAfee DLPPrevent et McAfee DLP Monitor ne sont pas compatibles avec Boldon James.

Protection descommunications réseau

• Connectivité d'entreprise : ajoutez ou modifier des serveurs VPN d'entreprise.

• Mode de fonctionnement et modules : activez ou désactivez le pilote de communicationréseau (activé par défaut).

Protection du partageréseau

Aucun paramètre

Protection contrel'impression

• Connectivité d'entreprise : ajoutez ou modifier des serveurs VPN d'entreprise.

• Mode de fonctionnement et modules : sélectionnez les compléments d'application pourl'imprimante.

• Protection contre l'impression : ajoutez ou modifier les processus inclus dans la listeblanche.

Les compléments d'application pour imprimante peuvent améliorer les performancesdes imprimantes lors de l'utilisation de certaines applications courantes. Cescompléments sont installés uniquement lorsqu'une règle de protection contrel'impression est activée sur l'ordinateur managé.

Protection despériphériques destockage amovibles

• Mode de fonctionnement et modules : activez les options avancées.

• Protection des périphériques de stockage amovibles : définissez le mode de suppression.Le mode normal supprime simplement le fichier, tandis que le mode agressifempêche toute récupération du fichier supprimé.

A AnnexeLa configuration du client prend en charge les règles de protection des données


Tableau A-6 Règles de protection des données et paramètres de configuration du client (suite)


Page et paramètres de la configuration du client

Protection contre lescaptures d'écran

• Mode de fonctionnement et modules : activez le service de capture d'écran. Ce serviceest constitué du gestionnaire d'applications et du gestionnaire de la toucheImpression écran, qui peuvent être activés séparément.

• Protection contre les captures d'écran : ajoutez, modifiez ou supprimez desapplications de capture d'écran protégées par des règles de protection contre lescaptures d'écran.

La désactivation du gestionnaire d'applications ou du service de capture d'écrandésactive toutes les applications qui figurent sur la page Protection contre les capturesd'écran.

Protection web • Mode de fonctionnement et modules : activez les navigateurs pris en charge pour laprotection web.

• Protection web : ajoutez ou modifiez des URL incluses dans la liste blanche, activez letraitement des demandes HTTP GET (désactivé par défaut, car elles consommentbeaucoup de ressources) et définissez la stratégie de délai d'expiration du web.

La page contient également la liste des versions de Google Chrome prises en charge.Cette liste est nécessaire en raison de la fréquence des mises à jour de Chrome. Pourla remplir, vous devez télécharger une liste à jour à partir du support techniqueMcAfee et utiliser Parcourir pour installer le fichier XML.

Détails sur les options avancées de protection des périphériques de stockage amovibles

Les sections suivantes décrivent la commande Configuration du client Windows | Mode de fonctionnement etmodules | Options avancées de protection du stockage amovible.

Protéger les supports de disques locaux de TrueCrypt

Les équipements de chiffrement virtuel TrueCrypt peuvent être protégés par des règles d'équipementTrueCrypt ou des règles de protection des périphériques de stockage amovibles. La protection TrueCrypt n'estpas prise en charge sur McAfee DLP Endpoint for Mac.

• Utilisez une règle d'équipement si vous souhaitez bloquer ou surveiller un volume TrueCrypt, ou le définiren lecture seule.

• Utilisez une règle de protection si vous souhaitez une protection des volumes TrueCrypt selon le contenu.

Les signatures sont perdues lorsque le contenu des empreintes est copié sur des volumes TrueCrypt, car lesvolumes TrueCrypt ne prennent pas en charge les attributs de fichier étendus. Pour identifier le contenu, utilisezdes définitions de propriétés de document, de chiffrement de fichiers ou de groupes de types de fichier dans ladéfinition de classification.

Gestionnaire d'équipements portables (MTP)

Le protocole MTP (Media Transfer Protocol) est utilisé pour transférer des fichiers et les métadonnées associéesà partir d'ordinateurs vers des équipements mobiles, tels que des smartphones. Les équipements MTP ne sontpas des équipements amovibles traditionnels, car l'équipement met en œuvre le système de fichiers, pasl'ordinateur auquel il est connecté. Lorsque le client est configuré pour les équipements MTP, la règle deprotection des périphériques de stockage amovibles lui permet d'intercepter les transferts MTP et d'appliquerdes stratégies de sécurité. Seules les connexions USB sont actuellement prises en charge.

AnnexeLa configuration du client prend en charge les règles de protection des données A


Le gestionnaire fonctionne avec tous les transferts de données effectués par l'Explorateur Windows. Il nefonctionne pas avec les équipements iOS, qui utilisent iTunes pour gérer les transferts de données. Pour leséquipements iOS, vous pouvez utiliser une règle pour équipements de stockage amovibles pour configurer leséquipements en lecture seule.

Protection de copie de fichiers avancée

La protection contre la copie de fichiers avancée intercepte les opérations de copie de Windows Explorer et permetau client McAfee DLP Endpoint d'inspecter le fichier à la source avant de le copier sur l'équipement amovible.Elle est activée par défaut, et ne doit être désactivée que pour résoudre les problèmes.

Il existe des cas d'utilisation où la protection de copie avancée ne s'applique pas. Par exemple, un fichier ouvertpar une application et enregistré sur un équipement amovible avec Enregistrer sous revient à la protection decopie normale. Le fichier est copié sur l'équipement, puis inspecté. Si du contenu confidentiel est détecté, lefichier est immédiatement supprimé.

Actions des règles de protection des donnéesPour définir l'action appliquée par les règles de protection des données, vous devez l'entrer sous l'ongletRéaction.

Par défaut, l'action appliquée pour toutes les règles de protection des données est Aucune action. Lacombinaison de ce paramètre et de l'option Signaler l'incident crée une action de surveillance qui peut êtreutilisée pour affiner les règles avant de les appliquer en tant que règles de blocage. En plus de la génération derapports, la plupart des règles vous permettent de stocker le fichier d'origine qui a déclenché la règle, en tantque preuve. Le stockage de preuves est facultatif lorsque vous signalez un incident.

Meilleure pratique : définissez Signaler l'incident comme valeur par défaut pour toutes les règles dansParamètres DLP. Cela évite toute erreur accidentelle susceptible de se produire si vous n'entrez aucune réaction.Vous pouvez modifier la valeur par défaut dès que nécessaire.

L’option de notification d’utilisateur active la fenêtre pop-up de notification d’utilisateur sur le poste client.Sélectionnez une définition de notification utilisateur pour activer l'option.

Différentes actions peuvent être appliquées lorsque l'ordinateur est déconnecté du réseau d'entreprise.Certaines règles autorisent également d'autres actions lorsque l'ordinateur est connecté au réseau par VPN.

Le tableau ci-dessous fournit la liste des actions disponibles en plus de Aucune action, Signaler l'incident,Notification utilisateur et Stocker le fichier d'origine comme preuve.

Tableau A-7 Actions disponibles pour les règles de protection des données


Réactions Informations supplémentaires

Protection de l'accès auxfichiers d'application

Bloquer Lorsque le champ de classification est défini surest n'importe quelle donnée (TOUS), l'action deblocage n'est pas autorisée. Si vous tentezd'enregistrer la règle avec ces conditions, uneerreur apparaît.


Bloquer

A AnnexeActions des règles de protection des données


Tableau A-7 Actions disponibles pour les règles de protection des données (suite)



Protection du cloud • Bloquer

• Demander une justification

• Appliquer une stratégie degestion des droits

• Chiffrer

Le chiffrement est pris en charge sur Box,Dropbox, GoogleDrive, iCloud, OneDrivePersonnel, OneDrive Entreprise et Syncplicity. Sivous tentez de télécharger des fichiers chiffrésvers d’autres applications cloud, ils ne peuventpas être enregistrés.

Protection de lamessagerie

Actions McAfee DLP Endpoint :• Bloquer


Pour McAfee DLP Prevent, laseule réaction disponible estAjouter l'en-tête X-RCIS-Action.

Pour McAfee DLP Monitor, laseule réaction est Aucuneaction.

Prend en charge d'autres actions pour McAfeeDLP Endpoint si l'ordinateur n'est pas connectéau réseau d'entreprise.

Protection deséquipements mobiles

Aucune action Pour l'instant, uniquement pris en charge pour lasurveillance (Signaler l'incident et Stocker le fichierd'origine comme preuve).

Protection descommunications réseau

BloquerPour McAfee DLP Monitor, laseule réaction est Aucuneaction.

Le stockage de preuve n’est pas disponible entant qu’option pour McAfee DLP Endpoint.McAfee DLP Endpoint prend en charge d’autresactions lorsque l’ordinateur est connecté auréseau de l’entreprise par VPN.

Protection du partageréseau


• Chiffrer

Les options de chiffrement sont McAfee® File andRemovable Media Protection (FRP) et le logiciel dechiffrement StormShield Data Security.L'action Chiffrer n'est pas prise en charge surMcAfee DLP Endpoint for Mac.

Protection contrel'impression

• Bloquer


Prend en charge d'autres actions si l'ordinateurest connecté au réseau de l'entreprise par VPN.

Protection despériphériques de stockageamovibles

• Bloquer


• Chiffrer

L'action Chiffrer n'est pas prise en charge surMcAfee DLP Endpoint for Mac.

AnnexeActions des règles de protection des données A


Tableau A-7 Actions disponibles pour les règles de protection des données (suite)



Protection contre lescaptures d'écran

Bloquer

Protection web Réactions McAfee DLPEndpoint :• Bloquer


Réactions McAfee DLP Prevent• Aucune action

• Bloquer

Pour McAfee DLP Monitor, laseule réaction est Aucune action

L'action Demander une justification n'est pasdisponibles sur McAfee DLP Prevent.

Réactions disponibles pour les types de règleLes réactions disponibles pour une règle varient selon le type de règle.

• Toutes les règles de protection des données sont disponibles pour McAfee DLP Endpoint. Certaines règlesde protection des données sont disponibles pour McAfee DLP Prevent et McAfee DLP Monitor.

• Les règles de contrôle des équipements sont disponibles pour McAfee DLP Endpoint et Device Control.

• Certaines règles de découverte sont disponibles pour McAfee DLP Endpoint et d'autres pour McAfee DLPDiscover.

Tableau A-8 Réactions des règles

Réaction Règles concernées : Résultat

Aucune action Tout Autorise l'action.

Ajouter l'en-têteX-RCIS-Action

Protection de la messagerie(McAfee DLP Preventuniquement)

Ajoute une valeur d'action pour l'en-tête X-RCIS-Action

Appliquer une stratégiede gestion des droits

• Protection des données

• Découverte du réseau

Non pris en charge surMcAfee DLP Endpoint forMac.

Applique une stratégie de gestion des droits au fichier.

Bloquer • Protection des données

• Contrôle des équipements

Bloque l'action.

Classer le fichier Découverte de terminaux Applique des classifications automatiques et intègrel'ID de marqueur de classification au format du fichier.

Copier Découverte du réseau Copie le fichier à l'emplacement UNC spécifié.

Créer des empreintes decontenu

Découverte de terminaux Applique l'identification du contenu par empreinte aufichier.

A AnnexeRéactions disponibles pour les types de règle


Tableau A-8 Réactions des règles (suite)

Réaction Règles concernées : Résultat

Chiffrer • Protection des données

• Découverte de terminaux


Chiffre le fichier. Les options de chiffrement sont FRPou le logiciel de chiffrement StormShield DataSecurity.

Modifier le partageanonyme sur laconnexion requise

Protection Box de découvertedu réseau

Supprime le partage anonyme pour le fichier.

Déplacer Découverte du réseau Déplace le fichier vers l'emplacement UNC spécifié.Autorise la création d'un fichier d'espaces réservés(facultatif) pour indiquer à l'utilisateur que le fichier aété déplacé. Pour définir le fichier d'espaces réservés,vous devez sélectionner une définition de notificationutilisateur.

Quarantaine Découverte de terminaux Met le fichier en quarantaine.

Lecture seule Contrôle des équipements Force l'accès en lecture seule.

Signaler l'incident Tout Génère une entrée d'incident pour la violation dans leGestionnaire d'incidents DLP.

Demander unejustification

Protection des données Ouvre une fenêtre pop-up sur l'ordinateur del'utilisateur final. Celui-ci sélectionne une justification(et saisit des informations, si l'option est définie) ouune action facultative.

Afficher le fichier dansla console DLP Endpoint

Découverte de terminaux Affiche les éléments Nom de fichier et Chemin d'accèsdans la console Endpoint. Nom de fichier est un lienpermettant d'ouvrir le fichier, sauf s'il est mis enquarantaine. Chemin d'accès permet d'ouvrir le dossiercontenant le fichier.

Stocker l'e-maild'origine comme preuve



Stocke le message d'origine dans le partage depreuve. S'applique aux règles de protection de lamessagerie McAfee DLP Endpoint et McAfee DLPPrevent uniquement.

Stocker le fichierd'origine comme preuve



• Découverte du réseau

Enregistre le fichier pour l'afficher dans le gestionnaired'incidents.

Requiert la définition d'un dossier de preuves etl'activation du service de copie de preuve.

Notification utilisateur • Protection des données

• Contrôle des équipements


Envoie un message au poste client pour informerl’utilisateur de la violation de stratégie.

Lorsque l'option Notification utilisateur estsélectionnée et que plusieurs événements sontdéclenchés, le message pop-up indique Denouveaux événements DLP se trouvent dans laconsole DLP, au lieu d'afficher plusieurs messages.

Reconfiguration des règles d'action pour le contenu web

Vous devez reconfigurer les règles d'action McAfee DLP Prevent pour les utiliser sur des serveurs proxy.

Les serveurs proxy peuvent uniquement AUTORISER ou BLOQUER du contenu web.

AnnexeRéactions disponibles pour les types de règle A


Tableau A-9 Réactions des règles de protection des données de McAfee DLP Endpoint

Règles Réactions

Aucuneaction

Appliquerune

stratégiede

gestiondes droits

Bloquer Chiffrer Signalerl'incident

Demanderunejustification

Stockerle fichier(e-mail)

d'originecommepreuve

Notificationutilisateur

Protection del'accès auxfichiersd'application

X X X X X


X X X X X

Protection ducloud

X X X X X X X X

Protection de lamessagerie(McAfee DLPEndpoint pourWindowsuniquement)

X X X X X

Protectionmobile

X X X

Protection descommunicationsréseau

X X X X

Protection dupartage réseau

X X X X

Protectioncontrel'impression

X X X X X X

Protection deséquipements destockageamovibles

X X X X X X X

Protectioncontre lescaptures d'écran

X X X X X

Protection web X X X X X X

Tableau A-10 Réactions des règles de contrôle des équipements

RèglesRéactions

Aucune action Bloquer Lecture seule

Equipement Citrix XenApp X

Disque dur fixe X X X

Equipement Plug-and-Play X X

Equipements de stockage amovibles X X X

Accès aux fichiers des équipements de stockage amovibles X X

périphérique TrueCrypt X X X

A AnnexeRéactions disponibles pour les types de règle


Tableau A-11 Réactions des règles de découverte McAfee DLP Endpoint

Règles

Réactions

Aucuneaction Chiffrer

Appliquer unestratégie degestion des droits

Mettre enquarantaine

Créer uneempreintede contenu

Classer lefichier

Système defichiersEndpoint

X X X X X X

Protection dustockage dese-mailsEndpoint

X X X

Tableau A-12 Réactions des règles de découverte McAfee DLP Discover

Règles

Réactions

Aucune action Copier DéplacerAppliquer unestratégie de gestiondes droits

Modifier le partage anonymesur la connexion requise

Protection Box X X X X X

Protection desserveurs defichiers (CIFS)

X X X X

Protection deSharePoint

X X X X

Comportement des analysesLe fait de changer les propriétés d'une analyse en cours peut avoir une influence sur son comportement.

Tableau A-13 Effet du changement des propriétés pendant une analyse

Modification Effet

Désactivation de l'analyse L'analyse est interrompue

Supprimer l'analyse L'analyse est interrompue et est supprimée

Modification du nom de l'analyse Concerne uniquement les journaux lors de l'exécutionde l'analyse suivante

Modification de la planification Concerne uniquement l'exécution de l'analyse suivante

Modification de la limitation Concerne uniquement l'exécution de l'analysesuivante*

Modification de la liste de fichiers Concerne uniquement l'exécution de l'analysesuivante*

Modification du référentiel Concerne uniquement l'exécution de l'analyse suivante

Modification des filtres Concerne uniquement l'exécution de l'analyse suivante

Modification des règles Concerne uniquement l'exécution de l'analysesuivante*

Modification de la classification Concerne uniquement l'exécution de l'analysesuivante*

Modification du partage de preuve Concerne l'analyse en cours*

Modification des informations d'identification del'utilisateur de la preuve

Concerne l'analyse en cours*

AnnexeComportement des analyses A


Tableau A-13 Effet du changement des propriétés pendant une analyse (suite)

Modification Effet

Modification des informations d'identification del'utilisateur de la correction

Concerne uniquement l'exécution de l'analysesuivante*

Mise à niveau ou désinstallation du serveur Discover L'analyse s'arrête

* L'effet a lieu lorsqu'un intervalle de communication agent-serveur (ASCI) est écoulé.

Tableaux de bord prédéfinisLe tableau ci-dessous décrit les tableaux de bord McAfee DLP prédéfinis.

Tableau A-14 Tableaux de bord DLP prédéfinis

Catégorie Option Description

DLP : synthèse desincidents

Nombre d'incidents par jour Ces graphiques illustrent le nombre total d'incidentset fournissent plusieurs options de répartition pouranalyser plus facilement des problèmes spécifiques.Nombre d'incidents par gravité

Nombre d'incidents par type

Nombre d'incidents par jeu derègles

DLP : synthèse desopérations

Nombre d'événementsopérationnels par jour

Affiche tous les événements administratifs.

Version de l'agent Affiche la distribution des terminaux dansl'entreprise. Permet de surveiller la progression dudéploiement des agents.

Distribution des produits DLP surles ordinateurs clients

Affiche un graphique à secteurs indiquant le nombrede terminaux Mac et Windows, ainsi que le nombrede terminaux sur lesquels aucun client n'est installé.

Découverte DLP (Terminaux) :état de l'analyse du système defichiers local

Affiche un graphique à secteurs indiquant le nombrede propriétés des analyses de découverte dusystème de fichiers local, ainsi que leur état(terminé, en cours d'exécution, indéfini).

Etat de l'agent Affiche tous les agents et leur état.

Mode de fonctionnement del'agent

Affiche un graphique à secteurs des agents parmode de fonctionnement DLP. Les modes defonctionnement sont les suivants :• Mode de contrôle des périphériques uniquement

• Mode de contrôle des périphériques et deprotection intégrale du contenu

• Mode de contrôle des périphériques et deprotection des périphériques de stockageamovibles selon le contenu

• Inconnu

Découverte DLP (Terminaux) :état de l'analyse du stockage dese-mails local

Affiche un graphique à secteurs indiquant le nombrede propriétés des analyses de découverte dustockage des e-mails local et leur état (terminé, encours d'exécution, non défini).

A AnnexeTableaux de bord prédéfinis


Tableau A-14 Tableaux de bord DLP prédéfinis (suite)

Catégorie Option Description

DLP : synthèse de lastratégie

Distribution des stratégies Affiche la distribution des stratégies DLP par versiondans toute l'entreprise. Permet de surveiller laprogression du déploiement d'une nouvellestratégie.

Jeux de règles mis en œuvre parordinateur client

Affiche un graphique à barres indiquant le nom dujeu de règles et le nombre de stratégies mise enœuvre.

Utilisateurs contournés Affiche le nom du système/nom de l'utilisateur et lenombre de propriétés des sessions utilisateur.

Classes d'équipement non définies(pour les appareils Windows)

Affiche les classes d'équipement non définies pourles équipements Windows.

Utilisateurs avec privilèges Affiche le nom du système/nom de l'utilisateur et lenombre de propriétés des sessions utilisateur.

Distribution de révision de lastratégie

Semblable à Distribution des stratégies, mais afficheles révisions, c'est-à-dire les mises à jour d'uneversion existante.

DLP : récapitulatif de ladécouverte determinaux

Découverte DLP (Terminaux) :Etat le plus récent de l'analyse dusystème de fichiers local

Affiche un graphique à secteurs indiquant l'étatd'exécution de l'analyse du système de fichiers local.

Découverte DLP (Terminaux) :fichiers sensibles les plus récentsdétectés par l'analyse du systèmede fichiers local

Affiche un graphique à barres indiquant le nombre(par intervalle) de fichiers sensibles trouvés parmiles fichiers système.

Découverte DLP (Terminaux) :erreurs les plus récentes détectéespar l'analyse du système defichiers local

Affiche un graphique à barres indiquant le nombre(par intervalle) d'erreurs détectées dans les dossierssystème.

Découverte DLP (Terminaux) :classifications les plus récentesdétectées par l'analyse du systèmede fichiers local

Affiche un graphique à barres indiquant lesclassifications appliquées aux fichiers système.

Découverte DLP (Terminaux) :état le plus récent de l'analyse dela messagerie locale

Affiche un graphique à secteurs indiquant l'étatd'exécution de tous les dossiers de messagerielocaux.

Découverte DLP (Terminaux) :e-mails sensibles les plus récentsdétectés par l'analyse de lamessagerie locale

Affiche un graphique à barres indiquant le nombre(par intervalle) d'e-mails sensibles trouvés dans lesdossiers de messagerie locaux.

Découverte DLP (Terminaux) :erreurs les plus récentes détectéespar l'analyse de la messagerielocale

Affiche un graphique à barres indiquant le nombre(par intervalle) d'erreurs détectées dans les dossiersde messagerie locaux.

Découverte DLP (Terminaux) :classifications les plus récentesdétectées par l'analyse de lamessagerie locale

Affiche un graphique à barres indiquant lesclassifications appliquées aux e-mails locaux.

AnnexeTableaux de bord prédéfinis A


GlossaireTableau A-15 Terminologie McAfee DLP

Durée Définition Produits

Action Mesure appliquée par une règle lorsque du contenucorrespond à la définition de la règle. Les actions les pluscourantes sont Bloquer, Chiffrer ou Mettre en quarantaine.

Tous

Balayage Récupération de fichiers et d'informations à partir deréférentiels, de systèmes de fichiers et d'e-mails.

• McAfee DLP Endpoint(Discovery)


Classification Permet de détecter et de contrôler le contenu confidentiel etles fichiers sensibles. Peut inclure des classifications decontenu, des empreintes d'identification de contenu, desdocuments enregistrés et du texte inclus dans une listeblanche.

Tout

Classification decontenu

Mécanisme permettant de détecter le contenu confidentiel àl'aide de conditions de données, telles que des modèlestextuels et des dictionnaires, et de conditions de fichiers,telles que des propriétés de documents ou des extensions.

Tout

Identification ducontenu parempreinte

Mécanisme de classification et de suivi du contenuconfidentiel. Les critères d'identification de contenu parempreinte permettent de spécifier des applications ou dessites et peuvent inclure des conditions de données et desfichiers. Les signatures d'empreinte sont conservées avec lecontenu confidentiel lorsqu'il est copié ou déplacé.

McAfee DLP Endpointpour Windows

Vecteur de données Définition de l'état ou de l'utilisation du contenu. McAfee DLPprotège les données sensibles lorsqu'elles sont stockées(données stockées passivement), utilisées (données utilisées)et transférées (données en mouvement).

Tout

Définition Elément de configuration qui compose une classification ouune stratégie d'analyse dans McAfee DLP Discover.

Tout

Classed'équipement

Ensemble d'équipements partageant des caractéristiquessimilaires et dont la gestion peut être identique. Les classesd’équipement s’appliquent uniquement aux ordinateursWindows et peuvent avoir l’état Managé, Non managé ouInclus dans la liste blanche.

• Device Control

• McAfee DLP Endpointpour Windows

Serveur Discover Serveur Windows sur lequel le logiciel McAfee DLP Discoverest installé.Vous pouvez installer plusieurs serveurs Discover sur votreréseau.

McAfee DLP Discover

Serveur DLP Serveur McAfee DLP Discover, dont le rôle de serveur estdéfini sur DLP. Les serveurs DLP sont utilisés commeserveurs Redis maîtres pour stocker et synchroniser la basede données de documents enregistrés.

McAfee DLP Discover

Informations sur lefichier

Définition pouvant inclure le nom du fichier, sonpropriétaire, sa taille, son extension, ainsi que sa date decréation et la date à laquelle il a été modifié ou consulté pourla dernière fois.Vous pouvez utiliser ces définitions d'informations de fichierdans des filtres pour inclure ou exclure des fichiers del'analyse.

Tous les produits

A AnnexeGlossaire


Tableau A-15 Terminologie McAfee DLP (suite)


Identification parempreinte

Procédure d’extraction de texte qui utilise un algorithmepour établir une correspondance entre un document et dessignatures. Utilisée pour la création de documents enregistréset l’identification de contenu par empreinte.




Conformité FIPS La configuration et l'utilisation du logiciel de cryptographieest conforme au standard Federal Information ProcessingStandard 140-2





Equipementsmanagés

Etat de classe d'équipement indiquant que les équipementsde cette classe sont managés par Device Control.

• Device Control


Chaînecorrespondante

Contenu détecté qui répond aux définitions d'une règle. Tous les produits

MTA Agent de transfert de messages McAfee DLP Prevent

Chemin d'accès Chemin UNC, adresse IP ou adresse web. • McAfee DLP Endpoint(Discovery)




Stratégie Ensemble de définitions, de classifications et de règles quidéfinissent la façon dont le logiciel McAfee DLP protège lesdonnées.

Tous les produits

Réviseur derédaction

Permet de rédiger les informations confidentielles dans lesconsoles Gestionnaire d'incidents et Opérations DLP demanière à empêcher toute consultation non autorisée.

Tous les produits

Documentsenregistrés

Fichiers pré-analysés issus de référentiels spécifiés. VoirIdentification par empreinte.Enregistrement manuel : les signatures des fichiers sontchargées sur la base de données McAfee ePO, distribuées àtous les postes clients managés et utilisées pour localiser etclasser le contenu copié à partir de ces fichiers. Pris encharge par McAfee DLP Endpoint pour Windows(uniquement).

Enregistrement automatique : produits par les analysesd’enregistrement McAfee DLP Discover et stockés dans lesbases de données d’empreintes sur les serveurs McAfee DLPDiscover. Pris en charge sur les produits McAfee DLP réseau.





Référentiel Dossier, serveur ou compte contenant des fichiers partagés.Une définition de référentiel comprend les chemins d'accèset les informations d'identification permettant d'analyser lesdonnées.



Règle Définit les mesures prises lors d'une tentative de transfert oude transmission de données confidentielles.

Tous les produits

Jeux de règles Combinaison de règles. Tous les produits

AnnexeGlossaire A


Tableau A-15 Terminologie McAfee DLP (suite)


Planificateur Définition qui détermine les détails d'analyse et le type deplanification (quotidienne, hebdomadaire, mensuelle, uniqueou immédiate).



Stratégie McAfee DLP Endpoint répartit les applications en quatrecatégories, appelées stratégies, qui déterminent lefonctionnement du logiciel pour différentes applications. Cesstratégies sont les suivantes, par ordre de sécuritédécroissante : Editeur, Explorateur, Approuvé, et Archiveur.

McAfee DLP Endpoint

Equipements nonmanagés

Etat de classe d'équipement indiquant que les équipementsde cette classe ne sont pas managés par Device Control.Certains ordinateurs clients utilisent des équipements quiprésentent des problèmes de compatibilité avec les pilotesd'équipement McAfee DLP Endpoint. Pour éviter toutproblème de fonctionnement, ces équipements sont définissur Non managé.

• Device Control


Equipements inclusdans la liste blanche

Etat de classe d'équipement indiquant que Device Control netente pas de contrôler les équipements de cette classe. Ils'agit par exemple des périphériques batteries et desprocesseurs.

Device Control McAfeeDLP Endpoint pourWindows

A AnnexeGlossaire


Index

Aaccès aux fichiers

règles, à propos de 79

adresses e-mailcréation 113

importation 113

analyse d’enregistrement 166

analysesclassification 148, 164

correction 149, 165

enregistrement 166

informations d'identification 158

inventaire 148, 163

planificateur 161

référentiels 159, 160

résultats 168

types de 17

analyses d'inventaireà propos de 148

configuration 163

analyses de classificationà propos de 148

configuration 164

analyses de correctionà propos de 149

configuration 165

analyses lancées par l'utilisateur 139

analyseur d'événements 13

API REST 47, 73, 105, 107, 113

appliance DLPéviter les attaques par déni de service 53

McAfee Logon Collector 61

appliances DLPMcAfee Logon Collector 57

serveurs LDAP 57

stratégiesélectionne un serveur LDAP 60

attaque par déni de serviceéviter 53

authentification auprès de Web Protection 57

auto-correction utilisateur 139

Avantages de l'intégrité du système 200

Bbande passante 152

Boldon James 109

Box 116

Ccaractères génériques, dans les définitions d'adresse e-mail 117

casà propos de 184

affectation des incidents 186

ajout de commentaires 187

création 185

envoi de notifications 187

étiquettes 188

journaux d'audit 185

mise à jour 187

suppression 188

catalogue de stratégies 33

certificats 222

Chrome, versions prises en charge 120

classes d'équipement 69

classification 87, 100

courrier électronique 109

créer 105

critères 101

manuelle 95

classification de contenucritères 88

classification de courriers électroniques 109

classification manuelle 98, 103

classification manuelle, persistance de la 88

classification, manuelle 103

classificationsà propos de 87

configuration client 34

arborescence des systèmes 33

configuration des agentsprise en charge sur Mac OS 37

connexion à distanceGestion partagée des appliances 62

connexion à Secure ShellGestion partagée des appliances 62

console client 13–15


contrôle d'accès basé sur les rôles 49

contrôle d’application web 121

conversion 229

critères d'empreintes 103

critères d'identification de contenu par empreinte 25

cumul de données 194

Ddate et heure

Gestion partagée des appliances 62

découverteà propos de 140

configuration 143

création d'une règle de découverte du système de fichiers 141

découverte de terminaux 139

Définition de serveur DNSGestion partagée des appliances 62

définitionsextension de fichier 94


informations sur le fichier 157

McAfee DLP Discover 155

planificateur 161

pour des analyses 157

propriétés de document 94


définitions de propriétés de document 94

définitions de règle 111

définitions de réseauà propos de 90

intervalle d'adresses 112

intervalle de ports 112

définitions, pour les règles 111

demande d'authentification/réponse 143

désactiver l'analyse SMTP 53

destinations webà propos de 90

dictionnairesà propos de 92

création 105

importation d'entrées 105

DLP Discover 140

DLP Preventactiver TLS 55

antirelais 55

avec McAfee Web Gateway 63

configurer des MTA supplémentaires 54

désactiver l'analyse du trafic web 56

et McAfee Email Gateway 62

hôtes autorisés 55

notifications utilisateurs 122

paramètres d'expiration 52

protection de la messagerie 18

protection web 19

réactions des règles 118

DLP Prevent (suite)remise par répétition alternée 54

documents enregistrés 25, 98

automatiquement 100, 150

manuellement 99, 101

données DLP, classification 93

dossier de preuves 45

Dropbox 116

Ee-mail 90

mobile 21

réseau 18

e-mails réseau 18

emplacement, classification par 91

empreintes de contenucritères 88

en-tête X-RCIS-Action 118

ensembles d'autorisations 48

ensembles d'autorisations, définition 49

ensembles d'autorisations, filtrage de l'Arborescence des systèmes 46

équipementslistes, ajout de modèles Plug-and-Play 74

équipements Plug-and-Playmodèle inclus dans la liste blanche, création 74

espaces réservés 122

état et résolution personnalisés 173

événements opérationnels 175

exceptions aux règles 124

extensions de fichierdéfinitions 94

extracteur de texte 91

Ffichiers OST 90

fichiers PST 90

filtres 157

définitions de réseau 90

Fonctionnalités de McAfee ePO 65

GGestion des appliances 62

gestion des droits 40, 42


gestionnaire d'incidents 174, 175

Gestionnaire d'incidents DLPréponse à des événements 174

Gestionnaire d'incidents DLP 174

gestionnairesprotection du cloud 116

Google Chrome, versions prises en charge 120

GoogleDrive 116

groupe localensemble d'autorisations de McAfee DLP Prevent 49

Index


groupesmodèles d'équipement 73

GUID, voir GUID d'équipement GUID d'équipement 70

HHotFix 220

Iimage d'installation interne 220

incidentsaffichages 178

détails 180

étiquettes 183

filtrage 178, 179

mise à jour 181, 182

tri 178


installationpatch ou HotFix 220

Intégrité du systèmeAvantages 200

Jjeux de règles

à propos de 111

création 124

Journalisation à distanceGestion partagée des appliances 62

justification métier, personnalisation 122

LLDAP 60

limitation 152

limites 152

listes blanches 26

modèles Plug-and-Play, création 74

listes d'adresses e-mail 117

listes d'URLcréation 107

Mmarquage 87

à propos de 88

marqueurs intégrés 95, 97

McAfee DLPrègles de protection de McAfee DLP Monitor 20

McAfee DLP Monitor 20

McAfee DLP PreventAssistant d'installation 219

ensembles d’autorisations 49

remplacer le certificat par défaut 222

McAfee Email Gatewayavec McAfee DLP Prevent 62

McAfee Logon Collector 57

McAfee Web Gatewayavec McAfee DLP Prevent 63

meilleures pratiques 25, 46, 71, 74, 129, 229

messagerie mobile 21

migration 229

modèles avancéscréation 106

modèles d’équipement 71

groupes 73

stockage amovible 74

modèles de texteà propos de 93

MTAajouter d'autres 54

Nnotification utilisateur, personnalisation 122

notifications ePO 193

notifications, ePolicy Orchestrator 193

OOLAP 168

OneDrive 116

Opérations DLP 174

Outil de diagnostic 211, 213

Pparamètres antirelais 55

paramètres d'expiration 52

parties prenantes 173

patchmise à niveau 220

planificateur 161

ports par défaut 230

Presse-papiersMicrosoft Office 116

preuvestockage pour contenu chiffré 43

preuvesévénements de terminaux 174

prise en charge d'OS X 15

prise en charge de MacOS 71

prise en charge de TIE 116

prise en charge JAWS 14

prise en charge OS X 71

programmes de validation 93

propriété d'équipements 76, 235

proximité 88

Index


Qquarantaine

restauration de fichiers ou d'emails à partir de 143

Rrapports ePO 193

réactions 242

réactions des règles 118

rédaction 46


règles 114

à propos de 156

Citrix XenApp 79

création 124

exceptions 124

pour analyses de correction 162

protection de la messagerie 117

protection du cloud 116

réactions 242

règles d'équipement 124

règles de classification 24

règles de découverte de terminaux 124

règles de périphériquesà propos de 79

Règles de périphériques Citrix XenApp 79

Règles de périphériques TrueCrypt 79

règles de protection 124

Règles de protection contre l'impression 90

règles de protection de la messagerie 117

règles de protection du cloud 116

règles de protection du Presse-papiers 116

règles de protection web 120

règles DLPclassification 24

équipement 26

protection 26

règles pour équipementsdéfinition 26

règles stockant des preuves 44

remise des messages par répétition alternée 54

RMM 218

rôle d’administrateurensemble d'autorisations 49

rôle de réviseurensemble d'autorisations 49

rôles et autorisations 45

routage statiqueGestion partagée des appliances 62

Sserveurs Active Directory 57

serveurs d'authentification 57

serveurs OpenLDAP 57

service de surveillance 34

sessions utilisateur 79

SMTPdésactiver l'analyse 53

SNMPGestion partagée des appliances 62

spécification de fuseau horaireGestion partagée des appliances 62

stockage de preuves 43

stratégie, voir définitions d'applications stratégie de délai d'expiration, publication web 120

stratégie Gestion des appliances DLP 52

stratégie Gestion partagée des appliances 52

stratégie Paramètres d’e-mail de DLP Preventdésactiver l'analyse SMTP 53

stratégie, configuration 157

stratégiesdéfinition 26

Gestion des appliances DLP 52


stratégies, réglage 213

Support OS X 67, 79, 81, 87, 91, 95, 116, 119

surlignage de correspondances, événements 43

surveillance 174

surveillance du service du client 34

Syncplicity 116

Ttâches d'événements opérationnels 189

tâches relatives aux incidents 174, 189

tâches serveur 189, 229

tâches serveur, cumul 194

texte inclus dans la liste blanche 102

texte riche, dans les notifications 128

Titus, intégration 108

TLSactiver 55

Transport Layer Securityvoir TLS 55

types de règles de protection 20

Uutilisation en ligne/hors ligne 13

Vversions de Chrome non prises en charge 116

Index


c-03