Révision A Guide Produit - Knowledge Center · 2016-09-19 · Présentation de ce guide .....9...

Guide ProduitRévision A

McAfee Data Loss Prevention 10.0.100Pour une utilisation avec McAfee ePolicy Orchestrator

COPYRIGHT

© 2016 Intel Corporation

DROITS DE MARQUESIntel et le logo Intel sont des marques commerciales déposées d'Intel Corporation aux États-Unis et/ou dans d'autres pays. McAfee et le logo McAfee,McAfee Active Protection, McAfee DeepSAFE, ePolicy Orchestrator, McAfee ePO, McAfee EMM, McAfee Evader, Foundscore, Foundstone, Global ThreatIntelligence, McAfee LiveSafe, Policy Lab, McAfee QuickClean, Safe Eyes, McAfee SECURE, McAfee Shredder, SiteAdvisor, McAfee Stinger, McAfeeTechMaster, McAfee Total Protection, TrustedSource, VirusScan sont des marques commerciales ou des marques commerciales déposées de McAfee, Inc.ou de ses filiales aux États-Unis et dans d'autres pays. Les autres noms et marques sont la propriété de leurs détenteurs respectifs.

INFORMATIONS DE LICENCE

Accord de licenceÀ L'ATTENTION DE TOUS LES UTILISATEURS : VEUILLEZ LIRE ATTENTIVEMENT L'ACCORD LÉGAL APPROPRIÉ CORRESPONDANT À LA LICENCE QUEVOUS AVEZ ACHETÉE, QUI DÉFINIT LES CONDITIONS GÉNÉRALES D'UTILISATION DU LOGICIEL SOUS LICENCE. SI VOUS NE CONNAISSEZ PAS LETYPE DE LICENCE QUE VOUS AVEZ ACQUIS, CONSULTEZ LES DOCUMENTS DE VENTE, D'ATTRIBUTION DE LICENCE OU LE BON DE COMMANDE QUIACCOMPAGNENT LE LOGICIEL OU QUE VOUS AVEZ REÇUS SÉPARÉMENT LORS DE L'ACHAT (SOUS LA FORME D'UN LIVRET, D'UN FICHIER SUR LECD-ROM DU PRODUIT OU D'UN FICHIER DISPONIBLE SUR LE SITE WEB À PARTIR DUQUEL VOUS AVEZ TÉLÉCHARGÉ LE PACKAGE LOGICIEL). SI VOUSN'ACCEPTEZ PAS TOUTES LES DISPOSITIONS DE CET ACCORD, NE PROCÉDEZ PAS À L'INSTALLATION DU LOGICIEL. LE CAS ÉCHÉANT, VOUS POUVEZRETOURNER LE PRODUIT À MCAFEE OU À VOTRE REVENDEUR AFIN D'EN OBTENIR LE REMBOURSEMENT INTÉGRAL

2 McAfee Data Loss Prevention 10.0.100 Guide Produit

Sommaire

Préface 9Présentation de ce guide . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9

Public visé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9Conventions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9

Accès à la documentation sur le produit . . . . . . . . . . . . . . . . . . . . . . . . . 10

1 Présentation du produit 11Qu'est-ce que McAfee DLP ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11Fonctionnalités clés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12Fonctionnement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12McAfee DLP Endpoint et Device Control - Contrôle du contenu des terminaux et des supports amovibles. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14

Fonctionnement du logiciel client . . . . . . . . . . . . . . . . . . . . . . . . 15McAfee DLP Endpoint sur la plate-forme Microsoft Windows . . . . . . . . . . . . . . 16McAfee DLP Endpoint sur la plate-forme OS X . . . . . . . . . . . . . . . . . . . 17

McAfee DLP Discover - Analyse des fichiers et des référentiels . . . . . . . . . . . . . . . . 18Référentiels pris en charge . . . . . . . . . . . . . . . . . . . . . . . . . . . 19Types d'analyse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19

McAfee DLP Prevent - Protection du trafic web et de messagerie . . . . . . . . . . . . . . . 20Protection du trafic des e-mails . . . . . . . . . . . . . . . . . . . . . . . . . 20Protection du trafic web . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20

McAfee DLP Prevent for Mobile Email - Protection de la messagerie mobile . . . . . . . . . . . 21Interaction avec d'autres produits McAfee . . . . . . . . . . . . . . . . . . . . . . . . 22

Déploiement et installation2 Planification de votre déploiement 25

Options de déploiement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26Options McAfee DLP Endpoint et Device Control . . . . . . . . . . . . . . . . . . 26Options McAfee DLP Discover . . . . . . . . . . . . . . . . . . . . . . . . . . 27Options McAfee DLP Prevent . . . . . . . . . . . . . . . . . . . . . . . . . . 27Scénarios de déploiement . . . . . . . . . . . . . . . . . . . . . . . . . . . 28

Planification de votre stratégie DLP . . . . . . . . . . . . . . . . . . . . . . . . . . 29Workflow McAfee DLP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29Processus de protection de McAfee DLP . . . . . . . . . . . . . . . . . . . . . . 30Workflow de stratégie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34Meilleure pratique : workflow McAfee DLP Discover . . . . . . . . . . . . . . . . . 35Composants de stratégie partagés . . . . . . . . . . . . . . . . . . . . . . . . 35

Configuration système requise . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36Ports par défaut utilisés par McAfee DLP . . . . . . . . . . . . . . . . . . . . . . . . 36Liste de contrôle du déploiement . . . . . . . . . . . . . . . . . . . . . . . . . . . 37

3 Installation de McAfee DLP 39Téléchargement des extensions de produit et des fichiers d'installation . . . . . . . . . . . . 39Installation et gestion de licences de l'extension McAfee DLP . . . . . . . . . . . . . . . . 40

McAfee Data Loss Prevention 10.0.100 Guide Produit 3

Installation de l'extension à l'aide du Gestionnaire de logiciels . . . . . . . . . . . . . 40Installez l'extension manuellement . . . . . . . . . . . . . . . . . . . . . . . 41Définir une licence McAfee DLP . . . . . . . . . . . . . . . . . . . . . . . . . 41Application de la compatibilité avec les versions antérieures . . . . . . . . . . . . . 43Conversion des stratégies et migration de données . . . . . . . . . . . . . . . . . 45

Installation de McAfee DLP Endpoint et du logiciel clientDevice Control . . . . . . . . . . . . 46Installez le package de serveur McAfee DLP Discover . . . . . . . . . . . . . . . . . . . 46

Eléments à prendre en compte pour la mise à niveau de McAfee DLP Discover . . . . . . 47Installation ou mise à niveau du package de serveur en utilisant McAfee ePO . . . . . . 48Installation ou mise à niveau manuelle du package de serveur . . . . . . . . . . . . 48Vérification de l'installation . . . . . . . . . . . . . . . . . . . . . . . . . . . 49

Installation de McAfee DLP Prevent . . . . . . . . . . . . . . . . . . . . . . . . . . 50Installation des extensions . . . . . . . . . . . . . . . . . . . . . . . . . . . 50Configuration des informations relatives au réseau . . . . . . . . . . . . . . . . . 51Installation du logiciel sur une appliance virtuelle . . . . . . . . . . . . . . . . . . 51Installation du logiciel sur une appliance matérielle . . . . . . . . . . . . . . . . . 52Exécution de l'Assistant d'installation et enregistrement auprès de McAfee ePO . . . . . . 54Installation du package de serveur McAfee DLP Prevent for Mobile Email . . . . . . . . 55

Exécution de tâches de post-installation . . . . . . . . . . . . . . . . . . . . . . . . 55

Configuration et utilisation4 Configuration des composants système 59

Configuration de McAfee DLP dans le catalogue de stratégies . . . . . . . . . . . . . . . . 60Importer ou exporter la configuration McAfee DLP Endpoint . . . . . . . . . . . . . . 60Configuration client . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61Prise en charge des paramètres de configuration du client . . . . . . . . . . . . . . 63Configuration des paramètres du client . . . . . . . . . . . . . . . . . . . . . . 64Configuration des paramètres de serveur . . . . . . . . . . . . . . . . . . . . . 64

Protection des fichiers avec la gestion des droits . . . . . . . . . . . . . . . . . . . . . 66Fonctionnement de McAfee DLP avec la gestion des droits . . . . . . . . . . . . . . 66Serveurs de gestion des droits pris en charge . . . . . . . . . . . . . . . . . . . 67Définition d'un serveur de gestion des droits . . . . . . . . . . . . . . . . . . . . 68

Création de rapports sur des événements avec preuve . . . . . . . . . . . . . . . . . . . 68Utilisation de preuves et du stockage de preuves . . . . . . . . . . . . . . . . . . 69Création de dossiers de preuves . . . . . . . . . . . . . . . . . . . . . . . . . 71Configuration des paramètres de dossiers de preuves . . . . . . . . . . . . . . . . 71

Contrôle des affectations avec des utilisateurs et des ensembles d'autorisations . . . . . . . . 73Création de définitions d'utilisateur final . . . . . . . . . . . . . . . . . . . . . 73Affectation d'ensembles d'autorisation McAfee DLP . . . . . . . . . . . . . . . . . 74Création d'un ensemble d'autorisations McAfee DLP . . . . . . . . . . . . . . . . . 75

Contrôle de l'accès aux fonctionnalités de McAfee DLP Prevent . . . . . . . . . . . . . . . 78Empêcher les utilisateurs d'afficher les appliances dans l'arborescence des systèmes . . . 78Autoriser les utilisateurs à modifier la stratégie . . . . . . . . . . . . . . . . . . . 78Contrôle de l'accès aux fonctionnalités de Gestion des appliances . . . . . . . . . . . 79

Utilisation des stratégies McAfee DLP Prevent . . . . . . . . . . . . . . . . . . . . . . 80Définition des paramètres d'expiration de la connexion . . . . . . . . . . . . . . . 81Spécification d'un niveau maximal d'imbrication des pièces jointes archivées . . . . . . . 81Ajout d'autres agents de transfert de messages (MTA) pouvant remettre des e-mails . . . 81Remise d'e-mails à l'aide de la répétition alternée . . . . . . . . . . . . . . . . . 82Limitation des connexions à des hôtes ou des réseaux spécifiés . . . . . . . . . . . . 82Activation de TLS sur les messages entrants ou sortants . . . . . . . . . . . . . . . 83Utilisation de serveurs d'authentification externes . . . . . . . . . . . . . . . . . 84Stratégie Gestion partagée des appliances . . . . . . . . . . . . . . . . . . . . 88Modification de la stratégie Email Gateway pour qu'elle fonctionne avec McAfee DLP Prevent. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88

Sommaire


Intégration de McAfee DLP Prevent dans votre environnement web . . . . . . . . . . . 90Fonctionnalités de McAfee ePO . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92

5 Protection des supports amovibles 93Protection des équipements . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94Gestion des équipements avec des classes d'équipement . . . . . . . . . . . . . . . . . . 95Définition d'une classe d'équipement . . . . . . . . . . . . . . . . . . . . . . . . . . 96

Obtention d'un GUID . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96Création d'une classe d'équipement . . . . . . . . . . . . . . . . . . . . . . . 97

Organisation d'équipements avec des définitions d'équipement . . . . . . . . . . . . . . . 97Utilisation des définitions d'équipements . . . . . . . . . . . . . . . . . . . . . 98

Propriétés d'équipements . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101Règles de contrôle des équipements . . . . . . . . . . . . . . . . . . . . . . . . . 104

Création d'une règle pour équipements de stockage amovibles . . . . . . . . . . . . 105Créer une règle d'équipement Plug-and-Play . . . . . . . . . . . . . . . . . . . 106Créer une règle de périphérique d'accès aux fichiers de stockage amovible . . . . . . . 107Création d'une règle d'équipement de type disque dur fixe . . . . . . . . . . . . . 108Création d'une règle d'équipement Citrix . . . . . . . . . . . . . . . . . . . . . 109Création d'une règle d'équipement TrueCrypt . . . . . . . . . . . . . . . . . . . 109

Règles d'accès aux fichiers de stockage amovibles . . . . . . . . . . . . . . . . . . . . 110

6 Classification de contenu confidentiel 113Composants du module Classification . . . . . . . . . . . . . . . . . . . . . . . . . 113Utilisation des classifications . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114

Classification par destination de fichier . . . . . . . . . . . . . . . . . . . . . 115Classification en fonction de l'emplacement des fichiers . . . . . . . . . . . . . . . 117Extraction de texte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117Catégorisation des applications dans McAfee DLP Endpoint . . . . . . . . . . . . . 118

Définitions et critères de classification . . . . . . . . . . . . . . . . . . . . . . . . . 119Définitions de dictionnaire . . . . . . . . . . . . . . . . . . . . . . . . . . . 121Définitions de modèle avancé . . . . . . . . . . . . . . . . . . . . . . . . . 122Classification du contenu en fonction des propriétés de document ou des informations de fichier. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122Modèles d'application . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123

Classification manuelle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124Propriétés incorporées . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125Configuration de la classification manuelle . . . . . . . . . . . . . . . . . . . . 126

Documents enregistrés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127Texte inclus dans la liste blanche . . . . . . . . . . . . . . . . . . . . . . . . . . . 128Création et configuration de classifications . . . . . . . . . . . . . . . . . . . . . . . 128

Création d'une classification . . . . . . . . . . . . . . . . . . . . . . . . . . 128Création de critères de classification . . . . . . . . . . . . . . . . . . . . . . 129Téléchargement de documents enregistrés . . . . . . . . . . . . . . . . . . . . 129Chargement des fichiers vers le texte inclus dans la liste blanche . . . . . . . . . . . 130

Configuration de composants de classification pour McAfee DLP Endpoint . . . . . . . . . . . 130Création de critères d'empreintes de contenu . . . . . . . . . . . . . . . . . . . 131Scénario d'utilisation : empreintes basées sur l'application . . . . . . . . . . . . . 132Affectation d'autorisations de classification manuelle . . . . . . . . . . . . . . . . 132Scénario d'utilisation : classification manuelle . . . . . . . . . . . . . . . . . . . 133

Création de définitions de classification . . . . . . . . . . . . . . . . . . . . . . . . 134Création d'une définition de classification générale . . . . . . . . . . . . . . . . . 134Création ou importation d'une définition de dictionnaire . . . . . . . . . . . . . . . 135Création d'un modèle avancé . . . . . . . . . . . . . . . . . . . . . . . . . 136Création d'une définition de liste d'URL . . . . . . . . . . . . . . . . . . . . . 137

Scénario d'utilisation : intégration du client Titus avec des marqueurs tiers . . . . . . . . . . 137

Sommaire


Scénario d'utilisation : intégration de Boldon James Email Classifier avec des critères de classification. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 138

7 Protection de contenu confidentiel 141Jeux de règles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141Création de définitions de règle . . . . . . . . . . . . . . . . . . . . . . . . . . . 142

Création d'un intervalle de ports réseau . . . . . . . . . . . . . . . . . . . . . 142Création d'un intervalle d'adresses réseau . . . . . . . . . . . . . . . . . . . . 142Création d'une définition de liste d'adresses e-mail . . . . . . . . . . . . . . . . . 143Création d'une définition d'imprimante réseau . . . . . . . . . . . . . . . . . . 144

Règles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 144Règles de protection des données . . . . . . . . . . . . . . . . . . . . . . . . . . 145

Règles Protection de l'accès aux fichiers d'application . . . . . . . . . . . . . . . . 145Règles de protection du Presse-papiers . . . . . . . . . . . . . . . . . . . . . 146Règles de protection du cloud . . . . . . . . . . . . . . . . . . . . . . . . . 146Règles de protection de la messagerie . . . . . . . . . . . . . . . . . . . . . . 147Règles de protection de la messagerie mobile . . . . . . . . . . . . . . . . . . . 148Règles de protection des communications réseau . . . . . . . . . . . . . . . . . 148Règles de protection du partage réseau . . . . . . . . . . . . . . . . . . . . . 149Règles de protection de l'imprimante . . . . . . . . . . . . . . . . . . . . . . 149Règles de protection des périphériques de stockage amovibles . . . . . . . . . . . . 149Règles de protection contre les captures d'écran . . . . . . . . . . . . . . . . . . 150Règles de protection web . . . . . . . . . . . . . . . . . . . . . . . . . . . 150La configuration du client prend en charge les règles de protection des données . . . . . 150Actions des règles de protection des données . . . . . . . . . . . . . . . . . . . 153

Règles de contrôle des équipements . . . . . . . . . . . . . . . . . . . . . . . . . 155Règles de découverte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 155Listes blanches . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 156Personnalisation des messages aux utilisateurs finaux . . . . . . . . . . . . . . . . . . 157Réactions disponibles pour les types de règle . . . . . . . . . . . . . . . . . . . . . . 158Création et configuration de règles et de jeux de règles . . . . . . . . . . . . . . . . . . 162

Création d'un jeu de règles . . . . . . . . . . . . . . . . . . . . . . . . . . 162Création d'une règle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 162Affectation de jeux de règles à des stratégies . . . . . . . . . . . . . . . . . . . 163Activation, désactivation ou suppression de règles . . . . . . . . . . . . . . . . . 164Sauvegarde et restauration d'une stratégie . . . . . . . . . . . . . . . . . . . . 164Configuration de colonnes de règles ou de jeux de règles . . . . . . . . . . . . . . 165Création d'une définition de justification . . . . . . . . . . . . . . . . . . . . . 165Création d'une définition de notification . . . . . . . . . . . . . . . . . . . . . 166

Scénarios d'utilisation pour les règles . . . . . . . . . . . . . . . . . . . . . . . . . 167Scénario d'utilisation : règle d'accès aux fichiers de stockage amovible avec processus inclusdans la liste blanche . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 168Scénario d'utilisation : configurer un équipement amovible en lecture seule . . . . . . . 169Cas d'utilisation : bloquer et recharger un iPhone avec une règle d'équipement Plug-and-Play. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 170Cas d'utilisation : empêcher de graver des informations confidentielles sur le disque . . . 171Scénario d'utilisation - Bloquer les messages sortants qui comportent du contenu confidentiel,sauf s'ils sont envoyés à un domaine spécifié . . . . . . . . . . . . . . . . . . . 172Scénario d'utilisation - Autoriser un groupe d'utilisateurs donné à envoyer des informationsbancaires . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 173Scénario d'utilisation : classification des pièces jointes dans la catégorie PARTAGE-REQUIS enfonction de leur destination . . . . . . . . . . . . . . . . . . . . . . . . . . 175

8 Analyse de données avec la découverte McAfee DLP Endpoint 179Protection des fichiers avec des règles de découverte . . . . . . . . . . . . . . . . . . . 179Comment l'analyse de découverte fonctionne-t-elle ? . . . . . . . . . . . . . . . . . . . 180Recherche de contenu avec le robot de découverte de terminaux . . . . . . . . . . . . . . 181

Sommaire


Création et définition d'une règle de découverte . . . . . . . . . . . . . . . . . . 182Création d'une définition de planificateur . . . . . . . . . . . . . . . . . . . . . 182Configuration d'une analyse . . . . . . . . . . . . . . . . . . . . . . . . . . 183Scénario d'utilisation : restauration des fichiers ou des e-mails mis en quarantaine . . . . 184

9 Analyse des données avec McAfee DLP Discover 187Choix du type d'analyse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 187

Fonctionnement des analyses d'inventaire . . . . . . . . . . . . . . . . . . . . 188Fonctionnement des analyses de classification . . . . . . . . . . . . . . . . . . 188Fonctionnement des analyses de correction . . . . . . . . . . . . . . . . . . . . 189

Informations utiles et limites des analyses . . . . . . . . . . . . . . . . . . . . . . . 189Référentiels et informations d'identification pour les analyses . . . . . . . . . . . . . . . 191Utilisation de définitions et de classifications avec des analyses . . . . . . . . . . . . . . . 192Utilisation de règles avec des analyses . . . . . . . . . . . . . . . . . . . . . . . . 193Configuration des stratégies pour les analyses . . . . . . . . . . . . . . . . . . . . . 193

Création de définitions pour des analyses . . . . . . . . . . . . . . . . . . . . 194Création de règles pour les analyses de correction . . . . . . . . . . . . . . . . . 199

Configuration d'une analyse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 200Configuration d'une analyse d'inventaire . . . . . . . . . . . . . . . . . . . . . 200Configuration d'une analyse de classification . . . . . . . . . . . . . . . . . . . 201Configuration d'une analyse de correction . . . . . . . . . . . . . . . . . . . . 202

Exécution d'opérations d'analyse . . . . . . . . . . . . . . . . . . . . . . . . . . . 203Comportement des analyses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 204Analyse des données analysées . . . . . . . . . . . . . . . . . . . . . . . . . . . 205

Utilisation d'OLAP dans McAfee DLP Discover . . . . . . . . . . . . . . . . . . . 205Affichage des résultats d'analyse . . . . . . . . . . . . . . . . . . . . . . . . 205Etude des résultats de l'analyse . . . . . . . . . . . . . . . . . . . . . . . . 207Affichage des résultats d'inventaire . . . . . . . . . . . . . . . . . . . . . . . 207

Surveillance et génération de rapports10 Incidents et événements opérationnels 211

Surveillance et rapports d'événements . . . . . . . . . . . . . . . . . . . . . . . . 211Gestionnaire d'incidents DLP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 212

Fonctionnement du gestionnaire d'incidents . . . . . . . . . . . . . . . . . . . 212Traitement des incidents . . . . . . . . . . . . . . . . . . . . . . . . . . . 214

Affichage des incidents . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 215Tri et filtrage des incidents . . . . . . . . . . . . . . . . . . . . . . . . . . 215Configuration de l'affichage des colonnes . . . . . . . . . . . . . . . . . . . . 216Configuration de filtres d'incidents . . . . . . . . . . . . . . . . . . . . . . . 217Affichage des détails relatifs à un incident . . . . . . . . . . . . . . . . . . . . 217

Gestion des incidents . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 218Mise à jour d'un incident unique . . . . . . . . . . . . . . . . . . . . . . . . 219Mise à jour de plusieurs incidents . . . . . . . . . . . . . . . . . . . . . . . . 219Envoyer les événements sélectionnés par e-mail . . . . . . . . . . . . . . . . . 220Gérer les étiquettes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 221

Utilisation des cas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 222Gérer les cas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 222

Créer des cas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 222Afficher les informations sur les cas . . . . . . . . . . . . . . . . . . . . . . . 223Affecter des incidents à un cas . . . . . . . . . . . . . . . . . . . . . . . . . 223Déplacement ou suppression d'incidents d'un cas . . . . . . . . . . . . . . . . . 224Mettre à jour les cas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 224Ajouter ou supprimer des étiquettes dans un cas . . . . . . . . . . . . . . . . . 225Supprimer des cas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 226

Sommaire


11 Collecte et gestion des données 227Modification des tâches serveur . . . . . . . . . . . . . . . . . . . . . . . . . . . 227

Création d'une tâche Purge des événements . . . . . . . . . . . . . . . . . . . 228Création d'une tâche Notification par e-mail automatique . . . . . . . . . . . . . . 229Création d'une nouvelle tâche de définition du réviseur . . . . . . . . . . . . . . . 230

Surveillance des résultats des tâches . . . . . . . . . . . . . . . . . . . . . . . . . 231Création de rapports . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 231

Types de rapports . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 231Options de rapport . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 232Tableaux de bord prédéfinis . . . . . . . . . . . . . . . . . . . . . . . . . . 232Création d'une tâche serveur Données cumulées . . . . . . . . . . . . . . . . . 234

12 Journalisation et surveillance McAfee DLP Prevent 235Génération de rapports sur les événements . . . . . . . . . . . . . . . . . . . . . . . 235

Evénements McAfee DLP Prevent . . . . . . . . . . . . . . . . . . . . . . . . 235Utilisation de syslog avec McAfee DLP Prevent . . . . . . . . . . . . . . . . . . 237

Surveillance de l'état et de l'intégrité du système . . . . . . . . . . . . . . . . . . . . 239Tableau de bord Gestion des appliances . . . . . . . . . . . . . . . . . . . . . 239Cartes d'intégrité du système . . . . . . . . . . . . . . . . . . . . . . . . . 239Affichage de l'état d'une appliance . . . . . . . . . . . . . . . . . . . . . . . 240Téléchargement des fichiers MIB et SMI . . . . . . . . . . . . . . . . . . . . . 240

Maintenance et dépannage13 Diagnostics McAfee DLP Endpoint 245

Outil de diagnostic . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 245Vérification de l'état de l'agent . . . . . . . . . . . . . . . . . . . . . . . . . 246Exécution de l'outil de diagnostic . . . . . . . . . . . . . . . . . . . . . . . . 247Configuration des stratégies . . . . . . . . . . . . . . . . . . . . . . . . . . 247

14 Maintenance et dépannage de McAfee DLP Prevent 249Gestion à l'aide de la console d'appliance McAfee DLP Prevent . . . . . . . . . . . . . . . 249Accès à la console de l'appliance . . . . . . . . . . . . . . . . . . . . . . . . . . . 250Modification des paramètres réseau d'origine . . . . . . . . . . . . . . . . . . . . . . 250Modifier les paramètres de vitesse et de duplex pour les appliances matérielles . . . . . . . . 251Gestion des appliances matérielles avec le module RMM . . . . . . . . . . . . . . . . . 251

Configuration du module RMM . . . . . . . . . . . . . . . . . . . . . . . . . 252Exécution de l'Assistant d'installation à l'aide du service KVM distant . . . . . . . . . 252Meilleures pratiques : sécurisation du module RMM . . . . . . . . . . . . . . . . 253

Mise à niveau ou réinstallation à partir de l'image d'installation interne . . . . . . . . . . . 253Redémarrage de l'appliance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 255Restauration des paramètres d'usine de l'appliance . . . . . . . . . . . . . . . . . . . 255Déconnexion de l'appliance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 255McAfee DLP Prevent n'accepte pas les e-mails . . . . . . . . . . . . . . . . . . . . . . 255Remplacement du certificat par défaut . . . . . . . . . . . . . . . . . . . . . . . . 256Messages d'erreur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 257Création d'un rapport pour la procédure d'escalade minimale (MER) . . . . . . . . . . . . . 259

A Glossaire 261

Index 265

Sommaire


Préface

Ce guide fournit les informations dont vous avez besoin pour utiliser votre produit McAfee.

Sommaire Présentation de ce guide Accès à la documentation sur le produit

Présentation de ce guideCette section présente le public ciblé par ce guide, les conventions typographiques et les icônesutilisées ainsi que la structure du guide.

Public viséLa documentation McAfee a fait l'objet de recherches attentives et a été rédigée en fonction du publicvisé.

Les informations présentées dans ce guide sont principalement destinées aux personnes suivantes :

• Administrateurs : personnes qui mettent en œuvre et appliquent le programme de sécurité del'entreprise.

ConventionsLes conventions typographiques et icônes suivantes sont respectées dans le présent guide.

Italique Titre d'un manuel, d'un chapitre, ou d'une rubrique, ou nouveau terme mis ensurbrillance

Gras Texte mis en surbrillance

Monospace Commandes et autres données devant être saisies par l'utilisateur, exemple decode ou message affiché

Narrow Bold Contenu apparaissant dans l'interface du produit, options, menus, boutons, etboîtes de dialogue

Liens hypertextebleus

Liens menant vers une rubrique ou vers un site web externe

Remarque : informations supplémentaires fournies pour étayer un propos, àtitre de rappel, ou pour indiquer une méthode alternative

Conseil : meilleure pratique

Attention : conseil important fourni afin de garantir la protection de votresystème informatique, de votre installation logicielle, de votre réseau, de votreentreprise, ou de vos données

Avertissement : conseil essentiel destiné à empêcher toute lésion corporellelors de l'utilisation d'un produit matériel


Accès à la documentation sur le produitSur le ServicePortal, vous pouvez trouver des informations relatives au produit mis sur le marché, dontde la documentation, des articles techniques, etc.

Procédure1 Accédez au ServicePortal à l'adresse https://support.mcafee.com et cliquez sur l'onglet Centre de

connaissances.

2 Dans le volet Base de connaissances sous Type de contenu, cliquez sur Documentation relative aux produits.

3 Sélectionnez un produit et une version, puis cliquez sur Rechercher pour afficher une liste dedocuments.

PréfaceAccès à la documentation sur le produit


https://support.mcafee.com

1 Présentation du produit

L'expression « fuite de données » implique la diffusion au-delà des frontières de l'entreprised'informations de nature confidentielle ou privée, à la suite d'une communication non autorisée viadivers canaux de transfert, notamment des applications, des équipements physiques ou des protocolesréseau.

McAfee®

Data Loss Prevention (McAfee DLP) identifie et protège les données au sein de votre réseau.McAfee DLP vous aide à comprendre les types de données sur votre réseau, l'accès aux données etleur transmission, et si les données contiennent des informations confidentielles. Utilisez McAfee DLPpour créer et mettre en œuvre des stratégies de protection efficaces tout en minimisant le recours auxprocédés d'« essais-erreurs ».

Sommaire Qu'est-ce que McAfee DLP ? Fonctionnalités clés Fonctionnement McAfee DLP Endpoint et Device Control - Contrôle du contenu des terminaux et des supportsamovibles McAfee DLP Discover - Analyse des fichiers et des référentiels McAfee DLP Prevent - Protection du trafic web et de messagerie McAfee DLP Prevent for Mobile Email - Protection de la messagerie mobile Interaction avec d'autres produits McAfee

Qu'est-ce que McAfee DLP ?McAfee DLP est une suite de produits protégeant chacun différents types de données au sein de votreréseau.

• McAfee® Data Loss Prevention Endpoint (McAfee DLP Endpoint) : inspecte et contrôle lecontenu et les actions de l'utilisateur sur les terminaux

• McAfee® Device Control : contrôle l'utilisation de supports amovibles sur les terminaux

• McAfee® Data Loss Prevention Discover (McAfee DLP Discover) : analyse les référentiels defichiers pour détecter et protéger les données confidentielles

• McAfee® Data Loss Prevention Prevent (McAfee DLP Prevent) : fonctionne conjointementavec votre proxy web ou votre serveur MTA pour protéger le trafic web et de messagerie

• McAfee® Data Loss Prevention Prevent for Mobile Email (McAfee DLP Prevent for MobileEmail) : utilise MobileIron pour surveiller les demandes Microsoft Exchange ActiveSync ouMicrosoft Office 365 ActiveSync.

1


Fonctionnalités clésMcAfee DLP comprend les fonctions suivantes.

Protection avancée : utilise les empreintes, la classification et le marquage de fichier pour sécuriserles données confidentielles et non structurées, telles que la propriété intellectuelle et les secretscommerciaux.

McAfee DLP offre une protection complète pour tous les canaux de fuites potentielles, y compris leséquipements de stockage amovibles, le cloud, l'e-mail, la messagerie instantanée, le web,l'impression, le presse-papiers, la capture d'écran et les applications de partage de fichiers.

Application de la conformité : garantit la conformité en mettant en œuvre des actions quotidiennesd'utilisateur final (envoi de messages, publication sur le cloud et téléchargement vers deséquipements de supports amovibles).

Découverte et analyse de fichiers : analyse les fichiers stockés sur les terminaux locaux, lesréférentiels partagés ou le cloud afin d'identifier les données confidentielles.

Education de l'utilisateur final : fournit des commentaires en temps réel via des messages pop-upéducatifs qui aident à développer une culture de la sécurité dans les entreprises et à sensibiliser lesemployés.

Gestion centralisée : intégration native avec les logiciels McAfee®

ePolicy Orchestrator®

(McAfeeePO

™

) pour rationaliser la gestion des incidents et des stratégies.

FonctionnementTous les produits McAfee DLP identifient les données confidentielles ou l'activité de l'utilisateur,prennent des mesures sur les violations de stratégies et créent des incidents de violations.

Détecter et identifier

McAfee DLP identifie les données sur votre réseau lorsque ces données :

• sont utilisées par un utilisateur ou qu'un utilisateur y accède ;

• sont en transit dans votre réseau ou en dehors ;

• résident sur un système de fichiers local ou un référentiel partagé.

Réagir et protéger

Le logiciel peut prendre différentes mesures sur des données confidentielles, telles que :

• Signaler l'incident

• Bloquer l'accès utilisateur

• Déplacer ou chiffrer des fichiers

• Mettre en quarantaine les e-mails qui contiennent les données

Surveiller et signaler

Si des violations de stratégies sont découvertes, McAfee DLP crée un incident avec les détails de laviolation.

1 Présentation du produitFonctionnalités clés


Classement des données

McAfee DLP recueille des données et les classe par vecteurs - Données mobiles, Données stockéespassivement et Données utilisées.

Vecteur dedonnées

Description Produits

Données utilisées Actions des utilisateurs sur des terminaux, telles quela copie de données et de fichiers sur un supportamovible, l'impression de fichiers sur uneimprimante locale et la prise de captures d'écran.

• McAfee DLP Endpoint

• Device Control

Données mobiles Trafic en temps réel sur votre réseau. Le trafic estanalysé, classé et stocké dans la base de donnéesMcAfee DLP.

• McAfee DLP Prevent

• McAfee DLP Prevent forMobile Email

Données stockéespassivement

Données résidant dans des partages de fichiers etdes référentiels. McAfee DLP peut exécuter desmesures correctives sur des données stockéespassivement, ainsi que les analyser et les suivre.

• McAfee DLP Discover

• Découverte McAfee DLPEndpoint

Interaction entre les produits McAfee DLP

Installez tous les produits McAfee DLP pour utiliser l'ensemble des fonctionnalités de la suite deproduits.

Ce diagramme présente un réseau simplifié où tous les produits McAfee DLP et McAfee ePO sontdéployés.

Présentation du produitFonctionnement 1


Référence Description Vecteur dedonnées

1 McAfee ePO gère la configuration des stratégies et la gestion desincidents pour tous les produits McAfee DLP.

Non applicable

2 McAfee DLP Endpoint et Device Control surveillent et limitentl'utilisation des données des utilisateurs. McAfee DLP Endpointanalyse également les systèmes de fichiers Endpoint et lesmessages.

• Données utilisées

• Donnéesstockéespassivement

3 McAfee DLP Discover analyse les fichiers des référentiels locaux oudu cloud pour rechercher des informations confidentielles.

Données stockéespassivement

4 • McAfee DLP Prevent reçoit des e-mails à partir de serveurs MTA.Il analyse les messages, ajoute des en-têtes appropriés enfonction de la stratégie configurée et envoie les messages à unseul serveur MTA, également connu sous le nom d'hôte actif.

• McAfee DLP Prevent reçoit le trafic web à partir de serveurs proxyweb. Il analyse le trafic web, détermine si le trafic doit êtreautorisé ou bloqué, et renvoie le trafic vers le serveur proxy webapproprié.

• McAfee DLP Prevent for Mobile Email reçoit les e-mails d'unserveur MobileIron Sentry. Il analyse les e-mails et les piècesjointes et crée des incidents ou enregistre des preuves, enfonction de règles de protection mobile.

Données mobiles

McAfee DLP Endpoint et Device Control - Contrôle du contenudes terminaux et des supports amovibles

McAfee DLP Endpoint inspecte les actions des utilisateurs de l'entreprise sur le contenu confidentiel surleurs ordinateurs.

McAfee Device Control empêche toute utilisation non autorisée d'équipements de supports amovibles.McAfee DLP Endpoint comprend toutes les fonctionnalités Device Control et protège, en outre, contrela perte de données grâce à de nombreux canaux de fuite de données potentiels.

Fonctions principales

McAfee Device Control :

• Contrôle les données qui peuvent être copiées sur des équipements amovibles ou contrôle leséquipements eux-mêmes. Il peut bloquer complètement les équipements ou les rendre accessiblesen lecture seule.

• Bloque l'exécution des fichiers exécutables sur les équipements amovibles. Des exceptions peuventêtre définies pour les fichiers exécutables nécessaires, par exemple pour la protection antivirus.

• Fournit une protection pour les lecteurs USB, les smartphones, les équipements et autres supportsamovibles

McAfee DLP Endpoint offre une protection contre la fuite de données à partir des sources suivantes :

• Logiciel de presse-papiers

• Applications cloud

• E-mails (y compris ceux envoyés vers des appareils mobiles)

1 Présentation du produitMcAfee DLP Endpoint et Device Control - Contrôle du contenu des terminaux et des supports amovibles


• Partages réseau

• Imprimantes

• Captures d'écran

• Applications et navigateurs spécifiés

• Publications web

Le moteur de classification McAfee DLP applique des définitions et des critères de classification quidéfinissent le contenu à protéger, ainsi que l'endroit et le moment où la protection est appliquée. Lesrègles de protection appliquent ces critères de classification et d'autres définitions pour protéger lecontenu confidentiel.

Règles Prises en charge par

Protection des données • McAfee DLP Endpoint

• Device Control (règles de protection des périphériques de stockage amoviblesuniquement)

• McAfee DLP Prevent (règles de protection de la messagerie et du web)

Contrôle des équipements • McAfee DLP Endpoint

• Device Control

Découverte • McAfee DLP Endpoint (découverte de terminaux)


Le robot de découverte McAfee DLP Endpoint s'exécute sur le terminal local. Il effectue une recherchedans le système de fichiers local et les fichiers de stockage des e-mails et applique des stratégies pourprotéger le contenu confidentiel.

FonctionnementMcAfee DLP Endpoint protège les informations confidentielles des entreprises :

• Applique des stratégies constituées de définitions, classifications, ensembles de règles,configurations de client de terminal et planification de découverte de terminaux

• Surveille les stratégies et bloque les actions sur le contenu confidentiel, le cas échéant

• Chiffre le contenu confidentiel avant d'autoriser l'action

• Crée des rapports permettant de contrôler le processus, et peut stocker du contenu confidentielcomme justification

Fonctionnement du logiciel clientLe logiciel client McAfee DLP Endpoint est déployé sous forme de plug-in McAfee Agent et applique lesstratégies définies dans la stratégie McAfee DLP. Le logiciel client McAfee DLP Endpoint contrôle lesactivités utilisateur ; il effectue des opérations de surveillance et de vérification, et empêche lesutilisateurs non autorisés de copier ou transférer des données confidentielles. Il génère ensuite desévénements enregistrés par l'analyseur d'événements McAfee ePO.

Analyseur d'événementsLes événements générés par le logiciel client McAfee DLP Endpoint sont envoyés à l'analyseurd'événements McAfee ePO et enregistrés dans des tables de la base de données McAfee ePO. Ils sontstockés dans la base de données en vue d'analyses complémentaires et utilisés par d'autrescomposants du système.

Présentation du produitMcAfee DLP Endpoint et Device Control - Contrôle du contenu des terminaux et des supports amovibles 1


Utilisation en ligne/hors ligne

Vous pouvez appliquer différentes règles d'équipement et de protection, selon que l'ordinateur géréest en ligne (connecté au réseau de l'entreprise) ou hors ligne (déconnecté du réseau). Quelquesrègles permettent également de différencier les ordinateurs situés à l'intérieur du réseau de ceuxconnectés au réseau par VPN.

McAfee DLP Endpoint sur la plate-forme Microsoft WindowsLes ordinateurs Windows peuvent être protégés avec McAfee Device Control ou McAfee DLP Endpoint.Le logiciel client McAfee DLP Endpoint utilise une technologie de découverte avancée, lareconnaissance de modèles de texte et des dictionnaires prédéfinis. Il identifie le contenu confidentiel,et intègre la gestion et le chiffrement des équipements pour garantir des niveaux de contrôlesupplémentaires.

Le logiciel IRM (Information Rights Management) protège les fichiers confidentiels à l'aide duchiffrement et de la gestion des autorisations d'accès. McAfee DLP Endpoint prend en chargeMicrosoft Rights Management Service (RMS) et Seclore FileSecure en tant que méthodessupplémentaires de protection des données. Généralement, ces méthodes permettent d'empêcher lacopie de fichiers non protégés par le logiciel IRM.

Le logiciel de classification vérifie que les e-mails et les autres fichiers sont systématiquement classéset étiquetés de manière à en protéger le contenu. McAfee DLP Endpoint s'intègre avecTitus Message Classification et Boldon James Email Classifier pour Microsoft Outlook afin de créer desrègles de protection de la messagerie en fonction des classifications appliquées. Il s'intègre avecd'autres clients de classification Titus grâce au SDK Titus pour créer d'autres règles de protection enfonction des classifications appliquées.

Prise en charge des lecteurs d'écran

Job Access With Sound (JAWS), un logiciel de lecture d'écran pour malvoyants très répandu, est prisen charge sur les ordinateurs clients. Les fonctionnalités de McAfee DLP Endpoint suivantes sont prisesen charge :

• Fenêtre pop-up de notification de l'utilisateur final : si la boîte de dialogue contextuelle estconfigurée pour être fermée manuellement (dans le Gestionnaire de stratégies DLP), elle est lue àhaute voix afin de permettre aux malvoyants de naviguer entre les boutons et les liens.

• Boîte de dialogue de justification de l'utilisateur final : la liste déroulante est accessible avecla touche de tabulation, et la justification peut être sélectionnée avec les touches fléchées.

• Onglet Historique des notifications de la console de l'utilisateur final : lorsque cet ongletest sélectionné, JAWS lit « Notification history tab selected » (Onglet Historique des notificationssélectionné). Aucune action liée au contenu n'est disponible. Toutes les informations du volet droitsont lues à voix haute.

• Onglet Découverte de la console de l'utilisateur final : lorsque cet onglet est sélectionné,JAWS lit « Discovery tab selected » (Onglet Découverte sélectionné). Aucune action liée au contenun'est disponible. Toutes les informations du volet droit sont lues à voix haute.

• Onglet Tâches de la console de l'utilisateur final : lorsque cet onglet est sélectionné, JAWS lit« Tasks tab selected » (Onglet Tâches sélectionné). Toutes les étapes sont accessibles via la touchede tabulation et les instructions correspondantes sont lues à voix haute.

• Onglet A propos de la console de l'utilisateur final : lorsque cet onglet est sélectionné, JAWSlit « About tab selected » (Onglet A propos sélectionné). Aucune action liée au contenu n'estdisponible. Toutes les informations du volet droit sont lues à voix haute.

1 Présentation du produitMcAfee DLP Endpoint et Device Control - Contrôle du contenu des terminaux et des supports amovibles


Plusieurs sessions utilisateur

Le logiciel client McAfee DLP Endpoint prend en charge le changement rapide d'utilisateur avec dessessions utilisateur multiples sur les versions du système d'exploitation Windows qui prennent encharge cette fonctionnalité. La prise en charge du bureau virtuel peut aussi conduire à des sessionsutilisateur multiples sur un seul ordinateur hôte.

Console Endpoint

La console Endpoint permet de partager des informations avec l'utilisateur et de faciliterl'auto-correction des problèmes. Pour la configurer, accédez à l'onglet Configuration client | Serviced'interface utilisateur.

Pour activer la console sur les ordinateurs Windows, cliquez sur l'icône dans la barre d'état système etsélectionnez Gérer les fonctions | Console DLP Endpoint. Lorsqu'elle est entièrement configurée, ellecomporte quatre onglets :

• Historique des notifications : permet d'afficher les événements, y compris les détails desévénements agrégés.

• Découverte : permet d'afficher les détails des analyses de découverte.

• Tâches : permet de générer des codes d'identification et d'entrer des codes d'autorisation pour lecontournement de l'agent et la quarantaine.

• A propos : affiche des informations sur l'état de l'agent, la stratégie active, la configuration et legroupe d'affectation d'ordinateurs, y compris les numéros d'ID de révision.

McAfee DLP Endpoint sur la plate-forme OS XMcAfee DLP Endpoint for Mac empêche toute utilisation non autorisée d'équipements amovibles etoffre une protection pour le contenu confidentiel sur les postes client et les partages réseau.

McAfee DLP Endpoint for Mac prend en charge les règles pour les équipements de stockage amovibleset les équipements Plug-and-Play. Il prend également en charge les règles de protection des donnéessuivantes :

• Règles de protection du partage réseau

• Règles de protection des périphériques de stockage amovibles

• Règle de protection de l'accès aux fichiers d'application

Vous pouvez détecter le contenu confidentiel avec des classifications, comme sur les ordinateursWindows, mais les documents enregistrés et le marquage ne sont pas pris en charge. Lesclassifications manuelles sont reconnues, mais il n'existe aucune option pour les définir ou les afficherdans l'interface utilisateur. L'extraction de texte est prise en charge, tout comme le chiffrement depreuve et les définitions de justification métier.

Présentation du produitMcAfee DLP Endpoint et Device Control - Contrôle du contenu des terminaux et des supports amovibles 1


Console Endpoint

Sur les terminaux Mac, la console est activée à partir du menu McAfee de la barre d'état. Le tableaude bord est intégré à d'autres logiciels McAfee installés, tels que McAfee

®

VirusScan®

for Mac, et afficheun aperçu de l'état de tous les logiciels McAfee installés. La page Journal des événements affiche lesévénements récents relatifs aux logiciels McAfee. Cliquez sur une entrée pour en afficher les détails.

Figure 1-1 Affichage sur un terminal McAfee DLP Endpoint for Mac

Pour activer l'écran de contournement de l'agent, sélectionnez Préférences dans le menu.

McAfee DLP Discover - Analyse des fichiers et des référentielsMcAfee DLP Discover fonctionne sur des serveurs Microsoft Windows et analyse les systèmes defichiers du réseau pour identifier et protéger les fichiers et les données confidentiels.

McAfee DLP Discover est un logiciel évolutif et extensible adapté aux réseaux de toutes tailles. Vouspouvez déployer McAfee DLP Discover sur autant de serveurs réseau que vous le nécessitez.

Fonctionnalités clés

Vous pouvez utiliser McAfee DLP Discover pour :

• La détection et la classification de contenu confidentiel

• Le déplacement ou la copie de contenu confidentiel

• L'intégration avec les services RMS de Microsoft pour l'application de protections aux fichiers

• L'automatisation de tâches informatiques, comme rechercher les fichiers vides, déterminer lesautorisations et répertorier les fichiers qui ont été modifiés au cours d'un intervalle de temps donné

Fonctionnement

McAfee ePO utilise McAfee®

Agent pour installer et déployer le logiciel McAfee DLP Discover vers unserveur Discover, à savoir un serveur Windows désigné.

1 Présentation du produitMcAfee DLP Discover - Analyse des fichiers et des référentiels


McAfee ePO applique la stratégie d'analyse aux serveurs Discover pour analyser le référentiel à l'heureplanifiée. Les données recueillies et les actions appliquées aux fichiers dépendent du type et de laconfiguration de l'analyse.

Utilisez McAfee ePO pour effectuer des tâches de configuration et d'analyse, par exemple :

• Afficher les serveurs Discover disponibles

• Configurer et planifier les analyses

• Configurer des éléments de stratégies comme des définitions, des classifications et des règles

• Consulter les analyses de données et les résultats d'inventaire

• Consulter les incidents renvoyés par les analyses de correction

Référentiels pris en chargeMcAfee DLP Discover prend en charge les référentiels locaux et du cloud.

• Box

• CIFS (Common Internet File System)

• SharePoint 2010 et 2013

Les sites web SharePoint Enterprise Search Center (ESS) ne sont pas pris en charge. Un site ESS estun rassemblement d'éléments qui ne contient pas de fichiers, mais uniquement des liens vers lesfichiers originaux. Pour les sites web ESS, vous devez analyser les collections de sites elles-mêmesou l'application web entière.

Types d'analyseMcAfee DLP Discover prend en charge trois types d'analyse : les analyses d'inventaire, de classificationet de correction.

Analyses d'inventaire

Les analyses d'inventaire donnent une vue d'ensemble des types de fichiers qui se trouvent dans leréférentiel. Cette analyse ne collecte que les métadonnées, les fichiers ne sont pas extraits. McAfeeDLP Discover trie les métadonnées analysées par types de contenu et analyse des attributs tels que lataille du fichier, son emplacement et son extension. Cette analyse permet d'obtenir un aperçu de votreréférentiel ou d'effectuer des tâches informatiques telles que la localisation des fichiers rarementutilisés.

Analyses de classification

Les analyses de classification permettent de mieux visualiser les données qui se trouvent dans leréférentiel ciblé. En faisant correspondre le contenu analysé à des classifications, telles que desmodèles de texte ou des dictionnaires, vous pouvez analyser des modèles de données pour créer desanalyses de correction optimisées.

Analyses de correction

Les analyses de correction détectent les données qui enfreignent une stratégie. Vous pouvez surveillerdes fichiers, leur appliquer une stratégie de gestion des droits, ou encore les copier ou les exporter.Toutes les actions peuvent produire des incidents, qui sont signalés au Gestionnaire d'incidents deMcAfee ePO.

Présentation du produitMcAfee DLP Discover - Analyse des fichiers et des référentiels 1


McAfee DLP Prevent - Protection du trafic web et demessagerie

McAfee DLP Prevent s'intègre avec un serveur MTA ou un proxy web pour surveiller le trafic web et demessagerie, et empêcher tout incident de fuite de données potentielle.

Protection du trafic des e-mailsMcAfee DLP Prevent s'intègre avec tout agent de transfert de messages (MTA) qui prend en chargel'inspection des en-têtes.


McAfee DLP Prevent interagit avec votre trafic d'e-mails, génère des incidents et enregistre cesderniers dans McAfee ePO pour examiner les cas ultérieurement.

Fonctionnement

Figure 1-2 Flux de trafic des e-mails McAfee DLP Prevent

1 Utilisateurs : les e-mails entrants ou sortants sont dirigés vers le serveur MTA.

2 Serveur MTA : transfère les e-mails à McAfee DLP Prevent.

3 McAfee DLP Prevent : reçoit des connexions SMTP du serveur MTA et :• Décompose les composants de l'e-mail

• Extrait le texte pour l'identification par empreinte et l'analyse par la règle

• Analyse l'e-mail pour détecter des violations de stratégie

• Ajoute un en-tête X-RCIS-Action

• Envoie le message à l'hôte actif configuré

Dans cet exemple, l'hôte actif configuré est le MTA d'origine.

4 Serveur MTA : selon les informations qu'il obtient de l'en-tête X-RCIS-Action, le serveur MTAapplique une action à l'e-mail.

Protection du trafic web


McAfee DLP Prevent reçoit les connexions ICAP d'un serveur proxy web, analyse le contenu etdétermine si le trafic doit être autorisé ou bloqué.

1 Présentation du produitMcAfee DLP Prevent - Protection du trafic web et de messagerie


Fonctionnement

Figure 1-3 Flux de trafic web McAfee DLP Prevent

Etape Description

1 Les utilisateurs envoient le trafic web au serveur proxy web.

2 Le serveur proxy web transfère le trafic web à McAfee DLP Prevent.

3 McAfee DLP Prevent examine le trafic web et renvoie une réponse au serveur proxy web pourautoriser le trafic via le serveur de destination ou refuser l'accès.

Le serveur proxy web envoie le trafic web inspecté vers les destinations voulues.

McAfee DLP Prevent for Mobile Email - Protection de lamessagerie mobile

McAfee DLP Prevent for Mobile Email s'intègre avec les serveurs MDM (Mobile Device Management)MobileIron pour analyser les e-mails envoyés à des appareils mobiles.


McAfee DLP Prevent for Mobile Email analyse le trafic des e-mails de Microsoft Exchange ActiveSync ouMicrosoft Office 365 ActiveSync, génère des incidents et enregistre les incidents et les preuves dansMcAfee ePO pour permettre l'examen ultérieur des cas.

Fonctionnement

A l'aide de la fonctionnalité ActiveSync de Microsoft Exchange, les applications de messagerie pourmobiles peuvent se connecter directement à Exchange pour envoyer et recevoir des e-mails. Ce traficn'utilise pas SMTP, et ne peut donc pas être détecté par la protection de la messagerie McAfee DLPPrevent. Le serveur MobileIron MDM Sentry fait office de proxy ActiveSync frontal qui intercepte letrafic de messagerie mobile. Il transfère l'e-mail au serveur McAfee DLP pour mobile, où le message etses pièces jointes sont soumis aux règles de protection mobile définies dans le gestionnaire de stratégiesDLP. Le contenu confidentiel déclenche un événement dans le gestionnaire d'incidents DLP, lequel permettraensuite d'examiner le cas.

Présentation du produitMcAfee DLP Prevent for Mobile Email - Protection de la messagerie mobile 1


Interaction avec d'autres produits McAfeeMcAfee DLP s'intègre avec d'autres produits McAfee, ce qui étend les fonctionnalités de la suite deproduits.

Produit Description

McAfee ePO Tous les produits McAfee DLP s'intègrent avec McAfee ePO pour lestâches de configuration, de gestion et de surveillance.

McAfee® Email Gateway Intégration avec McAfee DLP Prevent pour fournir une protection de lamessagerie.

McAfee® File andRemovable MediaProtection (FRP)

S'intègre avec McAfee DLP Endpoint pour chiffrer les fichiers sensibles.Non pris en charge sur McAfee DLP Endpoint for Mac.

McAfee® Logon Collector Intégration avec McAfee DLP Prevent pour les informationsd'authentification utilisateur.

McAfee® Web Gateway Intégration avec McAfee DLP Prevent pour fournir une protection web.

1 Présentation du produitInteraction avec d'autres produits McAfee


Déploiement et installationDéterminez le type de déploiement qui correspond le mieux à votreenvironnement, puis installez l'extension. Selon vos produits McAfee DLP,installez les clients McAfee DLP Endpoint sur les terminaux, installez lepackage serveur McAfee DLP Discover ou installez l'extension et l'applianceMcAfee DLP Prevent.

Chapitre 2 Planification de votre déploiementChapitre 3 Installation de McAfee DLP


Déploiement et installation


2 Planification de votre déploiement

Préparez votre environnement pour l'installation.

Sommaire Options de déploiement Planification de votre stratégie DLP Configuration système requise Ports par défaut utilisés par McAfee DLP Liste de contrôle du déploiement

2


Options de déploiementLa suite de produits McAfee DLP offre plusieurs options pour l'intégration dans votre réseau.

Options McAfee DLP Endpoint et Device ControlPour une simple implémentation de McAfee DLP Endpoint, il est recommandé de l'installer sur unserveur McAfee ePO unique.

Pour obtenir des recommandations sur l'utilisation d'un serveur distinct pour la base de donnéesMcAfee ePO dans des installations plus complexes, reportez-vous au Hardware Sizing and BandwidthUsage Guide (Guide de dimensionnement du matériel et d'utilisation de la bande passante) de McAfeeePolicy Orchestrator.

Figure 2-1 Composants McAfee DLP Endpoint et relations

L'architecture recommandée contient :

• Serveur McAfee ePO : héberge les consoles intégrées McAfee DLP Endpoint, Gestionnaired'incidents et Opérations, et communique avec le logiciel McAfee Agent sur les ordinateurs clients.

• Analyseur d'événements McAfee ePO : communique avec McAfee Agent et stocke lesinformations relatives aux événements dans une base de données.

• Analyseur d'événements DLP : collecte les événements McAfee DLP Endpoint à partir del'analyseur d'événements McAfee ePO et les stocke dans des tables DLP, dans la base dedonnées SQL.

• Base de données ePO : communique avec le distributeur de stratégies McAfee ePO afin dedistribuer des stratégies, ainsi qu'avec l'analyseur d'événements DLP afin de collecter desévénements et des preuves.

• Poste de travail de l'administrateur : accède à McAfee ePO et à la console de stratégies McAfeeDLP Endpoint dans un navigateur.

2 Planification de votre déploiementOptions de déploiement


• Poste de travail managé : applique les stratégies de sécurité à l'aide des logiciels suivants :

• Client McAfee DLP Endpoint : plug-in McAfee Agent qui fournit les processus et les stratégiesMcAfee DLP Endpoint.

• McAfee Agent : permet la communication entre le serveur McAfee ePO et le logiciel clientMcAfee DLP Endpoint.

Options McAfee DLP DiscoverMcAfee DLP Discover fonctionne sur les serveurs physiques et virtuels. Vous pouvez installer un ouplusieurs serveurs Discover sur votre réseau à l'aide de McAfee ePO (recommandé) ou manuellement.

Assurez-vous que tous les serveurs que vous utilisez pour McAfee DLP Discover répondent auxexigences suivantes :

• McAfee Agent est installé et en cours d'exécution sur le serveur.

• Le serveur communique avec McAfee ePO.

• Le serveur est ajouté à l'arborescence des systèmes de McAfee ePO.

Pour plus d'informations sur l'installation et l'exécution de McAfee Agent, reportez-vous au Guideproduit de McAfee Agent.

Options McAfee DLP PreventMcAfee DLP Prevent peut fonctionner sur une appliance matérielle physique ou virtuelle.

• Les appliances virtuelles peuvent être exécutées sur votre propre serveur VMware ESX ou ESXi.

• Vous pouvez installer McAfee DLP Prevent sur des appliances de modèle 4400 ou 5500.

• Vous pouvez également installer un serveur VMWare ESX ou ESXi sur les appliances demodèle 4400 ou 5500.

Configuration requise pour le MTA

Un serveur MTA doit remplir les conditions suivantes pour être compatible avec McAfee DLP Prevent.

• Le MTA doit envoyer tout ou une partie du trafic des e-mails à McAfee DLP Prevent. Exemple : danscertains environnements, il est parfois préférable que McAfee DLP Prevent traite uniquement lesmessages envoyés à partir ou à destination de sites publics, par exemple Gmail, plutôt que detraiter tous les e-mails envoyés et reçus sur le réseau.

• Le MTA doit être en mesure d'inspecter les en-têtes des e-mails afin de distinguer les messagesreçus de McAfee DLP Prevent et d'appliquer une action aux chaînes d'en-tête que McAfee DLPPrevent ajoute aux e-mails. Si certaines actions ne sont pas prises en charge sur le serveur MTA,ne configurez pas de règles qui les utilisent sur McAfee DLP Prevent.

• Votre MTA doit faire en sorte que les e-mails reçus de McAfee DLP Prevent soient acheminés vers ladestination prévue et ne soient pas renvoyés à McAfee DLP Prevent. Exemple : vous pouvez définirle routage à l'aide d'une adresse IP source ou d'un numéro de port, ou en vérifiant la présenced'en-têtes X-RCIS-Action.

Configuration requise pour McAfee DLP Prevent for Mobile Email

Le logiciel McAfee DLP Prevent for Mobile Email fonctionne sur les serveurs physiques et virtuels. Laconfiguration requise est la même que pour le logiciel du serveur McAfee DLP Discover. N'exécutez pasles deux produits à partir du même serveur.

Planification de votre déploiementOptions de déploiement 2


Scénarios de déploiementEn raison du nombre de produits McAfee DLP et des différents moyens existants de les mettre enœuvre, les déploiements diffèrent souvent d'un réseau à l'autre.

Déploiement de McAfee DLP Endpoint dans des environnements CitrixMcAfee DLP Endpoint pour Windows peut être installé sur des contrôleurs Citrix pour XenApp etXenDesktop.

Si vous souhaitez utiliser McAfee DLP Endpoint pour Windows dans des environnements Citrix, laconfiguration requise est la suivante :

• Citrix XenApp 6.5 FP2 ou 7.8

• Citrix XenDesktop 7.0, 7.5 ou 7.8

Déployez McAfee Agent et le client McAfee DLP Endpoint sur les contrôleurs Citrix, comme pourn'importe quel client. Déployez une stratégie client McAfee DLP Endpoint pour Windows sur lescontrôleurs Citrix.

Il n'est pas nécessaire de déployer le client McAfee DLP Endpoint sur les postes clients pour qu'ilfonctionne avec Citrix. Vous avez uniquement besoin de Citrix Receiver 4.4.1000. Lorsque le terminalWindows se connecte au contrôleur Citrix et ouvre des fichiers ou des e-mails, les règles sontappliquées.

Principe de fonctionnement

Dans Citrix, les règles de protection présentent les différences suivantes par rapport à une installationde McAfee DLP Endpoint sur un ordinateur d'entreprise :

• Les règles d'équipement Citrix ne sont pas prises en charge lors de l'utilisation d'un serveur decontrôleur distinct avec XenApp 7.8.

• Les règles de protection contre les captures d'écran ne sont pas prises en charge. En effet, lacapture d'écran est activée à partir de l'ordinateur client, sur lequel la règle ne s'applique pas. Pourassurer la protection contre les captures d'écran, installez le client McAfee DLP Endpoint surl'ordinateur client.

• Les règles de protection du Presse-papiers sont prises en charge, mais sans les événements ou lesnotifications pop-up. En effet, la tentative de copie est effectuée au niveau du contrôleur Citrix, oùles règles sont prises en charge, mais la tentative de collage a lieu sur le terminal et ne peut doncpas activer de fenêtre pop-up ou générer d'événement.

Ces limitations ne s'appliquent pas si vous utilisez RDP pour vous connecter au contrôleur Citrix.

Exécution de McAfee Device Control sur des ordinateurs protégés parisolement physique (air gap)Device Control permet de contrôler l'utilisation des équipements amovibles connectés à des systèmesprotégés par isolement physique (air gap).

Les systèmes à air gap améliorent la sécurité en limitant les équipements amovibles qui sontcouramment utilisés avec eux : il doit s'agir d'équipements reconnus et faire l'objet d'une utilisationautorisée.

2 Planification de votre déploiementOptions de déploiement


Il existe trois types de systèmes légèrement différents pouvant être décrits comme des systèmes àisolement physique (air gap). La configuration de chacun d'entre eux pour la protection Device Controlreprésente un cas de figure différent.

1 Les ordinateurs connectés à l'intranet de l'entreprise, mais isolés d'Internet

2 Un réseau informatique isolé qui inclut un serveur McAfee ePO

3 Des ordinateurs isolés, où la seule manière de récupérer ou d'importer des informations estd'utiliser des équipements de stockage amovibles

Fonctionnement

Dans le premier cas de figure, McAfee Agent est déployé sur les ordinateurs à air gap. Le systèmefonctionne alors normalement, recevant des stratégies de McAfee ePO et en envoyant des incidents auserveur McAfee ePO. Toutes les communications restent confinées à l'intranet.

Dans le deuxième cas de figure, vous pouvez créer des configurations et des stratégies sur le principalserveur McAfee ePO. Créez une sauvegarde sur un équipement de stockage amovible. Copiez cettesauvegarde sur le serveur McAfee ePO isolé à l'aide du bouton Restaurer dans Paramètres DLP.

Le troisième cas de figure utilise l'injection de stratégie. Le client Device Control est configuré pourobtenir des stratégies à partir d'un dossier spécifié. Les stratégies créées sur un serveur McAfee ePOexterne sont ensuite copiées manuellement dans ce dossier. Avec cette méthode, les événementsMcAfee Agent sont stockés dans un dossier local et doivent être copiés manuellement sur le serveurMcAfee ePO à intervalles réguliers. Si Device Control est configuré avec des règles de protection despériphériques de stockage amovibles, les événements de l'agent comportent des preuves, desincidents et des événements opérationnels.

Planification de votre stratégie DLPPrésentation des workflows et des composants de stratégie pour vous aider à choisir votre approchepour DLP.

Workflow McAfee DLPCe workflow fournit des indications générales pour utiliser vos produits McAfee DLP.

• Connaître vos données : détectez et déterminez les types de données qui se trouvent sur votreréseau.

1 Utilisez McAfee DLP pour surveiller passivement les données et les actions des utilisateurs sur leréseau. Vous pouvez utiliser les règles prédéfinies ou créer une stratégie de base.

2 Passez en revue les incidents et analysez les résultats des analyses pour détecter d'éventuellesviolations de stratégie. Utilisez ces informations pour créer une stratégie efficace.

• Configurer une stratégie : utilisez les règles pour réagir aux violations et protéger les données.

1 Classez et définissez les données sensibles en configurant des classifications et des définitions.

2 Assurez le suivi des données et des fichiers sensibles grâce à l'identification de contenu parempreinte et aux documents enregistrés.

3 Protégez les données avec des analyses et des règles. Configurez l'action à entreprendrelorsque des données confidentielles sont découvertes, consultées ou transmises.

Planification de votre déploiementPlanification de votre stratégie DLP 2


• Surveiller les résultats : surveillez les incidents et créez des rapports.

1 Passez en revue les incidents pour distinguer les faux positifs des véritables violations destratégie.

2 Regroupez les incidents liés en dossiers (cas), pouvant être transmis à d'autres services, commele département juridique ou les ressources humaines.

• Affiner la stratégie : affinez votre stratégie en fonction de vos besoins. Continuez à surveiller lesincidents et les résultats des analyses, et ajustez la stratégie en fonction des types de violation etdes faux positifs que vous rencontrez.

Processus de protection de McAfee DLPLes fonctionnalités et les composants des stratégies McAfee DLP constituent un processus deprotection intégré au workflow général.

Figure 2-2 Processus de protection de McAfee DLP

ClassificationPour protéger le contenu confidentiel, commencez par définir et par classer des informations sensiblesà protéger.

Le contenu est classé sur la base de classifications et de critères de classification que vous définissez.Les critères de classification définissent les conditions de classification des données. Les méthodespour définir les critères sont les suivantes :

• Modèles avancés : expressions régulières combinées avec des algorithmes de validation, utiliséespour rechercher des modèles, par exemple pour détecter les numéros de carte de crédit.

• Dictionnaires : listes de mots ou de termes spécifiques ; par exemple, termes médicaux pourdétecter d'éventuelles violations HIPAA.

2 Planification de votre déploiementPlanification de votre stratégie DLP


• Types de fichiers vrai : propriétés du document, informations sur le fichier ou application ayantcréé le fichier.

• Emplacement source ou de destination : URL, partages réseau ou application/utilisateur ayantcréé ou reçu le contenu.

McAfee DLP Endpoint prend en charge des logiciels de classification tiers. Vous pouvez classer lese-mails à l'aide de Boldon James Email Classifier. Vous pouvez classer les e-mails ou d'autres fichiers àl'aide des clients de classification Titus : Titus Message Classification, Titus Classification for Desktopet Titus Classification Suite. Pour implémenter l'assistance Titus, le SDK Titus doit être installé sur lesordinateurs clients.

McAfee DLP Prevent prend en charge les classifications Titus. Il ne prend pas en charge lesclassifications Boldon James.

LocalisationMcAfee DLP peut localiser du contenu en fonction de son emplacement de stockage ou de l'applicationutilisée pour le créer.

Les utilisateurs de McAfee DLP Endpoint pour Windows peuvent également créer des classificationsmanuelles qui peuvent être utilisées pour localiser n'importe quel fichier. Les mécanismes utilisés pourlocaliser le contenu sont les suivantes :

• Identification du contenu par empreinte : pris en charge sur McAfee DLP Endpoint

• Documents enregistrés : pris en charge sur McAfee DLP Endpoint pour Windows et McAfee DLPPrevent

• Classifications manuelles : créées uniquement par les utilisateurs de McAfee DLP Endpoint pourWindows, mais pris en charge sur tous les produits McAfee DLP

Identification du contenu par empreinte

L'identification du contenu par empreinte est une technique de localisation de contenu uniquementutilisée dans McAfee DLP Endpoint. L'administrateur crée un ensemble de critères d'identification decontenu par empreinte qui définissent soit l'emplacement du fichier, soit l'application utilisée pour yaccéder, ainsi que la classification à placer sur les fichiers. Le client McAfee DLP Endpoint localise tousles fichiers ouverts à partir des emplacements, ou par les applications, définis dans les critèresd'identification du contenu par empreinte et crée des signatures d'empreinte de ces fichiers en tempsréel dès que des utilisateurs y accèdent. Il utilise ensuite ces signatures pour localiser les fichiers oudes fragments de ceux-ci. Les critères d'identification de contenu par empreinte peuvent être définispar l'application, par chemin UNC (emplacement) ou par URL (application web).

Prise en charge de la conservation des informations d'empreinte

Les signatures d'empreinte de contenu sont stockées dans les attributs étendus (EA) du fichier oudans d'autres flux de données (ADS). Lorsqu'un utilisateur accède à ces fichiers, le logiciel McAfee DLPEndpoint localise les transformations de données et maintient la classification comme contenuconfidentiel, quelle que soit l'utilisation qui est faite des données. Par exemple, si un utilisateur ouvreun document Word auquel une empreinte a été appliquée, en copie quelques paragraphes dans unfichier texte et joint ce dernier à un e-mail, le message sortant possède la même signature que ledocument d'origine.



Pour les systèmes de fichiers qui ne prennent pas en charge les attributs étendus (EA) de fichier ou lesautres flux de données (ADS), le logiciel McAfee DLP Endpoint stocke les informations des signaturessous la forme d'un métafichier sur le disque. Les métafichiers sont stockés dans un dossier masquénommé ODB$ qui est créé automatiquement par le logiciel client McAfee DLP Endpoint.

Les signatures et les critères d'identification de contenu par empreinte ne sont pas pris en charge dansMcAfee Device Control.

Documents enregistrés

La technique des documents enregistrés consiste à pré-analyser l'ensemble des fichiers se trouvantdans des référentiels spécifiés (tels que le site SharePoint d'ingénierie) et à créer des signatures defragments de chacun de ces fichiers dans ces référentiels. Ces signatures sont ensuite distribuées surtous les terminaux managés. Le client McAfee DLP Endpoint est alors en mesure de localiser n'importequel paragraphe copié à partir d'un de ces documents et de le classer en fonction de la classificationassociée à la signature du document enregistré.

Les documents enregistrés utilisent une grande quantité de mémoire, ce qui peut réduire lesperformances du système. En effet, le client McAfee DLP Endpoint compare chaque document inspectéà l'ensemble des signatures des documents enregistrés afin d'identifier son origine.

Meilleure pratique : pour réduire le nombre de signatures et les répercussions de cette technique surles performances du système, n'utilisez les documents enregistrés que pour localiser les documents lesplus sensibles.

Classification manuelle

Les utilisateurs qui emploient la classification manuelle ont la possibilité d'appliquer des empreintes oudes classifications de contenu à leurs fichiers. Les empreintes de contenu appliquées manuellementfonctionnent exactement comme l'identification par empreintes automatiques décrite précédemment.Les classifications de contenu appliquées manuellement incorporent un marqueur physique dans lefichier. Ce marqueur permet de localiser le fichier quel que soit l'emplacement où il est copié, mais ilne crée pas de signatures, et le contenu copié dans d'autres fichiers à partir de ces fichiers ne peut,lui, pas être localisé.

ProtectionCréez des règles afin de détecter les données confidentielles et de prendre les mesures appropriées.

Les règles sont constituées de conditions, d'exceptions et d'actions. Les conditions comportentplusieurs paramètres (tels que les classifications) qui permettent de définir les données ou les actionsde l'utilisateur à rechercher. Les exceptions spécifient des paramètres pour lesquels la règle n'est pasdéclenchée. Les actions définissent le comportement de la règle lorsqu'elle est déclenchée, parexemple, si elle bloque l'accès des utilisateurs, si elle chiffre un fichier ou si elle crée un incident.

Règles de protection des données

Les règles de protection des données sont utilisées par McAfee DLP Endpoint, Device Control et McAfeeDLP Prevent pour empêcher la distribution non autorisée de données confidentielles. Lorsqu'unutilisateur tente de copier ou de joindre des données confidentielles, McAfee DLP intercepte latentative et utilise les règles de protection des données afin de déterminer les mesures à prendre. Parexemple, McAfee DLP Endpoint peut interrompre la tentative et afficher une boîte de dialogue àl'utilisateur final. Ce dernier doit alors indiquer la justification de la tentative et le traitement continue.

McAfee DLP Prevent utilise des règles de protection du web et de la messagerie pour surveiller lescommunications issues d'un serveur MTA ou d'un serveur proxy web, et leur appliquer des actions.



McAfee Device Control utilise uniquement des règles de protection des données des équipements destockage amovibles.

Règles de contrôle des équipements

Les règles de contrôle des équipements surveillent le système et l'empêchent éventuellement decharger des périphériques physiques, notamment des équipements de stockage amovibles, Bluetooth,Wi-Fi et autres périphériques Plug-and-Play. Les règles de contrôle des équipements sont constituéesde définitions d'équipements et de spécifications de réactions. Vous pouvez les affecter à des groupesd'utilisateurs finaux spécifiques en les filtrant à l'aide de définitions de groupes d'utilisateurs finaux.

Règles de découverte

Les règles de découverte sont utilisées par McAfee DLP Endpoint et McAfee DLP Discover pour analyserdes fichiers et des données.

Découverte Endpoint est un robot qui s'exécute sur des ordinateurs managés. Il analyse le système defichiers Endpoint local, ainsi que la boîte de réception des e-mails (en cache) et les fichiers PST locaux.Les règles de découverte du système de fichiers local et du stockage des e-mails précisent si lecontenu doit être mis en quarantaine, marqué ou chiffré. Elles permettent également d'indiquer si lefichier ou l'e-mail classé doit être signalé comme un incident et si le fichier ou l'e-mail doit être stockédans l'incident comme preuve.

Les analyses du système de fichiers ne sont pas prises en charge sur les systèmes d'exploitation deserveur.

McAfee DLP Discover analyse les référentiels et peut déplacer ou copier des fichiers, appliquer desstratégies de gestion des droits aux fichiers et créer des incidents.

Jeux de règles

Les règles sont regroupées en jeux de règles. Un jeu de règles peut contenir n'importe quellecombinaison de types de règles.

Stratégies

Les stratégies contiennent des jeux de règles actifs et sont déployées de McAfee ePO vers le logicielclient McAfee DLP Endpoint, le serveur Discover ou l'appliance McAfee DLP Prevent. Les stratégiesMcAfee DLP Endpoint contiennent également des définitions et des informations d'affectation destratégie.

SurveillancePassez en revue les incidents afin de détecter les violations de stratégie.

Les fonctions de surveillance sont les suivantes :

• Gestionnaire d'incidents : les incidents sont envoyés à l'analyseur d'événements McAfee ePO etstockés dans une base de données. Les incidents contiennent les détails concernant la violation etpeuvent éventuellement inclure des informations de preuve. Vous pouvez afficher les preuves et lesincidents dès leur réception dans la console Gestionnaire d'incidents DLP.

• Gestion des cas : permet de regrouper des incidents liés dans des dossiers (cas) pour êtreanalysés dans la console Gestion de cas DLP.

• Evénements opérationnels : permet d'afficher les erreurs et les événements administratifs dansla console Opérations DLP.



• Collecte des preuves : pour les règles qui sont configurées de manière à collecter des preuves,une copie des données ou du fichier est enregistrée et associée à l'incident en question. Cesinformations permettent de déterminer la gravité de l'événement ou le degré d'exposition associé.Les preuves sont chiffrées à l'aide de l'algorithme AES avant d'être enregistrées.

• Surlignage de correspondances : les preuves peuvent être enregistrées avec mise ensurbrillance du texte responsable de l'incident. Les preuves mises en surbrillance sont stockéesdans un fichier HTML chiffré distinct.

• Rapports : McAfee DLP Endpoint peut créer des rapports, des graphiques et des diagrammes detendance qui sont affichés dans les tableaux de bord McAfee ePO.

Workflow de stratégieLes produits McAfee DLP utilisent un workflow similaire pour créer des stratégies.

Une stratégie se compose de règles, regroupées en jeux de règles. Les règles utilisent desclassifications et des définitions pour spécifier les éléments que McAfee DLP doit détecter. Lesréactions des règles déterminent l'action à entreprendre si des données déclenchent la règle.

Utilisez le workflow suivant pour créer des stratégies.

1 Créez des classifications et des définitions.

2 Créez des règles de protection des données, de protection des équipements et de découverte.Toutes les règles requièrent des classifications ou des définitions.

3 Affectez des jeux de règles aux stratégies DLP. Pour McAfee DLP Discover, créez des définitionsd'analyse.

4 Affectez et déployez les stratégies dans l'arborescence des systèmes. Pour McAfee DLP Discover,appliquez une stratégie à des serveurs Discover.

Figure 2-3 Composants d'une stratégie



Les options et la disponibilité de ces composants varient selon le produit McAfee DLP que vous utilisez.

Voir aussi Composants de stratégie partagés, page 35

Meilleure pratique : workflow McAfee DLP DiscoverCe workflow vous servira de guide lors de l'implémentation de McAfee DLP Discover, notamment dansles nouveaux environnements.

1 Effectuez une analyse d'inventaire afin de collecter des métadonnées sur les fichiers desréférentiels de votre organisation. Les résultats de l'analyse vous permettront de savoir quels typesde fichiers se trouvent dans les référentiels.

2 Configurez des classifications pour détecter des informations sensibles ou confidentielles. Utilisezces classifications pour définir et exécuter une analyse de classification.

3 Les résultats de l'analyse de classification vous permettent de localiser les informations sensibles.

4 Configurez une analyse de correction pour chiffrer les fichiers sensibles ou les déplacer vers unréférentiel plus sûr.

5 Continuez à effectuer des analyses de manière régulière, et vérifiez-en les résultats, ainsi que lesincidents générés. Affinez les analyses sur la base des résultats ou des modifications apportées à lastratégie de votre organisation.

Composants de stratégie partagésLes produits McAfee DLP partagent de nombreux composants de configuration de stratégie.

Composant DeviceControl

McAfee DLPEndpoint

McAfee DLPDiscover

McAfee DLPPrevent

Définitions X X X X

Classifications X* X X X

Critères de classification decontenu

X* X X X

Critères d'identification ducontenu par empreinte

X

Classifications manuelles X X** X**

Documents enregistrés X X

Texte inclus dans la listeblanche

X X

Règles et jeux de règles X X X X

Configuration client X X

Configuration du serveur X X

Preuves X* X X X

Gestion des droits X X

*Device Control utilise des classifications, des critères de classification du contenu et des preuvesuniquement dans les règles de protection des périphériques de stockage amovibles.

**McAfee DLP Discover et McAfee DLP Prevent peuvent analyser les fichiers pour y rechercher desclassifications manuelles mais ces produits ne peuvent pas affecter de classifications manuelles.



Configuration système requiseChaque produit McAfee DLP requiert une configuration système particulière.

Pour connaître la configuration système requise pour les produits McAfee DLP, reportez-vous auxnotes de publication de McAfee Data Loss Prevention.

Ports par défaut utilisés par McAfee DLPMcAfee DLP utilise plusieurs ports pour les communications réseau. Configurez tous les équipementsd'application de stratégies ou pare-feux intermédiaires de sorte à autoriser l'utilisation de ces ports làoù cela est nécessaire.

Tous les protocoles de la liste utilisent uniquement TCP, sauf indication contraire.

Pour plus d'informations sur les ports qui communiquent avec McAfee ePO, reportez-vous à l'articleKB66797 de la base de connaissance.

Tableau 2-1 Ports par défaut de McAfee DLP Discover

Port, protocole Utilisation

• 137, 138, 139 — NetBIOS

• 445 — SMB

Analyses CIFS

• 80 — HTTP

• 443 — SSL

Analyses Box et SharePointVous pouvez configurer desserveurs SharePoint pour utiliserdes ports HTTP ou SSL nonstandard. Si nécessaire, configurezvos pare-feux pour qu'ils autorisentles ports non standard.

53 — DNS (UDP) Requêtes DNS

• 1801 — TCP

• 135, 2101*, 2103*, 2105 — RPC

• 1801, 3527 — UDP

*Indique que les numéros de port peuvent être incrémentéspar 11 en fonction des ports disponibles lors de l'initialisation.Pour plus d'informations, reportez-vous à l'article https://support.microsoft.com/fr-fr/kb/178517#/en-us/kb/178517 de labase de connaissances Microsoft.

Microsoft Message Queuing(MSMQ)

Tableau 2-2 Ports par défaut de McAfee DLP Prevent

Port Utiliser

22 — SSH SSH (si activé)

25 — SMTP Trafic SMTP avec l'agent MTA

161 — SNMP SNMP (si activé)

1344 — ICAP Trafic ICAP avec le proxy web

8081 — ePO Service d'agent d'ePO

10443 — HTTPS Trafic HTTPS pour téléchargement, par exemple, le rapport pour la procédured'escalade minimale (MER) et les fichiers MIB

11344 — ICAP ICAP sur SSL

2 Planification de votre déploiementConfiguration système requise


https://kc.mcafee.com/corporate/index?page=content&id=KB66797

https://support.microsoft.com/en-us/kb/178517#/en-us/kb/178517

https://support.microsoft.com/en-us/kb/178517#/en-us/kb/178517

Tableau 2-2 Ports par défaut de McAfee DLP Prevent (suite)

Port Utiliser

53 — DNS (UDP) Requêtes DNS

123 — NTP Demandes NTP

Liste de contrôle du déploiementAvant d'installer des produits McAfee DLP, vérifiez que vous disposez des informations nécessairespour un déploiement réussi.

Tableau 2-3 Considérations relatives à McAfee DLP Endpoint et Device Control

Elément à déterminer Considérations à prendre en compte

Impact sur les activitésde travail

Testez les nouvelles installations ou les mises à niveau sur unsous-réseau du réseau de production. Définissez les nouvelles règles surAucune action et allez voir les résultats dans le Gestionnaire d'incidents DLPpour en évaluer les répercussions. Ajustez les paramètres de règle à vosbesoins avant de les mettre en œuvre sur le réseau de production.Dans les grandes entreprises, le déploiement à grande échelle se faithabituellement de façon progressive afin d'en minimiser l'impact et dedisposer de suffisamment de temps pour résoudre les éventuelsproblèmes.

Type de déploiement(physique ou virtuel)

Des restrictions supplémentaires s'appliquent aux déploiements virtuels.Pour plus d'informations, consultez le Guide de dimensionnementcorrespondant.

Tableau 2-4 Considérations relatives à McAfee DLP Discover

Elément à déterminer Considérations à prendre en compte

Serveurs Discover Déterminez les serveurs Windows sur lesquels installer le logiciel deserveur McAfee DLP Discover, ainsi que leur nombre.

Méthode d'installation surles serveurs

Déterminez si vous devez installer le logiciel McAfee DLP Discover àl'aide de McAfee ePO ou manuellement.

Référentiels Etablissez la liste des référentiels à analyser. Collectez les cheminsd'accès et les informations d'identification de ces référentiels et vérifiezque ces derniers sont d'un type pris en charge par McAfee DLPDiscover.

Planification de votre déploiementListe de contrôle du déploiement 2


Tableau 2-5 Considérations relatives à McAfee DLP Prevent

Elément àdéterminer

Considérations à prendre en compte

Sécurité Tenez compte des points suivants lors de la préparation de votre environnement :• Utilisez la gestion hors bande sur un réseau auquel McAfee ePO peut accéder

pour isoler le trafic réseau et de gestion.

• Le trafic du réseau LAN1 ne doit pas être accessible à partir de l'extérieur devotre organisation.

• Connectez toute interface de contrôleur de gestion de la carte de base (BMC) àun réseau de gestion dédié et sécurisé.

• Contrôlez les personnes ayant accès à la console de l'appliance physique ouvirtuelle.

Informations surle réseau

Tenez compte des points suivants lors de la préparation de votre environnementréseau :• Interfaces réseau : vérifiez que ces adresses IP sont affectées de manière

statique, et non dynamiquement.

• Adresse IP associée au trafic client : le nom de domaine complet (FQDN)(Nom_de_l'hôte.Nom_du_domaine) doit être résolu en cette adresse IPlorsqu'une requête est envoyée au serveur DNS.

L'adresse IP doit être résolue au format FQDN dans une recherche inversée.

• Compte de connexion : l'appliance dispose d'un compte de connexiond'administrateur local permettant la connexion au shell de la machine virtuelle.Pour sécuriser le compte, vous devez modifier le mot de passe par défaut.

• (Facultatif) Adresse IP de l'interface de gestion : vous pouvez utiliser l'interfacehors bande pour le trafic de gestion. Sinon, le trafic de gestion et du clientutilisent l'interface LAN1.

Module degestion àdistance (RMM)

(Appliances matérielles uniquement) Si vous comptez utiliser le RMM pour gérerles appliances, utilisez un réseau sécurisé ou fermé pour la connexion au RMM.

2 Planification de votre déploiementListe de contrôle du déploiement


3 Installation de McAfee DLP

Installez les extensions et les packages nécessaires pour vos produits et effectuez toutes lesconfigurations initiales.

Tous les produits McAfee DLP utilisent l'extension McAfee DLP pour McAfee ePO. Installez-la commepoint de départ.

Sommaire Téléchargement des extensions de produit et des fichiers d'installation Installation et gestion de licences de l'extension McAfee DLP Installation de McAfee DLP Endpoint et du logiciel clientDevice Control Installez le package de serveur McAfee DLP Discover Installation de McAfee DLP Prevent Exécution de tâches de post-installation

Téléchargement des extensions de produit et des fichiersd'installation

Téléchargez les fichiers pour votre installation.

Avant de commencerRecherchez le Grant Number que vous avez reçu après l'achat du produit.

Vous pouvez également utiliser le Gestionnaire de logiciels McAfee ePO (Menu | Logiciels | Gestionnaire delogiciels) pour afficher, télécharger et installer le logiciel.

Procédure

1 Dans un navigateur web, accédez à www.mcafee.com/us/downloads/downloads.aspx.

2 Entrez votre Grant Number, puis sélectionnez le produit et sa version.

3 Sous l'onglet Téléchargements de logiciels, sélectionnez et enregistrez le fichier voulu.

Produit Description dufichier

Nom du fichier

Tous lesproduits

Extension McAfeeData Loss Prevention

DLP_Mgmt_version_Package.zip

McAfee DLPEndpoint,Device Control

Logiciel client • Device Control —HDLP_Agent_Device_Control_version_x.zip

• Microsoft Windows — HDLP_Agent_version_x.zip

• Mac OS X — DLPAgentInstaller.zip

3


http://www.mcafee.com/us/downloads/downloads.aspx

Produit Description dufichier

Nom du fichier

McAfee DLPDiscover

Package de serveur McAfeeDLPDiscoverversionLicensed.zip

McAfee DLPPrevent

Extension McAfeeDLP Prevent

dlp-prevent-server-package-version-extensions.zip

Extension AME appliance-management-package-version-extensions.zip

Extension CommonUI

commonui-core-package-version-extensions.zip

Image d'installationMcAfee DLP Prevent

• Appliance virtuelle — McAfee-PS-version.ps.hw8.hdd.ova

• Appliance matérielle — McAfee-PS-version.iso

McAfee DLPPrevent forMobile Email

Aucune (intégré àl'extension McAfeeData LossPrevention).L'activation ducomposant McAfeeDLP Prevent forMobile Email requiertune licence McAfeeDLP Prevent.

S.O.

Installation et gestion de licences de l'extension McAfee DLPL'extension fournit l'interface utilisateur permettant de configurer McAfee DLP dans McAfee ePO.

Avant de commencerVérifiez dans les paramètres de sécurité d'Internet Explorer que le nom du serveur McAfeeePO figure dans la liste des sites de confiance.

Procédures• Installation de l'extension à l'aide du Gestionnaire de logiciels, page 40

Vous pouvez utiliser le Gestionnaire de logiciels pour installer, mettre à niveau et supprimerdes extensions.

• Installez l'extension manuellement, page 41Installez l'extension à l'aide de la page Extensions.

• Définir une licence McAfee DLP, page 41Fournissez la licence permettant d'accéder aux consoles McAfee DLP.

• Application de la compatibilité avec les versions antérieures, page 43Les stratégies compatibles avec les versions antérieures vous permettent d'utiliser lenouveau format d'extension avec les anciennes versions du client, ce qui offre un cheminde mise à niveau clair aux grandes entreprises.

• Conversion des stratégies et migration de données, page 45Pour effectuer une mise à niveau vers McAfee DLP 10.0 à partir de versions antérieures à9.4.100, vous devez migrer ou convertir des incidents, des événements opérationnels oudes stratégies. Les tâches serveur McAfee ePO sont utilisées pour la conversion/migration.

Installation de l'extension à l'aide du Gestionnaire de logicielsVous pouvez utiliser le Gestionnaire de logiciels pour installer, mettre à niveau et supprimer desextensions.

3 Installation de McAfee DLPInstallation et gestion de licences de l'extension McAfee DLP


ProcédurePour davantage d'informations au sujet des fonctionnalités du produit, de son utilisation et desmeilleures pratiques, cliquez sur ? ou sur Aide.

1 Dans McAfee ePO, sélectionnez Menu | Logiciels | Gestionnaire de logiciels.

2 Dans le volet de gauche, développez Logiciel (par étiquette) et sélectionnez Data Loss Prevention.

3 Sélectionnez votre produit McAfee DLP.

Si vous installez McAfee DLP Prevent parmi vos produits, sélectionnez l'entrée correspondant àMcAfee DLP Prevent, qui installe toutes les extensions nécessaires :

• McAfee DLP

• Common UI

• Extension Gestion des appliances


4 Pour tous les logiciels disponibles, cliquez sur Archiver.

5 Cochez la case pour accepter l'accord, puis cliquez sur OK.

L'extension est installée. Les extensions archivées sont affichées dans la liste Logiciel archivés. Lorsquede nouvelles versions des logiciels sont publiées, vous pouvez utiliser l'option de mise à jour desextensions.

Installez l'extension manuellementInstallez l'extension à l'aide de la page Extensions.

Avant de commencerTéléchargez l'extension McAfee DLP à partir du site de téléchargement McAfee.


1 Dans McAfee ePO, sélectionnez Menu | Logiciel | Extensions, puis cliquez sur Installer une extension.

2 Recherchez le fichier .zip de l'extension, puis cliquez sur OK.

La boîte de dialogue d'installation affiche les paramètres du fichier afin que vous puissiez vérifiers'il s'agit bien de l'extension appropriée.

3 Cliquez sur OK pour installer l'extension.

Définir une licence McAfee DLPFournissez la licence permettant d'accéder aux consoles McAfee DLP.

Vous devez saisir au moins une clé de licence (plusieurs si vous avez plusieurs produits McAfee DLP).Les licences que vous saisissez déterminent les options de configuration qui vous sont offertes dansMcAfee ePO.

Vous pouvez entrer une licence pour McAfee DLP Endpoint ou Device Control dans le champ McAfee DLPEndpoint. Le remplacement d'un type de licence par un autre type modifie la configuration.

Installation de McAfee DLPInstallation et gestion de licences de l'extension McAfee DLP 3


Vous pouvez saisir les clés des produits suivants :

• McAfee DLP Endpoint ou Device Control


• McAfee DLP Prevent (entré dans le champ McAfee Network DLP)

Cette licence permet également d'activer le logiciel du serveur McAfee DLP pour mobile.


1 Installez des licences et des composants dans Paramètres DLP pour personnaliser l'installation.

Le module Paramètres DLP dispose de trois pages pourvus d'onglets. Vous devez obligatoirementindiquer les informations demandées sous l'onglet Général. Vous pouvez utiliser les valeurs pardéfaut pour le reste des paramètres si vous n'avez pas d'exigence particulière.

a Sélectionnez Menu | Protection des données | Paramètres DLP.

b Pour chaque licence que vous souhaitez ajouter, procédez comme suit : dans le champ Clés delicence | Clé, saisissez la licence, puis cliquez sur Ajouter.

L'installation de la licence active les composants McAfee ePO et les stratégies du catalogue destratégies McAfee ePO connexes.

c Dans le champ Stockage de preuves par défaut, entrez le chemin d'accès.

Ce doit être un chemin réseau, c'est-à-dire de type \\[serveur]\[partage]. Cette étape estnécessaire pour enregistrer les paramètres et activer le logiciel.

d Définissez le mot de passe partagé.

Meilleure pratique : pour une meilleure sécurité, changez le mot de passe.

e Définissez la rétrocompatibilité.

Pour la compatibilité avec les anciens clients, sélectionnez 9.4.0.0 ou la compatibilité 9.4.200.0. Ceparamètre limite la possibilité d'utiliser de nouvelles fonctionnalités.

Deux modes de compatibilité sont disponibles : strict et non strict. Mode strict : les stratégiesqui présentent des erreurs de rétrocompatibilité ne peuvent pas être appliquées. Mode nonstrict : le propriétaire de la stratégie ou un utilisateur disposant d'autorisations d'administrateurpeut choisir d'appliquer des stratégies avec des erreurs de rétrocompatibilité.

La compatibilité avec les versions précédentes s'applique aux stratégies McAfee DLP Endpoint etMcAfee DLP Discover. Elle ne s'applique pas aux stratégies McAfee DLP Prevent.

2 (Facultatif) Sous l'onglet Avancé, modifiez les paramètres.

Les paramètres restants ont des valeurs par défaut. Vous pouvez accepter les valeurs par défaut etenregistrer la page, ou les modifier selon vos besoins.

a Définissez la longueur de la clé de demande d'authentification/réponse.

Les options sont des clés de 8 caractères et de 16 caractères.

b Définissez les autorisations de l'arborescence des systèmes.

L'autorisation d'accès à l'arborescence des systèmes peut être utilisée pour filtrer desinformations pour les incidents, les événements, les requêtes et les tableaux de bord.



c Sélectionnez l'option d'affichage du produit de l'événementGestion des incidents.

d Sélectionnez les options de messagerie Gestion des cas.

e Définissez le fuseau horaire de l'événement personnalisé.

Les fuseaux horaires d'événements personnalisés permettent aux administrateurs d'ordonnerles événements en fonction de leur fuseau horaire local. Le paramètre est le décalage parrapport à l'heure UTC.

f Définissez l'état des règles par défaut du Gestionnaire de stratégies.

Le Gestionnaire de stratégies peut être défini par défaut pour créer des règles qui sont activéesou désactivées, et pour signaler des incidents, avec ou sans stockage de preuves. Si vousactivez l'option de génération de rapports, par défaut, toutes les règles appliquent unesurveillance et vous ne devez en définir la réaction que lorsque vous voulez ignorer la valeur pardéfaut.

Cette valeur par défaut s'applique à toutes les règles, que ce soit pour McAfee DLP Endpoint,pour McAfee DLP Discover ou pour McAfee DLP Prevent.

3 Cliquez sur Enregistrer.

4 Pour sauvegarder la configuration, cliquez sur l'onglet Sauvegarde et restauration, puis cliquez surSauvegarde sur fichier.

Les modules McAfee DLP apparaissent dans Menu | Protection des données en fonction de la licence.

Voir aussi Configuration client, page 61Configuration des paramètres de serveur, page 64

Application de la compatibilité avec les versions antérieuresLes stratégies compatibles avec les versions antérieures vous permettent d'utiliser le nouveau formatd'extension avec les anciennes versions du client, ce qui offre un chemin de mise à niveau clair auxgrandes entreprises.

La compatibilité avec les versions antérieures est prise en charge pour les stratégies McAfeeDLP 10.0.0, 9.4.0 et 9.4.200. Les options apparaissent sur la page Paramètres DLP (Menu | Protection desdonnées | Paramètres DLP). La compatibilité avec les versions antérieures n'est pas prise en charge pourles stratégies McAfee DLP 9.3. Les stratégies de versions antérieures à 9.4.0 doivent être migrées versle schéma 9.4.

Lorsque vous utilisez un mode compatible avec les versions antérieures, l'extension McAfee DLPn'envoie pas les stratégies en mode Push aux terminaux si elles contiennent des conditions à causedesquelles les anciennes versions du client risqueraient de mal interpréter la stratégie. Plus de 90 %des stratégies de la version 10.0.100 sont d'anciennes fonctionnalités ou des fonctionnalités que lesclients de version 9.4 peuvent ignorer sans problème. La fonction de compatibilité avec les versionsantérieures bloque l'application des 10 % de stratégies restantes. Si cette fonction est utile pour lesréseaux contenant d'anciens clients McAfee DLP Endpoint, elle implique également que certainesnouvelles fonctionnalités ne sont disponibles pour aucun terminal, même ceux dotés de la dernièreversion du client.



Mode decompatibilité

Eléments non pris en charge (provoquant une erreur)

9.4.0 • Une classification contient une définition de modèle de numéro BIN Luhn10avancée.

• Une classification contient une définition de modèle de numéro d'identificationpersonnel croate avancée.

• Une stratégie utilise le programme de validation de mot de passe pour définir lalongueur et le format des mots de passe valides.

• Une règle de protection de l'accès aux fichiers d'application utilise l'option pourles versions de Google Chrome non prises en charge.

• Une règle de protection de la messagerie utilise une définition d'envelopped'e-mail signée numériquement, ou à laquelle un chiffrement S/MIME ou PGPest appliqué.

9.4.200 • Une classification contient une définition de modèle de code My Number duJapon avancée.

• Une classification contient une définition de modèle Medicare australienavancée.

10.0 • Aucune réaction n'a été sélectionnée.

• Une justification métier a été utilisée avec une action non prise en charge.

• Une règle McAfee DLP Discover contient une définition Box.

Ce tableau est cumulatif ; cela signifie que pour la compatibilité avec la version 9.4.0, tous les élémentsinclus dans les deux lignes inférieures provoquent une erreur. Pour la compatibilité avec laversion 9.4.200, les articles des deux dernières lignes provoquent des erreurs. Pour la compatibilitéavec la version 10.0, seule la dernière ligne s'applique.

Il existe deux modes pour la compatibilité avec les versions antérieures :

• Mode non strict : les erreurs de compatibilité de la stratégie déclenchent un avertissement. Unadministrateur disposant des autorisations d'administration des stratégies peut appliquer à lastratégie.

• Mode strict : les stratégies qui présentent des erreurs ne peuvent pas être appliquées à la base dedonnées McAfee ePO.

Lorsqu'une stratégie présentant des erreurs de compatibilité avec les versions antérieures estappliquée à la base de données, les erreurs sont affichées sur la page Stratégie DLP --> Validationde stratégie. La colonne Détails de la page inclut une description de ce qui peut se produire si vousappliquez la règle sur les terminaux qui ne prennent pas en charge la fonctionnalité.

McAfee DLP Prevent peut utiliser les stratégies qui présentent des avertissements créés en mode nonstrict. Si la compatibilité avec les versions antérieures est appliquée en mode strict, les stratégies quiprésentent des erreurs ne peuvent pas être appliquées à la base de données McAfee ePO et ne sontdonc pas détectées par McAfee DLP Prevent.

Exemple : Description de l'équipementLes définitions d'équipements dans les versions 9.4.200 et 10.0 de McAfee DLP ont unparamètre facultatif nommé Description de l'équipement qui n'était pas disponible dans lesversions antérieures. Si vous utilisez une description d'équipement pour définir unedéfinition d'équipements, puis que vous incluez cette définition dans une règle DeviceControl, le jeu de règles créé ne peut pas être mise en œuvre sur les clients 9.4.0. Si vousacceptez la stratégie malgré le message d'avertissement, l'erreur s'affiche sur la page



Validation de stratégie. Le champ Détails explique que l'erreur « recherchera et appliquera desréponses à des équipements que vous ne souhaitiez pas détecter ». Vous pouvez cliquersur Modifier pour réparer l'erreur.

Conversion des stratégies et migration de donnéesPour effectuer une mise à niveau vers McAfee DLP 10.0 à partir de versions antérieures à 9.4.100,vous devez migrer ou convertir des incidents, des événements opérationnels ou des stratégies. Lestâches serveur McAfee ePO sont utilisées pour la conversion/migration.

Avant de commencerCette tâche décrit la mise à niveau à partir de McAfee DLP Endpoint 9.3.x.

Vous pouvez effectuer une mise à niveau à partir de McAfee DLP Endpoint 9.4.0directement. Vous pouvez définir la compatibilité avec les versions précédentes de manièreà activer la prise en charge des clients 9.4.0, mais vous devez exécuter la tâche serveurConversion des événements d'incident DLP de 9.4 vers 9.4.1 et versions ultérieures si vous souhaitez afficherdes incidents et des événements opérationnels plus anciens dans la version 10.0 desconsoles Gestionnaire d'incidents DLP ou Opérations DLP.

Mettez à niveau l'extension McAfee DLP Endpoint vers la version 9.3.600 (9.3 Patch 6) ouune version ultérieure, puis installez l'extension McAfee DLP 9.4.100 ou ultérieure dansMcAfee ePO.

La tâche de conversion de stratégie ne convertit que les règles qui sont activées etappliquées à la base de données. Pour vérifier l'état de règles que vous voulez convertir,passez en revue votre stratégie McAfee DLP Endpoint 9.3 avant la conversion.


1 Dans McAfee ePO, sélectionnez Menu | Automatisation | Tâches serveur.

2 Sélectionnez Conversion de stratégie DLP, puis cliquez sur Actions | Exécuter.

La page Journal des tâches serveur s'ouvre, ce qui vous permet de vérifier que la tâche est encours d'exécution. La stratégie convertie est compatible avec les stratégies de version 9.4.100 etultérieures.

La tâche échoue si elle a été précédemment exécutée. Si vous apportez des modifications à lastratégie McAfee DLP 9.3 et que vous voulez réexécuter la conversion, modifiez la tâche serveur endésactivant l'option Ne pas exécuter la conversion de stratégies si le jeu de règles '[9.3] Jeu de règles de conversion destratégies' existe sur la page Actions. Le jeu de règles précédent est supprimé et remplacé.

3 Retournez à la page Tâches serveur, sélectionnez Migrer des incidents DLP, puis cliquez sur Actions | Modifier.

La tâche Migrer des événements opérationnels DLP est effectuée de la même manière.

4 Sélectionnez Etat de planification | Activé, puis cliquez deux fois sur Suivant.

La migration est préprogrammée, de sorte que vous pouvez sauter la page Actions.



5 Sélectionnez un type de planification et la fréquence.

Meilleure pratique : planifiez les tâches de migration pendant le week-end ou en dehors desheures de travail en raison de la charge appliquée au processeur.

a Définissez la date de début et la date de fin pour définir une période, et programmez la tâchepour qu'elle soit exécutée toutes les heures.

b Planifiez la répétition de la tâche en fonction de la taille de la base de données d'incidents quevous devez migrer.

Les incidents sont migrés par segments de 200 000.

6 Cliquez sur Suivant pour passer en revue les paramètres, puis cliquez sur Enregistrer.

Installation de McAfee DLP Endpoint et du logiciel clientDeviceControl

Utilisez McAfee ePO pour déployer le logiciel client sur des ordinateurs clients.L'installation propre du logiciel client McAfee DLP Endpoint 10.0 n'exige pas le redémarrage del'ordinateur client. Toutefois, si vous mettez à niveau le client à partir d'une version antérieure, vousdevez redémarrer l'ordinateur client après l'installation.


1 Dans McAfee ePO, sélectionnez Menu | Logiciels | Référentiel maître.

2 Dans le référentiel maître, cliquez sur Archiver un package.

3 Sélectionnez le type de package suivant : Produit ou mise à jour (.ZIP). Cliquez sur Parcourir.

Pour le client Microsoft Windows, accédez à ...\HDLP_Agent_10_0_0_xxx.zip. Pour le client Mac,accédez à ...\DlpAgentInstaller.zip.

4 Cliquez sur Suivant.

5 Contrôlez les informations affichées sur la page Archiver un package, puis cliquez sur Enregistrer.

Le package est ajouté au référentiel maître.

Installez le package de serveur McAfee DLP DiscoverLe package de serveur est déployé sur des serveurs Discover et installe McAfee DLP Discover, ainsique des composants nécessaires, tels que .NET, PostgreSQL, le client AD RMS 2.1 et des composantsredistribuables C++.

3 Installation de McAfee DLPInstallation de McAfee DLP Endpoint et du logiciel clientDevice Control


Procédures

• Installation ou mise à niveau du package de serveur en utilisant McAfee ePO, page 48McAfee recommande d'utiliser McAfee ePO pour installer le package de serveur.

• Installation ou mise à niveau manuelle du package de serveur, page 48Si vous ne parvenez pas à installer le package de serveur via McAfee ePO, en raison deproblèmes de connectivité réseau par exemple, vous pouvez installer McAfee DLP Discovermanuellement sur le serveur Discover.

• Vérification de l'installation, page 49Assurez-vous que McAfee DLP Discover est bien installé et communique avec McAfee ePO.

Eléments à prendre en compte pour la mise à niveau de McAfeeDLP DiscoverLes étapes de la mise à niveau de McAfee DLP Discover sont presque identiques aux étapesd'installation du package de serveur et de l'extension.

1 Mettez à niveau l'extension en l'installant par-dessus la version existante.

2 Effectuez une mise à niveau du serveur Discover à l'aide de l'une des options suivantes.

• Utilisez McAfee ePO pour déployer le package de serveur.

• Installez le package manuellement sur le serveur.

3 Lors de la mise à niveau de la version 9.4.0, réappliquez la stratégie en raison des modifications deconfiguration de la stratégie.

4 Si vous comptez utiliser les nouvelles fonctionnalités de la version 10.x, telles que les analysesBox, vous devez sélectionner l'option de compatibilité appropriée.

Dans McAfee ePO, sélectionnez Menu | Protection des données | Paramètres DLP, puis pour Rétrocompatibilité,sélectionnez 10.0.0.0 et versions ultérieures.

Vous devez mettre à niveau l'extension dans McAfee ePO avant de mettre à niveau le serveur Discover.McAfee DLP Discover prend en charge l'utilisation d'une extension de version ultérieure pour gérer unserveur d'une version antérieure. Vous ne pouvez pas gérer un serveur de version ultérieure avec uneextension de version antérieure.

Vous ne devez pas changer la licence du logiciel ou saisir de nouveau le chemin d'accès du serveur depreuves. Vous devrez peut-être redémarrer le serveur Discover si MSMQ n'est pas activé après la miseà niveau, ou si les anciens dossiers de programme de données ou les clés de registre n'ont pas étésupprimés.

Si un redémarrage est nécessaire, McAfee DLP Discover génère un événement opérationnel.

• Si vous avez installé le package de serveur manuellement, le serveur vous invite à redémarrer.

• Si vous avez utilisé McAfee ePO, l'invite peut être affichée en fonction des paramètres deconfiguration de McAfee Agent.

Dans certains cas, MSMQ peut ne pas être activé, même après un redémarrage, et le serveur Discoverenvoie un événement opérationnel. Si cela se produit, vous devez activer MSMQ manuellement etdémarrer le service du serveur Discover.

Pour plus d'informations sur les chemins de mise à niveau pris en charge, voir les notes de publicationde McAfee Data Loss Prevention Discover.

N'installez pas le logiciel sur une installation existante de la même version.

Installation de McAfee DLPInstallez le package de serveur McAfee DLP Discover 3


Installation ou mise à niveau du package de serveur enutilisant McAfee ePOMcAfee recommande d'utiliser McAfee ePO pour installer le package de serveur.


1 Archivage du package de serveur

a Dans McAfee ePO, sélectionnez Menu | Logiciels | Référentiel maître.

b Cliquez sur Archiver un package.

c Recherchez le fichier .zip du package de serveur, puis cliquez sur Suivant.

d Cliquez sur Enregistrer.

2 Créez une tâche client.

a Sélectionnez Menu | Arborescence des systèmes.

b Sélectionnez le serveur Discover, puis cliquez sur Actions | Agent | Modifier les tâches sur un seul système.

c Sélectionnez Actions | Nouvelle affectation de tâche client.

3 Configurez l'affectation de tâche.

a Dans la zone Produit, sélectionnez McAfee Agent.

b Dans la zone Type de tâche, sélectionnez Déploiement de produit.

c Dans la zone Nom de tâche, cliquez sur Créer une tâche.

4 Configurez la tâche.

a Dans la zone Plates-formes cibles, sélectionnez Windows.

b Dans le menu Produits et composants, sélectionnez McAfee Discover Server.

c Dans le menu Action, sélectionnez Installer.


5 Sélectionnez le nom de la nouvelle tâche, puis cliquez sur Suivant.

6 Définissez le moment auquel exécuter la tâche, puis cliquez sur Suivant.


Installation ou mise à niveau manuelle du package de serveurSi vous ne parvenez pas à installer le package de serveur via McAfee ePO, en raison de problèmes deconnectivité réseau par exemple, vous pouvez installer McAfee DLP Discover manuellement sur leserveur Discover.

Procédure1 Téléchargez ou transférez le fichier DiscoverServerInstallx64.exe vers le serveur Discover.

2 Double-cliquez sur le fichier et suivez les instructions qui s'affichent.

3 Installation de McAfee DLPInstallez le package de serveur McAfee DLP Discover


Vérification de l'installationAssurez-vous que McAfee DLP Discover est bien installé et communique avec McAfee ePO.

Dans le cas d'un échec d'installation, McAfee DLP Discover génère un événement opérationnel. Pourafficher les événements, sélectionnez Menu | Protection des données | Opérations DLP.

Procédure1 Si MSMQ n'est pas activé après l'installation ou si les anciens dossiers de programme de données

ou les clés de registre n'ont pas été supprimés, redémarrez le serveur Discover.

Si vous devez redémarrer le serveur, McAfee DLP Discover génère un événement opérationnel.

• Si vous avez installé le package du serveur manuellement, le serveur vous invitera àredémarrer.

• Si vous avez utilisé McAfee ePO, l'invite peut s'afficher en fonction des paramètres deconfiguration McAfee Agent.

Dans certains cas, MSMQ peut ne pas être activé, même après un redémarrage, et le serveurDiscover envoie un événement opérationnel. Si cela se produit, vous devez activer MSMQmanuellement et démarrer le service du serveur Discover.

Pour plus d'informations sur l'activation de MSMQ, consultez l'article KB87274 de la base deconnaissances.

2 Dans le système d'exploitation du serveur, vérifiez que ces services et processus McAfee DLPDiscover sont activés :

• Service McAfee Discover

• McAfee Discover Server Postgres Service

3 Réactivez les agents de McAfee ePO ou collectez des propriétés et envoyez-les à partir du serveurDiscover.

• Dans McAfee ePO, sélectionnez Menu | Arborescence des systèmes, sélectionnez le serveur, puiscliquez sur Réactiver les agents.

• Dans la barre d'état système du serveur de découverte, cliquez sur l'icône McAfee, sélectionnezMoniteur d'état de McAfee Agent, puis cliquez sur Collecter et envoyer les propriétés.La colonne Etat affiche Mise en œuvre des stratégies pour DISCOVERxxxx.

4 Vérifiez que le serveur Discover est détecté.

a Dans McAfee ePO, sélectionnez Menu | Protection des données | DLP Discover.

b Cliquez sur l'onglet Serveurs Discover.

La liste des serveurs détectés apparaît.

Si le serveur ne s'y trouve pas, sélectionnez Actions | Détecter les serveurs. Par défaut, cette tâches'exécute toutes les 10 minutes.

5Meilleure pratique : modifiez l'intervalle de communication agent-vers-serveur de McAfee Agentpour garantir que les données analytiques sont à jour.

a Sélectionnez Menu | Stratégie | Catalogue de stratégies.

b Dans la liste déroulante Produit, sélectionnez McAfee Agent.

Installation de McAfee DLPInstallez le package de serveur McAfee DLP Discover 3



c Dans la colonne Catégorie, cherchez la stratégie par défaut répertoriée comme Général etouvrez-la.

d Dans l'onglet Général, dans la zone Communication agent-serveur, définissez l'intervalle sur 5.

Pour désinstaller le serveur Discover, utilisez Panneau de configuration | Programmes et fonctionnalités sur leserveur Windows.

Installation de McAfee DLP PreventInstallez l'appliance et enregistrez-la auprès de McAfee ePO.

Procédures• Installation des extensions, page 50

Si vous avez installé l'extension McAfee DLP manuellement au lieu d'utiliser le gestionnairede logiciels, vous devez également installer les extensions nécessaires pour McAfee DLPPrevent.

• Configuration des informations relatives au réseau, page 51Configurez le serveur DNS, le serveur NTP et l'hôte actif dans McAfee ePO.

• Installation du logiciel sur une appliance virtuelle, page 51Utilisez le fichier OVA pour installer le logiciel dans votre environnement virtuel.

• Installation du logiciel sur une appliance matérielle, page 52Installez McAfee DLP Prevent sur une appliance de modèle 4400 ou 5500.

• Exécution de l'Assistant d'installation et enregistrement auprès de McAfee ePO, page 54L'Assistant d'installation permet de configurer les paramètres réseau et d'enregistrerl'appliance auprès de McAfee ePO.

• Installation du package de serveur McAfee DLP Prevent for Mobile Email, page 55

Installation des extensionsSi vous avez installé l'extension McAfee DLP manuellement au lieu d'utiliser le gestionnaire delogiciels, vous devez également installer les extensions nécessaires pour McAfee DLP Prevent.

Avant de commencer• Téléchargez les extensions.

• Installez les extensions McAfee DLP.

3 Installation de McAfee DLPInstallation de McAfee DLP Prevent



1 Dans McAfee ePO, sélectionnez Menu | Logiciel | Extensions, puis cliquez sur Installer une extension.

2 Procédez comme suit pour chacune des extensions. Installez les extensions dans l'ordre suivant :

• Package Common UI

• Extension Gestion des appliances


a Recherchez le fichier .zip de l'extension.

b Double-cliquez sur OK.

Configuration des informations relatives au réseauConfigurez le serveur DNS, le serveur NTP et l'hôte actif dans McAfee ePO.


1 Dans McAfee ePO, sélectionnez Menu | Stratégie | Catalogue de stratégies.

2 Dans la liste déroulante Produit, sélectionnez Gestion partagée des appliances.

3 Sélectionnez la stratégie My Default.

4 Ajoutez le serveur DNS et le serveur NTP, puis cliquez sur Enregistrer.

5 Dans la liste déroulante Produit, sélectionnez DLP Prevent server.

6 Sélectionnez la stratégie My Default pour Paramètres d'e-mail.

7 Entrez l'adresse IP de l'hôte actif, puis cliquez sur Enregistrer.

Installation du logiciel sur une appliance virtuelleUtilisez le fichier OVA pour installer le logiciel dans votre environnement virtuel.

Procédure1 Démarrez le client VMware vSphere et connectez-vous à VMware vCenter Server.

2 Cliquez sur Actions | Deploy OVF Template (Actions | Déployer le modèle OVF).

La boîte de dialogue Deploy OVF Template s'ouvre.

3 Sélectionnez Local file | Browse (Fichier local | Parcourir) et ouvrez le fichier OVA que vous aveztéléchargé à partir du site de téléchargement McAfee.

Installation de McAfee DLPInstallation de McAfee DLP Prevent 3


4 Suivez les instructions qui apparaissent à l'écran, en cliquant sur Next (Suivant) pour progresserdans le programme d'installation.

a Validez le package, puis sélectionnez Accept extra configuration options (Accepter les options deconfiguration supplémentaires).

b Attribuez un nom à l'appliance, puis indiquez le centre de données et le dossier vers lesquelseffectuer le déploiement.

c Sélectionnez le cluster et éventuellement un centre de ressources.

d Sélectionnez une banque de données pour l'appliance.

Meilleure pratique : sélectionnez l'option Thick Provision Lazy Zeroed (Allocation classique avec miseà zéro « paresseuse ») pour le format de disque virtuel. Avec d'autres options, les performancesinitiales peuvent être réduites. L'option Thick Eager (Allocation classique avec mise à zérocomplète) peut prendre un certain temps.

e Sélectionnez les réseaux virtuels. Par défaut, les adresses IP suivantes sont configurées :

• LAN_1 : 10.1.1.108/24

Utilisez le réseau LAN_1 pour le trafic SMTP ou ICAP. Vous pouvez également l'utiliser pour letrafic de gestion.

• Hors bande : 10.1.3.108/24

(Facultatif) Utilisez le réseau hors bande (OOB) pour le trafic de gestion, notamment pour lescommunications McAfee ePO.

Si votre réseau utilise le protocole DHCP, la première adresse IP que le serveur DHCP attribue àl'appliance est utilisée à la place. Vous pouvez configurer manuellement l'adresse IP avecl'Assistant d'installation. L'appliance ne prend pas en charge les configurations DHCP continues.

La passerelle par défaut de l'appliance utilise le réseau LAN1. Configurez tous les routagesrequis sur l'interface hors bande à l'aide d'itinéraires statiques.

f Vérifiez le récapitulatif.

5 Cliquez sur Finish (Terminer).

Utilisez les informations affichées dans Recent Tasks (Tâches récentes) pour vérifier si la machinevirtuelle a été créée.

6 Accédez à la machine virtuelle et allumez-la.

Installation du logiciel sur une appliance matérielleInstallez McAfee DLP Prevent sur une appliance de modèle 4400 ou 5500.

Procédures• Connexion à l'appliance, page 53

Préparez l'appliance pour l'installation.

• Installation d'une nouvelle image sur des appliances matérielles, page 54Installez McAfee DLP Prevent sur l'appliance.



Connexion à l'appliancePréparez l'appliance pour l'installation.

Par défaut, chaque appliance est configurée avec les adresses IP suivantes :

• LAN1 : 10.1.1.108/24

Utilisez le réseau LAN1 pour le trafic SMTP ou ICAP. Vous pouvez également l'utiliser pour le traficde gestion.

• Hors bande : 10.1.3.108/24

(Facultatif) Utilisez le réseau hors bande (OOB) pour le trafic de gestion, notamment pour lescommunications McAfee ePO.

Si votre réseau utilise le protocole DHCP, la première adresse IP que le serveur DHCP attribue àl'appliance est utilisée à la place. Vous pouvez configurer manuellement l'adresse IP avec l'Assistantd'installation. L'appliance ne prend pas en charge les configurations DHCP continues.

La passerelle par défaut de l'appliance utilise le réseau LAN1. Configurez tous les routages requis surl'interface hors bande à l'aide d'itinéraires statiques.

L'appliance est également dotée d'un module de gestion à distance (RMM) qui fournit desfonctionnalités de gestion en service réduit (LOM - Lights Out Management), comme l'accès au BIOSde l'appliance et un accès KVM à distance.

Pour plus d'informations sur la façon de déterminer les ports réseau adaptés pour votre appliance,consultez le Guide matériel McAfee Data Loss Prevention.

Procédure1 Connectez un moniteur, un clavier et une souris à l'appliance.

2 Connectez l'interface LAN1 de l'appliance à votre réseau.

3 (Facultatif) Connectez l'interface hors bande à un autre réseau.

4 (Facultatif) Connectez l'interface du module RMM à un réseau de gestion.

Meilleure pratique : utilisez un réseau sécurisé ou fermé pour le module RMM.

Paramètres de la console sérieVous pouvez utiliser la console série pour installer le logiciel McAfee DLP Prevent uniquement.

Vous devez utiliser une autre méthode, comme le module RMM, pour configurer les paramètres réseauet enregistrer votre produit auprès de McAfee ePO. Vous pouvez activer le module RMM via la consolesérie.

La progression de l'installation n'apparaît pas lorsque vous utilisez la console série.

Tableau 3-1 Paramètres de connexion série

Paramètre de port Valeur

Débit en bauds 115200

Bits de données 8

Bits d'arrêt 1

Parité Aucune

Contrôle de flux Aucun

Installation de McAfee DLPInstallation de McAfee DLP Prevent 3


Voir aussi Configuration du module RMM, page 252

Installation d'une nouvelle image sur des appliances matériellesInstallez McAfee DLP Prevent sur l'appliance.

Vous pouvez effectuer l'installation initiale à l'aide des méthodes suivantes :

• Lecteur USB

Utiliser un logiciel d'écriture d'image, tel que Launchpad Image Writer, pour écrire l'image sur lelecteur USB. Pour plus d'informations, consultez KB87321.

• Lecteur CD USB

• (appliances 4400 uniquement) Lecteur CD intégré

• Lecteur CD virtuel utilisant un module de gestion à distance (RMM)

Procédure1 A l'aide du fichier ISO d'installation, créez ou configurez le support multimédia d'acquisition

d'image externe.

2 Connectez le support multimédia à l'appliance.

3 Activez ou redémarrez l'appliance.

4 Avant que le système d'exploitation ne démarre, appuyez sur F6 pour accéder au menud'amorçage, puis sélectionnez le support multimédia externe.

R3c0n3x est le mot de passe du BIOS pour les appliances 4400.

5 Suivez les instructions des invites qui apparaissent à l'écran.

6 Lisez l'accord de licence utilisateur final, puis appuyez sur Y pour l'accepter.

7 Dans le menu d'installation, appuyez sur A pour effectuer une installation complète, puis appuyezsur Y pour continuer.

Lorsque la procédure d'installation est terminée, l'appliance redémarre.

Si l'installation échoue, appelez le support technique McAfee. N'essayez pas de réeffectuer l'installation.

Exécution de l'Assistant d'installation et enregistrement auprèsde McAfee ePOL'Assistant d'installation permet de configurer les paramètres réseau et d'enregistrer l'applianceauprès de McAfee ePO.

Une fois que l'appliance a été installée et a redémarré, l'Assistant d'installation se lanceautomatiquement.

Si vous avez installé le logiciel à l'aide de la console série sur une appliance matérielle, utilisez uneautre méthode, telle que le module RMM, pour exécuter l'Assistant.

Procédure1 Choisissez la langue de l'Assistant d'installation, puis configurez les paramètres réseau de base.




L'Assistant contient des informations pour vous aider à configurer les paramètres.

a Sur la page Bienvenue, sélectionnez Configuration réseau de base, puis cliquez sur Suivant.

b Sélectionnez les options sur la page Paramètres de base, puis cliquez sur Suivant.

Vous devez modifier le mot de passe par défaut la première fois que vous exécutez l'Assistantd'installation. Le nouveau mot de passe doit comporter au moins huit caractères. Le mot depasse par défaut est password.

c Sélectionnez les options sur la page Services réseau, puis cliquez sur Suivant.

d Vérifiez les informations de la page Synthèse et apportez les corrections nécessaires.

e Cliquez sur Terminer.

Les paramètres réseau initiaux sont appliqués. La première fois que vous exécutez l'Assistantd'installation, ou si vous devez enregistrer le produit auprès d'une nouvelle instance de McAfeeePO, l'Assistant redémarre une fois les paramètres réseau appliqués.

2 Enregistrez le produit auprès de McAfee ePO

a Sélectionnez Enregistrement auprès d'ePO, puis cliquez sur Suivant.

b Sélectionnez les options sur la page Enregistrement auprès d'ePO.

c Cliquez sur Terminer.

3 Connectez-vous à McAfee ePO.

Le produit apparaît dans l'arborescence des systèmes. Si nécessaire, déplacez l'entrée à l'emplacementcorrect dans la hiérarchie.

Installation du package de serveur McAfee DLP Prevent forMobile EmailLe package de serveur McAfee DLP Prevent for Mobile Email peut être déployé sur les serveursmanuellement ou avec McAfee ePO. L'installation est identique à celle du package de serveur McAfeeDLP Discover.

N'installez pas les deux packages sur le même serveur.

Voir aussi Installation ou mise à niveau du package de serveur en utilisant McAfee ePO, page 48Installation ou mise à niveau manuelle du package de serveur, page 48

Exécution de tâches de post-installationAprès l'installation, configurez les paramètres et les stratégies pour vos produits.Les tâches sont les suivantes :

• Création et configuration de dossiers de preuve.

• Configuration des paramètres client ou serveur.

• Création de classifications, de définitions et de règles.

• Affectation et déploiement de stratégies dans l'arborescence des systèmes.

Installation de McAfee DLPExécution de tâches de post-installation 3


• (McAfee DLP Discover et McAfee DLP Endpoint) Création d'analyses.

• (McAfee DLP Prevent) Intégration avec un serveur MTA ou un proxy web.

Voir aussi Création de rapports sur des événements avec preuve, page 68Définitions et critères de classification, page 119Règles, page 144Protection des fichiers avec des règles de découverte, page 179Utilisation des stratégies McAfee DLP Prevent, page 80Configuration des paramètres du client, page 64Configuration des paramètres de serveur, page 64Configuration des stratégies pour les analyses, page 193Téléchargement des extensions de produit et des fichiers d'installation, page 39

3 Installation de McAfee DLPExécution de tâches de post-installation


Configuration et utilisationConfigurez le logiciel pour bénéficier d'une utilisation optimisée dansl'environnement d'entreprise en fonction des décisions de gestion concernantles contenus à protéger et la meilleure façon de les protéger.

Chapitre 4 Configuration des composants systèmeChapitre 5 Protection des supports amoviblesChapitre 6 Classification de contenu confidentielChapitre 7 Protection de contenu confidentielChapitre 8 Analyse de données avec la découverte McAfee DLP EndpointChapitre 9 Analyse des données avec McAfee DLP Discover


Configuration et utilisation


4 Configuration des composants système

Les composants système peuvent être personnalisés de manière à répondre parfaitement aux besoinsde votre entreprise. La configuration des options de l'agent et du système permet d'optimiser laprotection des informations confidentielles de l'entreprise.

Sommaire Configuration de McAfee DLP dans le catalogue de stratégies Protection des fichiers avec la gestion des droits Création de rapports sur des événements avec preuve Contrôle des affectations avec des utilisateurs et des ensembles d'autorisations Contrôle de l'accès aux fonctionnalités de McAfee DLP Prevent Utilisation des stratégies McAfee DLP Prevent Fonctionnalités de McAfee ePO

4


Configuration de McAfee DLP dans le catalogue de stratégiesMcAfee DLP utilise le catalogue de stratégies McAfee ePO pour stocker les stratégies et lesconfigurations client.

McAfee DLP crée des stratégies dans le Catalogue de stratégies McAfee ePO. Ces stratégies sontattribuées à des ordinateurs clients de l'arborescence des systèmes McAfee ePO.

• Stratégie DLP : contient les jeux de règles actives affectés à la stratégie, les analyses dedécouverte Endpoint planifiées, les paramètres pour la stratégie d'application, les remplacements declasse d'équipement et les utilisateurs avec privilèges, ainsi que la validation de stratégie.

• Configuration du serveur : contient les configurations de McAfee DLP Discover, McAfee DLPPrevent et McAfee DLP Prevent for Mobile Email. Permet de définir les options du service de copiede preuve et de journalisation, les paramètres de SharePoint et de gestion des droits, ainsi que lesoptions d'extracteur de texte.

La configuration du serveur s'affiche uniquement si une licence McAfee DLP Discover ou McAfee DLPPrevent est enregistrée.

Meilleure pratique : créez des configurations de serveur distinctes pour McAfee DLP Discover,McAfee DLP Prevent et McAfee DLP Prevent for Mobile Email.

McAfee DLP Prevent utilise uniquement la section Service de copie de preuve de la configuration duserveur, tandis que McAfee DLP Prevent for Mobile Email utilise uniquement Proxy ActiveSync. McAfeeDLP Discover utilise toutes les sections sauf Proxy ActiveSync.

• Configurations client : des configurations distinctes pour les ordinateurs Windows et OS Xcontiennent les paramètres de configuration pour les clients McAfee DLP Endpoint. Les paramètresdéterminent la façon dont les clients appliquent des stratégies McAfee DLP sur les ordinateursclients.

Les configurations client sont uniquement affichées si une licence McAfee DLP Endpoint estenregistrée.

La stratégie DLP comprend des jeux de règles actifs, la configuration Endpoint Discovery, des paramètres et lavalidation de stratégie.

Les stratégies de configuration client (Windows, OS X) contiennent des paramètres qui déterminent lefonctionnement des ordinateurs clients avec les stratégies. Ils se trouvent à l'emplacement où vousactivez le service de copie de preuve pour McAfee DLP Endpoint.

Utilisez les stratégies de configuration du serveur pour McAfee Data Loss Prevention Discover etMcAfee DLP Prevent. Configurez les paramètres tels que ceux du service de copie de preuve et de lajournalisation.

Importer ou exporter la configuration McAfee DLP EndpointLes configurations de stratégie Endpoint peuvent être enregistrées au format HTML pour la sauvegardeou pour le transfert de stratégies vers d'autres serveurs McAfee ePO.

N'utilisez pas cette procédure pour enregistrer des configurations de stratégie DLP. Bien que l'optionExporter enregistre le fichier, l'option Importer ne parvient pas à l'importer. Pour enregistrer des stratégiesDLP, utilisez la page Sauvegarde et restauration dans Paramètres DLP.

4 Configuration des composants systèmeConfiguration de McAfee DLP dans le catalogue de stratégies



1 Dans McAfee ePO, sélectionnez Catalogue de stratégies | Produit | Data Loss Prevention.

2 Effectuez l'une des actions suivantes :

• Pour exporter, cliquez sur Exporter. Dans la fenêtre Exporter, cliquez avec le bouton droit de lasouris sur le lien du fichier et sélectionnez Enregistrer le lien sous pour enregistrer la stratégie entant que fichier XML.

Le bouton Exporter permet d'exporter toutes les stratégies. Vous pouvez exporter une stratégieindividuelle en sélectionnant Exporter dans la colonne Actions de la ligne du nom de la stratégie.

• Pour importer une stratégie enregistrée, cliquez sur Importer. Dans la fenêtre Importer des stratégies,accédez à une stratégie enregistrée, cliquez sur Ouvrir, puis sur OK.

La fenêtre d'importation s'ouvre, indiquant les stratégies que vous êtes sur le point d'importeret la présence de conflit de noms, le cas échéant. Vous pouvez désélectionner toutes lesstratégies en conflit et ne pas les importer. Si vous choisissez d'importer une stratégie quiprésente un conflit de noms, elle remplace la stratégie actuelle et prend ses affectations.

Configuration clientLe logiciel client McAfee DLP Endpoint pour McAfee Agent réside sur des ordinateurs d'entreprise etexécute la stratégie définie. Le logiciel surveille également les activités utilisateur impliquant ducontenu confidentiel. La configuration client est stockée dans la stratégie, qui est elle-même déployéesur les ordinateurs managés.

Le catalogue de stratégies comprend les stratégies par défaut de McAfee pour la configuration desterminaux Windows et OS X, ainsi que la stratégie DLP. Cliquez sur Dupliquer (dans la colonne Actions)pour créer une copie modifiable qui servira de base pour votre stratégie.

La configuration cliente est stockée dans la stratégie, qui est elle-même déployée sur les ordinateursmanagés par McAfee ePO. Si la configuration est mise à jour, vous devez redéployer la stratégie.

Surveillance du service client

La surveillance du service client n'est pas pris en charge sur McAfee DLP Endpoint for Mac.

Pour maintenir un fonctionnement normal du logiciel McAfee DLP Endpoint même en cas d'interférencemalveillante, McAfee DLP Endpoint exécute un service de protection appelé Surveillance du serviceclient. Ce service surveille le logiciel McAfee DLP Endpoint et le redémarre s'il est arrêté pour uneraison quelconque. Le service est activé par défaut. Pour vérifier que le service est en coursd'exécution, recherchez le service fcagswd.exe parmi les processus du Gestionnaire des tâchesMicrosoft Windows.

Paramètres de configuration client

Les paramètres de configuration du client déterminent le mode de fonctionnement du logicielEndpoint. La plupart des paramètres de configuration client ont des valeurs par défaut raisonnablesqui peuvent être utilisées pour le test et la configuration initiale sans modification.

Meilleure pratique : pour vérifier que les paramètres de configuration client continuent de répondre àvos exigences, contrôlez-les régulièrement.

Le tableau suivant répertorie les paramètres les plus importants à vérifier.

Configuration des composants systèmeConfiguration de McAfee DLP dans le catalogue de stratégies 4


Tableau 4-1 Configuration du terminal

Paramètre Détails Description

Configuration avancée Exécutez le client DLP enmode sans échecS'applique auxclients Windowsuniquement

Option désactivée par défaut. Lorsque ce paramètreest activé, McAfee DLP Endpoint est entièrementfonctionnel lorsque l'ordinateur est démarré enmode sans échec. Un mécanisme de récupérationexiste si le client McAfee DLP Endpoint provoqueune panne au démarrage.

Contournement de l'agentS'applique à la foisaux clients Windowset Mac OS X

Arrête le contournement de l'agent quand unenouvelle configuration client est chargée. Cetteoption est désélectionnée par défaut.

Suivi du contenuS'applique à la fois auxclients Windows etMac OS X

Utilisez la page de codeANSI de la fonction desecours suivante

Si aucun langage n'est défini, l'option de secoursutilisée est le langage par défaut de l'ordinateurclient.

Processus inclus dans laliste blanche

Ajoute des processus et des extensions à la listeblanche.

Connectivité d'entrepriseS'applique à la fois auxclients Windows etMac OS X

Détection de réseaud'entreprise

Détection VPN d'entreprise

Vous pouvez appliquer différentes mesurespréventives sur les ordinateurs clients dans leréseau de l'entreprise ou en dehors. Pour certainesrègles, vous pouvez appliquer différentes mesurespréventives en cas de connexion par VPN. Pourutiliser l'option VPN ou pour déterminer laconnectivité réseau par serveur d'entreprise plutôtque par la connexion à McAfee ePO, définissezl'adresse IP du serveur dans la sectioncorrespondante.

Protection de la messagerieS'applique aux clientsWindows uniquement

Mise en cache des e-mails Permet de stocker les signatures de marqueurs dese-mails sur le disque pour éviter de les analyserplusieurs fois.

API de gestion d'e-mail Les messages sortants sont pris en charge par OOM(Outlook Object Model) ou MAPI (MessagingApplication Programming Interface). OOM est l'APIpar défaut, mais certaines configurationsnécessitent MAPI.

Intégration du complémentOutlook de tierce partie

Deux applications de classification tierces sontprises en charge : Titus et Boldon James.

Stratégie de délaid'expiration d'e-mail

Définit le délai maximal pour l'analyse d'un e-mailet la mesure à entreprendre en cas dedépassement du délai.

Service de copie de preuveS'applique à la fois auxclients Windows etMac OS X

Partage du stockage depreuves UNC

Remplacez l'exemple de texte par le partage destockage de preuves.

Paramètres client Vous pouvez modifier l'affichage de l'option de miseen surbrillance en définissant les correspondancesde classification sur toutes les correspondances outous les résultats abrégés.

Mode de fonctionnement etmodulesS'applique à la fois auxclients Windows etMac OS X

Mode de fonctionnement Définissez le mode Device Control ou le modeMcAfee DLP Endpoint complet. Redéfinissez ceparamètre si vous effectuez une mise à niveau ouun déclassement de licence.

Modules de protection desdonnées

Activent les modules requis

Meilleure pratique : pour améliorer lesperformances, désélectionnez les modules quevous n'utilisez pas.



Tableau 4-1 Configuration du terminal (suite)

Paramètre Détails Description

Web ProtectionS'applique aux clientsWindows uniquement

Evaluation de la protectionweb

Sélectionnez des paramètres pour l'évaluation de lademande web lorsque des règles de protection websont déclenchées. Ces paramètres permettent debloquer les demandes envoyées par AJAX vers uneURL différente de celle indiquée dans la barred'adresse. Vous devez sélectionner au moins uneoption.

Traiter les demandes HTTPGET

Les demandes GET sont désactivées par défaut, carelles consomment beaucoup de ressources. Utilisezcette option avec discernement.

Versions de Chrome prisesen charge

Si vous utilisez Google Chrome, cliquez sur Parcourirpour ajouter la liste actuelle des versions prises encharge. La liste est un fichier XML que voustéléchargez à partir du support technique McAfee.

Stratégie de délaid'expiration web

Permet de définir le délai d'expiration de l'analysede la publication web, l'action à appliquer en cas dedépassement du délai d'expiration etéventuellement un message destiné auxutilisateurs.

URL incluses dans la listeblanche

Fournit la liste des URL exclues des règles deprotection web.

Prise en charge des paramètres de configuration du clientMcAfee DLP Endpoint pour Windows et McAfee DLP Endpoint for Mac sont configurés dans desstratégies client distinctes.

Tableau 4-2 Page Débogage et journalisation

Paramètre Prise en charge du système d'exploitation

Evénements d'administrationsignalés par les clients

Les paramètres de filtre qui s'appliquent à la fois à McAfee DLP Endpointpour Windows et à McAfee DLP Endpoint for Mac sont les suivants :• Le client passe en mode de contournement

• Le client quitte le mode de contournement

• Client installé

Tous les autres paramètres s'appliquent à McAfee DLP Endpoint pourWindows uniquement.

Journalisation Pris en charge sur McAfee DLP Endpoint pour Windows et sur McAfee DLPEndpoint for Mac.

Tableau 4-3 Page Composants de l'interface utilisateur

Section Paramètre Prise en charge du systèmed'exploitation

Interface utilisateur du client Afficher la console DLP (toutesles options)

McAfee DLP Endpoint pour Windowsuniquement

Activer la fenêtre pop-up denotification de l'utilisateur final

McAfee DLP Endpoint pour Windows etMcAfee DLP Endpoint for Mac

Afficher la boîte de dialogueJustification de la demande

McAfee DLP Endpoint pour Windows etMcAfee DLP Endpoint for Mac

Demande d'authentification etréponse

Toutes les options McAfee DLP Endpoint pour Windows etMcAfee DLP Endpoint for Mac



Tableau 4-3 Page Composants de l'interface utilisateur (suite)

Section Paramètre Prise en charge du systèmed'exploitation

Stratégie de déverrouillage du coded'autorisation

Toutes les options McAfee DLP Endpoint pour Windows etMcAfee DLP Endpoint for Mac

Image de la bannière du client Toutes les options McAfee DLP Endpoint pour Windowsuniquement

Configuration des paramètres du clientConfigurez les paramètres pour McAfee DLP Endpoint.



2 Dans la liste déroulante Produit, sélectionnez Data Loss Prevention 10.

3 (Facultatif) Dans la liste déroulante Catégorie, sélectionnez Configuration du client Windows ou Configurationdu client Mac OS X.

4 Sélectionnez une configuration à modifier ou cliquez sur Dupliquer pour la configuration de McAfeeDefault.

5 Sur la page Service de copie de preuve, indiquez le partage de stockage et les informationsd'identification.

6 Mettez à jour les paramètres sur les autres pages selon vos besoins.

7 Cliquez sur Appliquer la stratégie.

Configuration des paramètres de serveurConfigurez les paramètres pour McAfee DLP Discover, McAfee DLP Prevent et le serveur McAfee DLPpour mobile.

Avant de commencerPour les paramètres serveur de McAfee DLP Discover :

• Si vous utilisez un serveur de gestion des droits, obtenez le nom de domaine, le nomutilisateur et le mot de passe.

• Si vous envisagez d'exécuter des analyses de correction sur des serveurs SharePoint,vérifiez si les serveurs SharePoint de votre entreprise utilisent la corbeille. Unemauvaise définition de ce paramètre peut entraîner des erreurs ou un comportementinattendu lors de l'analyse de correction.

Pour le serveur McAfee DLP pour mobile, configurez le serveur MobileIron Sentry(Configuration ActiveSync) comme suit :

• Authentification du serveur : Autorisé à être transmis

• Serveur(s) ActiveSync : [Adresse du proxy ActiveSync DLP]

Le serveur McAfee DLP pour mobile requiert une certification. Pour plus d'informations surl'obtention et l'installation de certificats, reportez-vous à l'article KBxxxxx de la base deconnaissances.



https://kc.mcafee.com/corporate/index?page=content&id=KBxxxxx

• Le serveur McAfee DLP pour Mobile utilise uniquement les paramètres du proxy ActiveSync.

• McAfee DLP Prevent utilise uniquement les paramètres du service de copie de preuve.

• McAfee DLP Discover peut utiliser toutes les options des paramètres serveur, à l'exception de ProxyActiveSync, même si certaines sont facultatives.




3 (Facultatif) Dans la liste déroulante Catégorie, sélectionnez Configuration du serveur.

4 Effectuez l'une des actions suivantes.

• Sélectionnez une configuration serveur à modifier.

• Cliquez sur Dupliquer pour la configuration McAfee Default.

5 (Facultatif, McAfee DLP Discover uniquement) Sur la page Box, vérifiez les options de la Corbeille etde l'historique des versions.

6 Sur la page Service de copie de preuve, indiquez le partage de stockage et les informationsd'identification.

Pour McAfee DLP Prevent, entrez un nom d'utilisateur et un mot de passe. N'utilisez pas l'option decompte système local.

Meilleure pratique : utilisez les valeurs par défaut pour les paramètres serveur (McAfee DLP Preventignore le paramètre de bande passante de transmission).

7 (Facultatif, McAfee DLP Discover uniquement) Sur la page Journalisation, définissez le type de sortiedes journaux et le niveau de journalisation.

Meilleures pratiques : utilisez les valeurs par défaut.

8 (Serveur McAfee DLP pour mobile uniquement) Sur la page Proxy ActiveSync, entrez le nom DNS duserveur ActiveSync.

9 (McAfee DLP Discover uniquement) Sur la page Gestion des droits, définissez les informationsd'identification du service de gestion des droits.

10 (McAfee DLP Discover uniquement) Sur la page SharePoint, sélectionnez ou désélectionnez l'optionUtiliser la corbeille lors de la suppression d'un fichier.

Si vous activez ce paramètre et que le serveur SharePoint n'utilise pas la corbeille, toutes les actionsde type Déplacer effectuées sur les fichiers échoueront et l'action Copier sera exécutée par défaut.Dans SharePoint, la corbeille est activée par défaut.

11 (Facultatif, McAfee DLP Discover uniquement) Sur la page Extracteur de texte, configurez lesparamètres d'extraction de texte.

Meilleures pratiques : utilisez les valeurs par défaut.

a Définissez la page de code ANSI de secours.

La valeur par défaut utilise la langue par défaut du serveur Discover.



b Définissez la taille maximale des fichiers d'entrée et de sortie, ainsi que les délais d'expiration.


Voir aussi Protection des fichiers avec la gestion des droits, page 66Création de rapports sur des événements avec preuve, page 68Actions des règles de protection des données, page 153

Protection des fichiers avec la gestion des droitsMcAfee DLP Endpoint et McAfee DLP Discover peuvent s'intégrer avec des serveurs de gestion desdroits, afin de protéger les fichiers qui entrent dans des classifications de règles.

Avec McAfee DLP Endpoint version 10.x, vous devez installer Active Directory Rights ManagementServices Client 2.1 build 1.0.2004.0 sur chaque ordinateur client à l'aide des services de gestion desdroits. La commande Appliquer la gestion des droits ne fonctionne pas sans cette version du client RM.

McAfee DLP Prevent peut identifier si une protection de gestion des droits est appliquée à un e-mail.Cependant, McAfee DLP Prevent ne prend pas en charge l'application de stratégies de gestion desdroits aux e-mails.

Vous pouvez appliquer une réaction de stratégie de gestion des droits aux règles de protection desdonnées et de découverte suivantes :

• Protection du cloud • Protection des serveurs de fichiers (CIFS)

• Système de fichiers Endpoint • Protection de SharePoint

• Protection Box

Les stratégies de gestion des droits ne peuvent pas être utilisées avec des règles Device Control.

McAfee DLP peut reconnaître des fichiers protégés par la gestion des droits en ajoutant une propriétéde chiffrement aux critères de classification ou d'empreintes de contenu. Ces fichiers peuvent êtreinclus dans la classification ou en être exclus.

Fonctionnement de McAfee DLP avec la gestion des droitsMcAfee DLP suit un workflow particulier pour appliquer des stratégies de gestion des droits auxfichiers.

Workflow de gestion des droits

1 Créez et appliquez une règle de protection des données ou de découverte avec une réactionindiquant d'appliquer une stratégie de gestion des droits. Cette réaction requiert un serveur degestion des droits et une entrée de stratégie de gestion des droits.

2 Quand un fichier déclenche la règle, McAfee DLP l'envoie sur le serveur de gestion des droits.

3 Ce dernier applique les protections basées sur la stratégie spécifiée : chiffrement du fichier,limitation des utilisateurs autorisés à accéder au fichier ou à le déchiffrer, ou limitation desconditions dans lesquelles le fichier est accessible.

4 Le serveur de gestion des droits renvoie le fichier à la source avec les protections appliquées.

5 Si vous avez configuré une classification pour le fichier, McAfee DLP peut le surveiller.

4 Configuration des composants systèmeProtection des fichiers avec la gestion des droits


Limitations

Le logiciel McAfee DLP Endpoint ne contrôle pas le contenu des fichiers protégés par la gestion desdroits. Lorsqu'une classification est appliquée à un fichier qui est protégé par la gestion des droits,seuls les critères d'empreintes de contenu (emplacement, application ou application web) sontconservés. Si un utilisateur modifie le fichier, toutes les signatures d'empreinte sont perdues lors deson enregistrement.

Serveurs de gestion des droits pris en chargeMcAfee DLP Endpoint prend en charge Microsoft RMS (Windows Rights Management Services) et lesservices de gestion des droits d'information (IRM) de Seclore FileSecure™. McAfee DLP Discover prenden charge Microsoft RMS.

Microsoft RMS

McAfee DLP prend en charge Microsoft RMS sur Windows Server 2003 et Active Directory RMS(AD-RMS) sur Windows Server 2008 et 2012. Vous pouvez appliquer la protection Windows RMS auxapplications suivantes :

Type de document Version

Microsoft Word 2010, 2013 et 2016

Microsoft Excel

Microsoft PowerPoint

SharePoint 2007

Serveur Exchange

Avec Microsoft RMS, McAfee DLP peut contrôler le contenu des fichiers protégés si l'utilisateurconnecté possède des autorisations de consultation.

Pour plus d'informations sur Microsoft RMS, consultez la page http://technet.microsoft.com/fr-fr/library/cc772403.aspx.

Seclore IRM

McAfee DLP Endpoint prend en charge Seclore FileSecure RM, qui gère 140 formats de fichiers ycompris les formats de document les plus courants :

• Documents Microsoft Office

• Documents Open Office

• PDF

• Textes et formats texte, y compris CSV, XML et HTML

• Formats image, y compris JPEG, BMP, GIF, etc.

• Formats de conception ingénierie, y compris DWG, DXF et DWF

Le client McAfee DLP Endpoint peut être associé au client de bureau FileSecure pour bénéficier d'uneintégration en ligne et hors ligne.

Pour plus d'informations sur Seclore IRM, consultez la page http://seclore.com/seclorefilesecure_overview.html.

Configuration des composants systèmeProtection des fichiers avec la gestion des droits 4


http://technet.microsoft.com/en-us/library/cc772403.aspx

http://technet.microsoft.com/en-us/library/cc772403.aspx

http://seclore.com/seclorefilesecure_overview.html

http://seclore.com/seclorefilesecure_overview.html

Définition d'un serveur de gestion des droitsMcAfee DLP Endpoint prend en charge deux systèmes de gestion des droits : Microsoft Windows RightsManagement Services (RMS) et Seclore FileSecure™. Pour utiliser ces systèmes, configurez le serveurfournissant les stratégies de gestion des droits dans McAfee ePO.

Avant de commencer• Configurez les serveurs de gestion des droits et créez des stratégies et des utilisateurs.

Obtenez l'URL et le mot de passe de tous les serveurs : modèle de stratégie,certification et licence. Pour Seclore, vous devez disposer de l'ID de fichier CAB HotFolder et de la phrase secrète, ainsi que des informations sur les éventuelles licencesavancées, s'il y en a.

• Vérifiez que vous disposez des autorisations nécessaires pour afficher, créer et modifierdes serveurs Microsoft RMS et Seclore. Dans McAfee ePO, sélectionnez Menu | Gestion desutilisateurs | Ensembles d'autorisations, et vérifiez que vous appartenez à un groupe disposantdes autorisations requises dans Serveurs enregistrés.


1 Dans McAfee ePO, sélectionnez Menu | Serveurs enregistrés.

2 Cliquez sur Nouveau serveur.

La page de description Serveurs enregistrés s'ouvre.

3 Dans la liste déroulante Type de serveur, sélectionnez le type de serveur à configurer : Serveur MicrosoftRMS ou Serveur Seclore.

4 Attribuez un nom à la configuration du serveur, puis cliquez sur Suivant.

5 Saisissez les détails requis. Une fois que vous avez renseigné les champs requis, cliquez sur Tester laconnectivité pour vérifier les données saisies.

• Les paramètres RMS comprennent aussi une section Paramètres de mise en œuvre DLP. Le champChemin d'accès local vers le modèle RMS est facultatif, mais les champs d'URL pour la certification et leslicences sont obligatoires, sauf si vous choisissez l'option de découverte de service automatiqueAD.

• Pour Seclore, les informations du fichier CAB Hot Folder sont obligatoires, mais les autresinformations de licence sont facultatives.

6 Cliquez sur Enregistrer lorsque vous avez terminé la configuration.

Création de rapports sur des événements avec preuveUne preuve est une copie des données ayant provoqué la publication d'un événement de sécurité dansle Gestionnaire d'incidents DLP.

Plusieurs fichiers de preuve sont créés pour un événement lorsque cela est possible. Par exemple, siune règle de protection de la messagerie est déclenchée, l'e-mail, le corps du texte et les piècesjointes sont tous enregistrés comme fichiers de preuve.

Si une correspondance avec une classification est détectée dans l'en-tête des e-mails, aucune preuvedistincte n'est écrite, car la classification peut être trouvée dans le message lui-même. Le textedétecté est inclus dans les correspondances surlignées de la preuve créée pour le corps du message.

4 Configuration des composants systèmeCréation de rapports sur des événements avec preuve


Utilisation de preuves et du stockage de preuvesLa plupart des règles permettent d'enregistrer des preuves. Lorsque cette option est sélectionnée, unecopie chiffrée du contenu bloqué ou surveillé est enregistrée dans le dossier de preuves prédéfini.

McAfee DLP Endpoint stocke les preuves dans un emplacement temporaire du client, entre lesintervalles de communication agent-serveur. Lorsque McAfee Agent transmet les informations auserveur, le dossier est purgé et les preuves sont enregistrées dans le dossier de preuves du serveur.Vous pouvez spécifier la taille et l'âge maximum du stockage de preuves locales lorsque l'ordinateurest hors ligne.

Prérequis relatifs au stockage des preuves

L'activation du stockage de preuves est la condition par défaut pour McAfee DLP. Si vous ne souhaitezpas enregistrer les preuves, vous pouvez améliorer les performances en désactivant le service depreuve. Les éléments suivants sont requis ou définis comme valeurs par défaut lors de la configurationdu logiciel.

• Dossier de stockage de preuves : pour appliquer une stratégie à McAfee ePO, vous devez créerun dossier de stockage de preuves réseau et indiquer le chemin UNC vers le dossier. Spécifiez lechemin d'accès sur la page Paramètres DLP. Le chemin UNC par défaut est copié vers les pages Servicede copie de preuve de la configuration serveur (McAfee DLP Discover, McAfee DLP Prevent) et desconfigurations de client (McAfee DLP Endpoint) dans le Catalogue de stratégies. Vous pouvez modifier lavaleur par défaut pour spécifier les dossiers de stockage de preuves différents dans lesconfigurations.

• Service de copie de preuve : le service de copie de preuve pour McAfee DLP Endpoint est activéà la page Mode de fonctionnement et modules de la stratégie de configuration client. Il s'agit d'unesous-entrée du service de notification, qui doit également être activée pour la collecte des preuves. PourMcAfee DLP Discover et McAfee DLP Prevent, le service est activé dans la stratégie de configurationdu serveur.

Voir aussi Configuration des paramètres du client, page 64Configuration des paramètres de serveur, page 64

mémoire et stockage de preuvesLe nombre de fichiers de preuve stockés pour chaque événement a des répercussions sur le volume destockage, les performances de l'analyseur d'événements et l'affichage à l'écran (et donc surl'expérience utilisateur) des pages Gestionnaire d'incidents DLP et Opérations DLP. Pour gérer les différentesexigences en matière de preuve, le logiciel McAfee DLP fonctionne comme suit :

• Le nombre maximal de fichiers de preuve à stocker par événement est défini sur la page Service decopie de preuve.

• Si un grand nombre de fichiers de preuve est lié à un événement, seuls les 100 premiers noms defichier sont enregistrés dans la base de données et affichés dans la page des détails du gestionnaired'incidents DLP. Les fichiers de preuves restants (jusqu'à la valeur maximale définie) sont stockésdans le stockage de preuves partagé, mais ils ne sont pas associés à l'événement. Les rapports etles requêtes qui filtrent les preuves par nom de fichier n'ont accès qu'à ces 100 premiers noms defichier.

• Dans Gestionnaire d'incidents DLP, le champ Nombre total de correspondances affiche le nombre total depreuves.

• Si le stockage de preuves devient trop plein, McAfee DLP Prevent rejette temporairement lemessage avec une erreur SMTP. Un événement est répertorié dans le journal Evénements client et unealerte apparaît dans le tableau de bord Gestion des appliances.

Configuration des composants systèmeCréation de rapports sur des événements avec preuve 4


Surlignage de correspondancesL'option de mise en surbrillance des résultats aide les administrateurs à identifier le contenuconfidentiel à l'origine d'un événement.

Lorsqu'elle est sélectionnée, elle enregistre un fichier de preuve HTML chiffré avec du texte extrait.

Le fichier de preuves est constitué d'extraits, où un extrait pour des classifications ou des empreintesde contenu contient généralement le texte confidentiel, avec 100 caractères qui le précèdent et100 caractères qui le suivent (pour le contexte). Il est organisé par la classification ou l'empreinte decontenu qui a déclenché l'événement, et comprend un décompte du nombre d'événements parclassification ou empreinte de contenu. S'il existe plusieurs occurrences dans les 100 caractères del'occurrence précédente, ces occurrences sont mises en surbrillance. Le texte en surbrillance et les100 caractères suivants sont ajoutés à l'extrait. Si l'occurrence est dans l'en-tête ou le pied de paged'un document, l'extrait contient le texte en surbrillance sans le préfixe ou le suffixe de100 caractères.

Les options d'affichage sont définies sur la page Service de copie de preuve de la stratégie de configurationclient ou serveur dans le champ La classification correspond au fichier :

• Créer des résultats abrégés (option par défaut)

• Créer toutes les correspondances

• Désactivé : désactive la fonctionnalité de mise en surbrillance des occurrences.

Les résultats abrégés peuvent contenir jusqu'à 20 extraits. Un fichier d'occurrence de toutes lescorrespondances mis en surbrillance peut contenir un nombre illimité d'extraits, mais le nombred'occurrences par classification est limité. Pour les classifications Modèle avancé et Mot clé, la limite est de100 occurrences. Pour les classifications Dictionnaire, la limite est de 250 occurrences par entrée dedictionnaire. S'il y a plusieurs classifications dans un fichier d'occurrence mis en surbrillance, les nomsde classification et les nombres de correspondances sont affichés au début du fichier, avant lesextraits.

Règles autorisant le stockage de preuvesCes règles possèdent une option de stockage de preuves.

Tableau 4-4 Preuves enregistrées par des règles

Règle Ce qui est enregistré Produit

Règle de protection de l'accès aux fichiersd'application

Copie du fichier McAfee DLP Endpoint

Règle de protection du Presse-papiers Copie du Presse-papiers

Règle de protection du cloud Copie du fichier

Règle de protection de la messagerie Copie de l'e-mail • McAfee DLP Endpoint


Règle de protection mobile Copie de l'e-mail McAfee DLP Prevent forMobile Email

Règles de protection du partage réseau Copie du fichier McAfee DLP Endpoint

Règle de protection contre l'impression Copie du fichier

Règle de protection des périphériques de stockageamovibles

Copie du fichier

Règle de protection contre les captures d'écran JPEG de l'écran

Règle de protection web Copie de la publication web

Règle de découverte du système de fichiers Copie du fichier



Tableau 4-4 Preuves enregistrées par des règles (suite)

Règle Ce qui est enregistré Produit

Règle de découverte du stockage des e-mails Copie du fichier .msg

Règle de protection de Box Copie du fichier McAfee DLP Discover

Règle de protection des serveurs de fichiers (CIFS) Copie du fichier

Règle de protection de SharePoint Copie du fichier

Création de dossiers de preuvesLes dossiers de preuves contiennent des informations utilisées par tous les produits logiciels McAfeeDLP pour créer des stratégies et pour générer des rapports. En fonction de votre installation McAfeeDLP, vous devez créer des dossiers et des partages réseau, puis configurer les propriétés et lesparamètres de sécurité correspondants.

Les chemins d'accès des dossiers de preuves se trouvent à des endroits différents dans les différentsproduits McAfee DLP. Lorsque plusieurs produits McAfee DLP sont installés dans McAfee ePO, leschemins d'accès UNC pour les dossiers de preuves sont synchronisés. Il est généralement préférable(mais non obligatoire) de placer les dossiers sur le même ordinateur que le serveur de base dedonnées McAfee DLP.

Le chemin d'accès de stockage de preuves doit être un chemin de partage réseau, c'est-à-dire qu'il doitinclure le nom du serveur.

• Dossier de preuves : certaines règles permettent de stocker des preuves. Vous devez doncdésigner à l'avance un emplacement où les stocker. Si, par exemple, un fichier est bloqué, unecopie de celui-ci est placée dans le dossier de preuves.

• Copier et déplacer des dossiers : utilisé par McAfee DLP Discover pour appliquer des mesurescorrectives à des fichiers.

Nous vous suggérons d'utiliser les chemins d'accès aux dossiers, les noms de dossiers et les noms departages suivants. Vous pouvez toutefois en créer d'autres, selon les besoins de votre environnement.

• c:\dlp_resources\

• c:\dlp_resources\evidence

• c:\dlp_resources\copy

• c:\dlp_resources\move

Voir aussi Configuration des paramètres de dossiers de preuves, page 71

Configuration des paramètres de dossiers de preuvesLes dossiers de preuves stockent des informations de preuve lorsque des fichiers sont détectés parune règle.

En fonction de votre installation McAfee DLP, vous devez créer des dossiers et des partages réseau,puis configurer les propriétés et les paramètres de sécurité correspondants. Le champ obligatoireStockage de preuves par défaut dans Paramètres DLP répond aux besoins de base, mais nous vous

Configuration des composants systèmeCréation de rapports sur des événements avec preuve 4


recommandons de définir des partages de preuves distincts pour chaque produit McAfee DLP. Laprocédure de configuration de partages de preuves décrite ci-dessous remplace le paramètre pardéfaut.

Vous devez configurer une autorisation en écriture pour le compte utilisateur qui écrit dans le dossier depreuves (le compte du système local sur le serveur, par exemple). Pour afficher les fichiers de preuvedans McAfee ePO, vous devez accorder un accès en lecture au compte du système local du serveurMcAfee ePO.




3 Dans la liste déroulante Catégorie, sélectionnez l'une des options suivantes selon le produit àconfigurer.

• Configuration du client Windows : McAfee DLP Endpoint pour Windows

• Configuration du client Mac OS X : McAfee DLP Endpoint for Mac

• Configuration du serveur : McAfee DLP Discover et McAfee DLP Prevent

4 Sélectionnez une configuration à modifier ou cliquez sur Dupliquer pour la configuration de McAfeeDefault.

5 Sur la page Service de copie de preuve :

a Choisissez d'activer ou de désactiver le service.

Le service de copie de preuve permet de stocker des preuves lorsque des règles sontdéclenchées. Si le service est désactivé, les preuves ne sont pas collectées et seuls desincidents sont générés.

b Si nécessaire, entrez le chemin UNC du partage du stockage des preuves. Si vous ne voulez pasutiliser le compte système local, saisissez un nom utilisateur et un mot de passe pour stockerles preuves.

Pour McAfee DLP Prevent, vous devez indiquer un nom d'utilisateur et un mot de passe.

Par défaut, le chemin UNC est celui entré sur la page Paramètres DLP lors de la configuration de lalicence. Vous pouvez modifier ce chemin UNC pour chaque stratégie de travail que vous créezou conserver les paramètres par défaut.

c (Facultatif) Rétablissez les filtres Taille maximum du fichier de preuve et Bande passante maximale detransmission des preuves par défaut.

McAfee DLP Prevent ignore le paramètre de bande passante de transmission.

d Indiquez si le stockage du fichier original doit être activé ou désactivé.

Si vous sélectionnez Désactivé, le paramètre Stocker le fichier original est remplacé dans les règlesindividuelles.

e Indiquez si toutes les correspondances doivent être affichées en cas de détection declassification, ou seulement des résultats abrégés. Ce contrôle permet également de désactiverla recherche de correspondances.




Voir aussi Utilisation de preuves et du stockage de preuves, page 69

Contrôle des affectations avec des utilisateurs et desensembles d'autorisations

McAfee DLP utilise les options Utilisateurs et Ensembles d'autorisations de McAfee ePO pour affecterdifférentes parties de l'administration McAfee DLP à des utilisateurs ou à des groupes distincts.

Meilleure pratique : créez des ensembles d'autorisations, des utilisateurs et des groupes McAfee DLPspécifiques.

Créez divers rôles en affectant des autorisations d'administrateur et de réviseur spécifiques pour lesdifférents modules McAfee DLP de McAfee ePO.

Prise en charge des autorisations de filtrage de l'Arborescence des systèmes

McAfee DLP prend en charge les autorisations de filtrage de l'arborescence des systèmes de McAfee ePOdans les consoles Gestionnaire d'incidents DLP et Opérations DLP. Lorsque le filtrage de l'Arborescence des systèmesest activé, les opérateurs McAfee ePO peuvent uniquement voir les incidents des ordinateurs figurantdans la partie de l'Arborescence des systèmes pour laquelle ils disposent d'autorisations. Par défaut, lesadministrateurs de groupes ne disposent d'aucune autorisation dans l'arborescence des systèmes de McAfeeePO. Quelles que soient les autorisations affectées dans l'ensemble d'autorisations Data Loss Prevention,ils ne peuvent voir aucun incident dans les consoles Gestionnaire d'incidents DLP et Opérations DLP. Le filtragede l'arborescence des systèmes est désactivé par défaut, mais peut être activé dans les paramètres DLP.

Meilleure pratique : pour les clients qui utilisent Administrateurs de groupe dans l'ensemble d'autorisationsData Loss Prevention attribuez les autorisations suivantes aux administrateurs de groupe :

·Afficher l'onglet "Arborescence des systèmes" (sous Systèmes)·Accès à l'arborescence des systèmes au niveau approprié

Rédaction de données confidentielles et ensembles d'autorisations de McAfee ePO

Pour répondre à l'exigence légale de protection en toutes circonstances des données confidentielles,en vigueur sur certains marchés, le logiciel McAfee DLP propose une fonctionnalité de rédaction dedonnées. Les champs des consoles Gestionnaire d'incidents et Opérations DLP qui contiennent desinformations confidentielles peuvent être rédigés de manière à empêcher toute consultation nonautorisée. Les liens vers les preuves confidentielles sont masqués. La fonctionnalité est conçue avecune libération « double clé ». Ainsi, pour l'utiliser, vous devez créer deux ensembles d'autorisations :un pour afficher les incidents et les événements, et un autre pour afficher les champs rédigés(autorisation du superviseur). Les deux rôles peuvent être affectés au même utilisateur.

Création de définitions d'utilisateur finalMcAfee DLP accède aux serveurs Active Directory (AD) ou Lightweight Directory Access Protocol(LDAP) pour créer des définitions d'utilisateur final.

Les groupes d'utilisateurs finaux sont utilisés pour les affectations et les autorisations d'administrateur,ainsi que dans les règles d'équipement et de protection. Ils peuvent être constitués d'utilisateurs, degroupes d'utilisateurs ou d'unités organisationnelles (Organizational Unit - OU), permettant ainsi àl'administrateur de choisir un modèle approprié. Les entreprises organisées sur un modèle OU peuventcontinuer à utiliser ce modèle, et les autres peuvent utiliser des groupes ou des utilisateursindividuels, si nécessaire.

Configuration des composants systèmeContrôle des affectations avec des utilisateurs et des ensembles d'autorisations 4


Les objets LDAP peuvent être identifiés par leur nom ou ID de sécurité (SID). Les SID sont plus sûrset les autorisations peuvent être maintenues, même si les comptes sont renommés. D'autre part, ilssont stockés au format hexadécimal et doivent être décodés pour les convertir en un format lisible.


1 Dans McAfee ePO, sélectionnez Menu | Protection des données | Gestionnaire de stratégies DLP.

2 Cliquez sur l'onglet Définitions.

3 Sélectionnez Source/Destination | Groupe d'utilisateurs finaux, puis Actions | Nouveau.

4 Sur la page Nouveau groupe d'utilisateurs, saisissez un nom unique et une description (facultatif).

5 Sélectionnez la méthode d'identification des objets (SID ou nom).

6 Cliquez sur l'un des boutons Ajouter (Ajouter des utilisateurs, Ajouter des groupes, Ajouter une unitéorganisationnelle).

La fenêtre de sélection s'ouvre et affiche le type d'informations sélectionné.

L'affichage peut prendre quelques secondes si la liste est longue. Si aucune information n'apparaît,sélectionnez Conteneur et enfants dans le menu déroulant Prédéfinir.

7 Sélectionnez les noms et cliquez sur OK pour les ajouter à la définition.

Répétez l'opération en fonction des besoins pour ajouter des utilisateurs, des groupes ou desutilisateurs organisationnels supplémentaires.


Affectation d'ensembles d'autorisation McAfee DLPLes ensembles d'autorisations McAfee DLP affectent les autorisations de consultation et de sauvegardedes stratégies et les autorisations d'affichage des champs rédigés. Ils servent aussi à affecter lecontrôle d'accès basé sur les rôles (RBAC).

Lors de l'installation du logiciel du serveur McAfee DLP, l'ensemble d'autorisations McAfee ePO estajouté : prévention contre la fuite de données. Si une version précédente de McAfee DLP est installéesur le même serveur McAfee ePO, cet ensemble d'autorisations apparaît également.

Les ensembles d'autorisations couvrent toutes les sections de la console de gestion. Il existetrois niveaux d'autorisation :

• Utilisation : l'utilisateur peut uniquement consulter les noms des objets (définitions,classifications, etc.), mais pas les détails.

Pour les stratégies, l'autorisation minimale est aucune autorisation.

• Affichage et utilisation : l'utilisateur peut consulter les détails des objets, mais ne peut pas lesmodifier.

• Autorisations complètes : l'utilisateur peut créer et modifier des objets.

Vous pouvez définir des autorisations pour différentes sections de la console de gestion, et donner desautorisations différentes aux administrateurs et aux réviseurs selon les besoins. Les sections sontregroupées par hiérarchie logique, par exemple, si vous sélectionnez Classifications, Définitions estautomatiquement sélectionné car des définitions doivent être utilisées lors de la configuration decritères de classification.

4 Configuration des composants systèmeContrôle des affectations avec des utilisateurs et des ensembles d'autorisations


Les groupes d'autorisation McAfee DLP Endpoint sont les suivants :

Groupe I Groupe II Groupe III

• Catalogue de stratégies

• Gestionnaire de stratégies DLP

• Classifications

• Définitions


• Classifications

• Définitions

• Classifications

• Définitions

Le groupe d'autorisations McAfee DLP Discover est le suivant :

• DLP Discover


• Classifications

• Définitions

Les options Gestion des incidents, Evénements opérationnels et Gestion des cas peuvent êtresélectionnées séparément.

Les autorisations pour Actions Data Loss Prevention ont été déplacées vers l'ensemble d'autorisationsActions Help Desk. Ces autorisations permettent aux administrateurs de générer des clés dedésinstallation et de contournement du client, des clés de libération de quarantaine et des clés maîtres.

En plus de l'autorisation par défaut pour la section, vous pouvez définir un contrôle prioritaire pourchaque objet. Le contrôle prioritaire peut augmenter ou diminuer le niveau d'autorisation. Parexemple, dans les autorisations Gestionnaire de stratégies DLP, tous les jeux de règles existants lorsde la création de l'ensemble d'autorisations sont répertoriés. Vous pouvez définir un contrôleprioritaire différent pour chacune. Lorsque des jeux de règles sont créés, le niveau d'autorisation pardéfaut leur est affecté.

Figure 4-1 Ensembles d'autorisations McAfee DLP

Création d'un ensemble d'autorisations McAfee DLPLes ensembles d'autorisations permettent de définir plusieurs rôles de réviseur et d'administrationdans le logiciel McAfee DLP.




1 Dans McAfee ePO, sélectionnez Menu | Gestion des utilisateurs | Ensembles d'autorisations.

2 Sélectionnez un ensemble d'autorisations prédéfini ou cliquez sur Nouveau pour créer un ensembled'autorisations.

a Entrez un nom pour l'ensemble et sélectionnez les utilisateurs.

b Cliquez sur Enregistrer.

3 Sélectionnez un ensemble d'autorisations, puis cliquez sur Modifier dans la section Data Loss Prevention.

a Dans le volet gauche, sélectionnez un module de protection des données.

Gestion des incidents, Evénements opérationnels et Gestion des cas peuvent être sélectionnés séparément.D'autres options permettent de créer automatiquement des groupes prédéfinis.

b Modifiez les options et remplacez des autorisations selon vos besoins.

Le Catalogue de stratégies n'a pas d'options à modifier. Si vous affectez le Catalogue destratégies à un ensemble d'autorisations, vous pouvez modifier les sous-modules dans le groupeCatalogue de stratégies.

c Cliquez sur Enregistrer.

Procédures• Scénario d'utilisation : autorisations d'administrateur DLP, page 76

Vous pouvez séparer les tâches d'administrateur au besoin - par exemple, pour créer unadministrateur de stratégie sans responsabilités de révision des événements.

• Scénario d'utilisation : limiter l'affichage du Gestionnaire d'incidents DLP avec desautorisations de rédaction, page 77Pour protéger les informations confidentielles, et pour répondre aux exigences juridiquessur certains marchés, McAfee DLP Endpoint propose une fonctionnalité de rédaction desdonnées.

Scénario d'utilisation : autorisations d'administrateur DLPVous pouvez séparer les tâches d'administrateur au besoin - par exemple, pour créer unadministrateur de stratégie sans responsabilités de révision des événements.


1 Dans McAfee ePO, sélectionnez Menu | Ensembles d'autorisations.

2 Cliquez sur Nouveau pour créer un ensemble d'autorisations.

a Entrez un nom pour l'ensemble et sélectionnez les utilisateurs.

Pour modifier une stratégie, l'utilisateur doit être le propriétaire de la stratégie ou membre del'ensemble d'autorisations d'administrateur global.

b Cliquez sur Enregistrer.

4 Configuration des composants systèmeContrôle des affectations avec des utilisateurs et des ensembles d'autorisations


3 Dans l'ensemble d'autorisations Prévention contre la fuite de données, sélectionnez Catalogue de stratégies.

Les options Gestionnaire de stratégies DLP, Classifications et Définitions sont sélectionnées automatiquement.

4 Dans chacun des trois sous-modules, vérifiez que l'utilisateur dispose des autorisations complèteset de l'accès complet.

Les autorisations complètes sont le paramètre par défaut.

L'administrateur peut maintenant créer et modifier des stratégies, des règles, des classifications et desdéfinitions.

Scénario d'utilisation : limiter l'affichage du Gestionnaire d'incidents DLPavec des autorisations de rédactionPour protéger les informations confidentielles, et pour répondre aux exigences juridiques sur certainsmarchés, McAfee DLP Endpoint propose une fonctionnalité de rédaction des données.

Lors de l'utilisation de la rédaction des données, des champs spécifiques dans les affichagesGestionnaire d'incidents DLP et Opérations DLP contenant des informations confidentielles sont chiffréspour empêcher l'affichage non autorisé, et des liens vers des preuves sont masqués.

Les champs Nom de l'ordinateur et Nom d'utilisateur sont prédéfinis comme privés.

Cet exemple montre comment configurer les autorisations Gestionnaire d'incidents DLP pour unréviseur de rédaction, un administrateur unique qui ne peut pas afficher les incidents réels, mais quipeut révéler les champs cryptés si nécessaire pour qu'un autre réviseur visualise l'incident.


1 Dans McAfee ePO, sélectionnez Menu | Gestion des utilisateurs | Ensembles d'autorisations

2 Créez des ensembles d'autorisations pour des réviseurs réguliers et pour le réviseur de rédaction.

a Cliquez sur Nouveau (ou Actions | Nouveau).

b Saisissez un nom du groupe, par exemple Réviseur d'incidents DLPE ou Réviseur derédaction.

Vous pouvez affecter différents types d'incidents à différents groupes de réviseurs. Vous devezcréer les groupes dans Ensembles d'autorisations avant de pouvoir leur affecter les incidents.

c Affectez des utilisateurs au groupe, depuis les utilisateurs McAfee ePO disponibles ou enmappant les utilisateurs ou les groupes Active Directory avec l'ensemble d'autorisations. Cliquezsur Enregistrer.

Le groupe apparaît dans la liste Ensembles d'autorisations du volet gauche.

3 Sélectionnez un ensemble d'autorisations de réviseur standard, puis cliquez sur Modifier dans lasection Prévention contre la fuite de données.

a Dans le volet gauche, sélectionnez Gestion des incidents.

b Dans la section Réviseur d'incidents, sélectionnez L'utilisateur peut consulter les incidents affectés aux ensemblesd'autorisations suivants, cliquez sur l'icône choisie et sélectionnez le ou les ensembles d'autorisationspertinents.



c Dans la section Rédaction des données relatives aux incidents, désélectionnez Autorisation du superviseur pardéfaut, et sélectionnez l'option Masquer des données d'incidents sensibles.

La sélection de cette option active la fonction de rédaction. Si cette option est désélectionnée,tous les champs de données s'affichent en texte clair.

d Dans la section Tâches relatives aux incidents, sélectionnez ou désélectionnez les tâches si nécessaire.

e Cliquez sur Enregistrer.

4 Sélectionnez l'ensemble d'autorisations de réviseur de rédaction, puis cliquez sur Modifier dans lasection Prévention contre la fuite de données.

a Dans le volet gauche, sélectionnez Gestion des incidents.

b Dans la section Réviseur d'incidents, sélectionnez L'utilisateur peut consulter tous les incidents.

Dans cet exemple, nous supposons un seul réviseur de rédaction pour tous les incidents. Vouspouvez également affecter différents réviseurs de rédaction pour différents ensemblesd'incidents.

c Dans la section Rédaction des données relatives aux incidents, sélectionnez les options Autorisation dusuperviseur et Masquer des données d'incidents sensibles.

d Dans la section Tâches relatives aux incidents, désélectionnez toutes les tâches.

Les réviseurs de rédaction ne doivent normalement pas avoir d'autres tâches de réviseur. Ceciest facultatif en fonction de vos besoins spécifiques.


Contrôle de l'accès aux fonctionnalités de McAfee DLP PreventUtilisez l'option Ensembles d'autorisations de McAfee ePO pour définir les rôles de votre organisation qui ontaccès à McAfee DLP Prevent et aux stratégies et paramètres de Gestion des appliances.

Empêcher les utilisateurs d'afficher les appliances dansl'arborescence des systèmesUtilisez l'option Aucune autorisation pour empêcher les utilisateurs d'afficher les appliances dansl'arborescence des systèmes, ainsi que de consulter ou modifier les stratégies.


1 Dans McAfee ePO, sélectionnez Ensembles d'autorisations dans la section Gestion des utilisateurs du menu.

2 Sélectionnez l'ensemble d'autorisations dont vous souhaitez modifier les rôles.

3 Recherchez le rôle Stratégie DLP Prevent, puis cliquez sur Modifier.

4 Sélectionnez Aucune autorisation, puis cliquez sur Enregistrer.

Autoriser les utilisateurs à modifier la stratégieConfigurez le rôle pour permettre aux utilisateurs de visualiser et de modifier les paramètres desstratégies et des tâches.

4 Configuration des composants systèmeContrôle de l'accès aux fonctionnalités de McAfee DLP Prevent



1 Dans McAfee ePO, sélectionnez Ensembles d'autorisations dans la section Gestion des utilisateurs du menu.


3 Recherchez le rôle Stratégie DLP Prevent, puis cliquez sur Modifier.

4 Sélectionnez Afficher et modifier les paramètres de stratégie et de tâche, puis cliquez sur Enregistrer.

Contrôle de l'accès aux fonctionnalités de Gestion desappliancesPour McAfee DLP Prevent, vous pouvez appliquer deux rôles aux fonctionnalités de Gestion des appliances.• Stratégie partagée de gestion des appliances : permet de gérer les utilisateurs autorisés à

afficher ou modifier la stratégie Gestion des appliances partagées dans le Catalogue de stratégies.

• Gestion des appliances : permet de gérer les utilisateurs autorisés à afficher les statistiques etles tâches de gestion des appliances, ainsi que ceux autorisés à créer et exécuter des tâchesrelatives aux bases de données.

Pour en savoir plus sur les autorisations pour les fonctionnalités de Gestion des appliances, consultez lesrubriques de l'extension d'aide de Gestion des appliances.

Autoriser les utilisateurs à visualiser les statistiques de gestion desappliancesAutorisez les utilisateurs appartenant à un ensemble d'autorisations sélectionné à afficher l'étatd'intégrité et les statistiques du système dans le tableau de bord Gestion des appliances.


1 Dans McAfee ePO, ouvrez le menu et sélectionnez Ensembles d'autorisations dans la section Gestion desutilisateurs.


3 Sélectionnez le rôle Gestion des appliances, puis cliquez sur Modifier.

4 Dans Statistiques et santé de l'appliance, sélectionnez Afficher l'état de santé et les statistiques, puis cliquez surEnregistrer.

Empêcher les utilisateurs d'afficher les paramètres de Gestion desappliances partagéesLes paramètres de stratégie de la console Gestion des appliances partagées permettent aux utilisateurs dedéfinir la date et l'heure de l'appliance, d'ajouter des serveurs DNS et des itinéraires statiques,d'autoriser les sessions à distance via SSH et d'ajouter un ou plusieurs serveurs de journalisation àdistance.

Configuration des composants systèmeContrôle de l'accès aux fonctionnalités de McAfee DLP Prevent 4



1 Dans McAfee ePO, ouvrez le menu et sélectionnez Ensembles d'autorisations.


3 Cliquez sur Modifier en regard de Stratégie partagée de gestion des appliances.

4 Sélectionnez Aucune autorisation, puis cliquez sur Enregistrer.

Utilisation des stratégies McAfee DLP PreventLes paramètres de stratégie sont disponibles dans le catalogue de stratégies :

Serveur DLP Prevent• La catégorie Paramètres d'e-mail permet de configurer les hôtes actifs, les hôtes autorisés et les

paramètres TLS (Transport Layer Security).

• La catégorie Général permet de spécifier les paramètres d'expiration des connexions et de protégerl'appliance contre les attaques par déni de service.

• La catégorie Utilisateurs et groupes permet de sélectionner un serveur LDAP à partir duquel obtenir lesinformations sur les utilisateurs et de configurer McAfee Logon Collector.

Data Loss Prevention

Modifiez les paramètres du service de copie de preuve dans la catégorie de stratégies Configuration du serveur deMcAfee Data Loss Prevention pour assurer leur compatibilité avec McAfee DLP Prevent .

Les options suivantes de la section Service de copie de preuve de la catégorie de stratégies Configuration duserveur ne s'appliquent pas à McAfee DLP Prevent.

• L'espace libre sur le disque dur doit être supérieur à (Mo) :

• Bande passante maximale de transmission des preuves (ko/s)

Gestion des appliances partagées

Modifier la catégorie Général pour effectuer les actions suivantes :

• Spécifier les paramètres DNS

• Modifier la date et l'heure de l'appliance

• Ajouter des paramètres d'itinéraire statique

• Configurer les serveurs de journalisation à distance

• Activer la surveillance et les alertes SNMP

Pour plus d'informations sur les paramètres de stratégie Appliance partagée, consultez les rubriques del'aide de l'extension Gestion des appliances.

4 Configuration des composants systèmeUtilisation des stratégies McAfee DLP Prevent


Définition des paramètres d'expiration de la connexionModifiez le nombre de secondes pendant lequel McAfee DLP Prevent tente de se connecter avec unagent de transfert de messages (MTA).

Par défaut, McAfee DLP Prevent tente de se connecter pendant vingt secondes. Si aucune connexionne peut être établie passé ce délai, il existe un problème avec le réseau ou le MTA qui doit êtredéterminé.


1 Dans, McAfee ePO, ouvrez le catalogue de stratégies.

2 Sélectionnez le produit Serveur DLP Prevent, choisissez la catégorie Général et ouvrez la stratégie quevous souhaitez modifier.

3 Dans Connexion suivante, saisissez le nombre de secondes pendant lequel McAfee DLP Prevent peuttenter de se connecter à un MTA.


Spécification d'un niveau maximal d'imbrication des piècesjointes archivéesPour protéger l'appliance contre les attaques par déni de service, définissez le niveau maximald'imbrication des pièces jointes archivées que McAfee DLP Prevent tente d'analyser avant expiration.

Une pièce jointe imbriquée est par exemple un fichier .zip inclus dans un autre fichier .zip.



2 Sélectionnez le produit Serveur DLP Prevent, choisissez la catégorie Général et ouvrez la stratégie quevous souhaitez modifier.

3 Dans Niveau maximal d'imbrication, définissez le niveau maximal des pièces jointes d'archivesimbriquées.


Ajout d'autres agents de transfert de messages (MTA) pouvantremettre des e-mailsMcAfee DLP Prevent remet les e-mails à l'aide de l'hôte actif configuré. Vous pouvez ajouter plusieursMTA auxquels McAfee DLP Prevent peut remettre des e-mails en plus de l'hôte actif.

Avant de commencerVous devez disposer des adresses IP ou du nom des hôtes actifs.

McAfee DLP Prevent peut accepter des e-mails issus de plusieurs MTA mais ne transmet les messagesinspectés qu'à l'un des hôtes actifs configurés.

Configuration des composants systèmeUtilisation des stratégies McAfee DLP Prevent 4




2 Sélectionnez le produit Serveur DLP Prevent, choisissez la catégorie Paramètres d'e-mail et ouvrez lastratégie que vous souhaitez modifier.

3 Ajoutez les détails des MTA que vous souhaitez utiliser.

4 Cliquez sur Mettre à jour.


Remise d'e-mails à l'aide de la répétition alternéeVous pouvez configurer McAfee DLP Prevent de manière à assurer la remise des e-mails sur plusieursserveurs de messagerie en répartissant les messages entre eux.

Avant de commencerVous devez disposer des adresses IP ou du nom des hôtes actifs.




3 Cochez la case Répétition alternée et ajoutez les détails des agents de transfert de messages (MTA) quevous souhaitez utiliser.

4 Cliquez sur Mettre à jour.


Limitation des connexions à des hôtes ou des réseaux spécifiésPar défaut McAfee DLP Prevent accepte les messages provenant de tous les hôtes. Spécifiez les hôtesqui peuvent envoyer des messages à McAfee DLP Prevent, afin que seuls les MTA source légitimespuissent relayer les e-mails via l'appliance.




3 Sélectionnez Accepter les messages provenant de ces hôtes uniquement.



4 Saisissez les détails d'un hôte à partir duquel l'appliance McAfee DLP Prevent peut recevoir desmessages.

Ajoutez les informations de l'hôte en indiquant son adresse IP et son sous-réseau, des noms dedomaine ou un nom de domaine utilisant des caractères génériques.

5 Cliquez sur Mettre à jour pour ajouter les détails à la liste des hôtes autorisés.

Vous pouvez créer des groupes d'hôtes relais à l'aide de sous-réseaux ou de domaines utilisant descaractères génériques. Pour ajouter plusieurs sous-réseaux, vous devez créer une entrée distinctepour chacun d'entre eux.

Activation de TLS sur les messages entrants ou sortantsVous pouvez indiquer si McAfee DLP Prevent utilise TLS pour toujours protéger les messages entrantset sortants, ou s'il l'utilise uniquement s'il est disponible (on parle alors de protection opportuniste).

Le principe de fonctionnement de TLS est de transmettre un jeu de paramètres (protocole detransfert) au début d'une connexion entre les serveurs participants. Une fois ces paramètres définis,les communications entre les serveurs sont sécurisées de manière à ne pas pouvoir être décodées parles serveurs qui n'ont pas participé au protocole de transfert.

Processus du protocole de transfert

• L'appliance demande une connexion sécurisée au serveur de messagerie de réception et luiprésente une liste de suites de chiffrement.

• Le serveur de réception sélectionne le chiffrement le plus fort qui soit pris en charge et en fournitles détails à l'appliance.

• Les serveurs utilisent l'infrastructure de clés publiques (PKI) pour établir l'authenticité par échangede certificats numériques.

• A l'aide de la clé publique du serveur, l'appliance génère un chiffre aléatoire qui servira de clé desession et l'envoie au serveur de messagerie de réception. Le serveur de réception déchiffre la clé àl'aide de la clé privée.

• L'appliance et le serveur de messagerie de réception utilisent tous les deux la clé chiffrée pourconfigurer les communications et terminer le protocole de transfert.

Une fois le protocole de transfert terminé, la connexion sécurisée est utilisée pour transférer lese-mails. La connexion reste sécurisée jusqu'à sa fermeture.

Si vous sélectionnez l'option Toujours pour les communications sortantes, mais que l'hôte actif n'est pasconfiguré pour utiliser TLS, McAfee DLP Prevent renvoie l'erreur 550 x.x.x.x: Denied by policy. TLSconversation required (550 : refusé en raison d'une stratégie. Conversation TLS requise).




3 Dans TLS (Transport Layer Security), sélectionnez Toujours, Jamais ou Opportuniste pour les communicationsentrantes.

Opportuniste est le paramètre par défaut.



4 Sélectionnez Toujours, Jamais ou Opportuniste pour les communications sortantes.

Opportuniste est le paramètre par défaut.


Utilisation de serveurs d'authentification externesMcAfee DLP Prevent est compatible avec les serveurs LDAP enregistrés et McAfee Logon Collector. Ilrécupère les informations des utilisateurs et les données de connexion pour faciliter l'identification desutilisateurs responsables des incidents de perte de données à l'aide de leur nom, groupe,département, ville ou pays.

McAfee DLP Prevent peut :

• Obtenir des informations des serveurs Active Directory et des serveurs d'annuaire OpenLDAP quisont enregistrés auprès de McAfee ePO.

• Communiquer avec un serveur LDAP enregistré via SSL.

• Modifier les règles de protection web et de la messagerie qui s'appliquent à des utilisateurs etgroupes spécifiques.

• Se connecter à des ports de catalogue global (Global Catalog) au lieu des ports LDAP standard pourrécupérer des informations sur les utilisateurs et les groupes lors de l'envoi de requêtes à ActiveDirectory.

• Inclure les informations utilisateur dans des incidents de sorte que vous puissiez voir tous lesincidents générés par un utilisateur, quel que soit le produit McAfee DLP qui les a détectés.

McAfee Logon Collector enregistre les événements de connexion des utilisateurs Windows etcommunique les informations à McAfee DLP Prevent. McAfee DLP Prevent peut associer une adresse IPà un nom d'utilisateur Windows si aucune autre information d'authentification n'est disponible.

Qu'advient-il si le serveur LDAP est indisponible ?

McAfee DLP Prevent met en cache les informations LDAP. Le cache est mis à jour toutes les 24 heures.Par conséquent, une indisponibilité temporaire du serveur LDAP n'a pas d'incidence sur la disponibilitédu service McAfee DLP Prevent. Si la mise à jour du cache échoue, McAfee DLP Prevent utilise le cacheprécédent. Si aucun cache précédent n'est disponible, il effectue une recherche LDAP pour obtenir lesinformations.

Lorsque McAfee DLP Prevent a besoin d'informations sur les groupes LDAP afin d'évaluer les règlespour une demande ou un message et que LDAP n'est pas configuré ou que le serveur est indisponible :

• Pour le trafic SMTP : un code d'échec temporaire (451) est renvoyé de sorte que le message soitmis en file d'attente sur le serveur d'envoi et retenté ultérieurement.

• Pour le trafic ICAP : le code de statut ICAP 500 est renvoyé, ce qui indique que le serveur arencontré une erreur et qu'il a été incapable d'analyser la demande. Vous pouvez configurer votrepasserelle web pour qu'elle s'ouvre ou se ferme en cas de défaillance lorsqu'elle reçoit une erreurdu serveur McAfee DLP Prevent.



Serveurs OpenLDAP et Active Directory

• OpenLDAP et Active Directory produisent des schémas utilisateur différents. Active Directorydispose d'un ensemble de paramètres fixes, mais OpenLDAP est personnalisable.

• Les serveurs OpenLDAP et Active Directory identifient les utilisateurs à l'aide de différentesméthodes. Active Directory utilise sAMAccountName, tandis que OpenLDAP utilise UID. Lesrequêtes LDAP pour sAMAccountName sont traitées à l'aide de la propriété UID sur les systèmesOpenLDAP.

• Les serveurs OpenLDAP et Active Directory identifient également les classes d'utilisateurs enutilisant différents attributs d'utilisateur. Au lieu de la classe d'objets User, OpenLDAP utiliseinetOrgPerson, qui ne prend pas en charge les attributs de pays ou de type memberOf.

Authentification supplémentaire pour la protection web

Lors de l'application des règles de protection web, McAfee DLP Prevent peut obtenir les informationsde la propriété user à partir des sources suivantes :

• En-tête de demande ICAP X-Authenticated-user provenant de la passerelle web.

• McAfee Logon Collector

Si un nom d'utilisateur est fourni dans l'en-tête ICAP X-Authenticated-user, il est utilisé de préférencepar rapport aux données de McAfee Logon Collector.

Meilleure pratique : l'utilisation de l'en-tête X-Authenticated-user est la méthode d'authentificationrecommandée car elle indique que la passerelle web a correctement authentifié l'utilisateur final. Pour leconfigurer, vous devez effectuer une configuration supplémentaire sur la passerelle web. Pour plusd'informations, consultez la documentation produit de votre passerelle web.

Si l'en-tête X-Authenticated-User n'est pas disponible, vous pouvez configurer McAfee Logon Collectorpour ajouter une étape d'authentification supplémentaire. McAfee Logon Collector est un autre produitMcAfee qui surveille les événements de connexion Windows et associe une adresse IP à unidentificateur de sécurité (SID). Pour utiliser McAfee Logon Collector, vous devez avoir configuré aumoins un serveur LDAP, auquel McAfee DLP Prevent pourra envoyer une requête afin de convertir unSID en nom d'utilisateur.

Lors de l'application de règles de protection web, McAfee DLP Prevent évalue les informations degroupe à partir des informations d'utilisateur. Il ignore toute valeur d'en-tête X-Authenticated-Groupsreçue de la passerelle web.

Pour obtenir des informations d'utilisateur ou de groupe lors de l'application de règles de protectionweb, vous devez avoir configuré au moins un serveur LDAP. McAfee DLP Prevent envoie une requête auxserveurs LDAP pour obtenir les attributs requis. Par exemple, pour McAfee Logon Collector, McAfee DLPPrevent utilise le serveur LDAP pour convertir le SID en nom unique.

Schémas d'authentification pris en charge

McAfee DLP Prevent prend en charge les schémas d'authentification NTLM et LDAP pour traiterl'en-tête X-Authenticated-User reçu de la passerelle web.

Avec NTLM, McAfee DLP Prevent s'attend à ce que l'en-tête X-Authenticated-User soit au formatNTLM://<NetBIOS_nom/NomCompteSAM> pour Active Directory.

Le format NTLM avec OpenLDAP n'est pas pris en charge.



Avec NTLM, McAfee DLP Prevent s'attend à ce que l'en-tête X-Authenticated-User soit au formatLDAP://<LDAP_NomServeur/NomUnique> pour Active Directory et OpenLDAP.

McAfee DLP Prevent utilise l'attribut LDAP distinguishedName pour récupérer les détails de l'utilisateurpour les règles de protection web. Vérifiez que votre serveur LDAP expose cet attribut pour vousassurer que le schéma d'authentification LDAP fonctionne correctement.

Scénario d'utilisation

Vous souhaitez configurer une règle de protection web qui bloque les chargements de données PCIpour tous les utilisateurs d'un département sauf un.

1 Dans McAfee ePO, enregistrez un serveur Active Directory qui contient le compte d'utilisateur del'employé que vous soupçonnez.

2 Configurez McAfee Logon Collector.

3 Créez une règle de protection web qui recherche les demandes web provenant d'utilisateurs dugroupe NOMGROUPE correspondant à une certaine classification.

4 Créez une exception pour l'utilisateur NOMUTILISATEUR.

5 Définissez la réaction sur Bloquer.

6 Dans le Gestionnaire d'incidents DLP, recherchez les incidents envoyés par l'utilisateur contenant le nomdu composant.

Récupération d'informations à partir de serveurs LDAP enregistrésMcAfee DLP Prevent peut obtenir des informations sur les utilisateurs et les groupes à partir deserveurs LDAP qui sont enregistrés auprès de McAfee ePO. Sélectionnez les serveurs LDAP enregistrésauprès desquels vous souhaitez que les appliances McAfee DLP Prevent obtiennent les informations.

Avant de commencerVous avez enregistré les serveurs LDAP auprès de McAfee ePO.

Pour plus d'informations sur l'enregistrement des serveurs LDAP auprès de McAfee ePO,reportez-vous au Guide produit McAfee ePolicy Orchestrator.

Les informations sur les utilisateurs et les groupes sont utilisées lors de l'évaluation des informationsde l'expéditeur par une règle Email Protection. McAfee DLP Prevent peut :

• Se connecter aux serveurs Active Directory et OpenLDAP.

• Communiquer avec un serveur LDAP enregistré sur SSL.

• Se connecter à des ports de catalogue global (Global Catalog) au lieu des ports LDAP standard pourrécupérer des informations sur les utilisateurs et les groupes lors de l'envoi de requêtes à ActiveDirectory.

Si vous avez configuré Active Directory pour qu'il utilise les ports de catalogue global (Global Catalog),assurez-vous qu'au moins l'un des attributs suivants soit répliqué sur le serveur du catalogue global àpartir des domaines de la forêt :

• proxyAddresses

• mail



Si McAfee DLP Prevent a besoin d'utiliser l'authentification NTLM pour le trafic ICAP, les attributssuivants LDAP doivent également être répliqués :

• configurationNamingContext

• netbiosname

• msDS-PrincipalName

Les messages sont temporairement rejetés avec le code d'état 451 lorsque les deux conditionssuivantes sont réunies :

• McAfee DLP Prevent utilise des règles qui spécifient que l'expéditeur est membre d'ungroupe d'utilisateurs LDAP particulier.

• McAfee DLP Prevent n'est pas configuré pour recevoir des informations du serveur LDAPcontenant le groupe d'utilisateurs spécifié.

Les événements sont envoyés au journal Evénements de client en cas d'échec de lasynchronisation avec le serveur LDAP ou d'une requête LDAP.



2 Sélectionnez le produit Serveur DLP Prevent, choisissez la catégorie Utilisateurs et groupes et ouvrez lastratégie que vous souhaitez modifier.

3 Dans Serveurs LDAP, sélectionnez les serveurs LDAP que vous souhaitez utiliser.


Ajout d'un certificat et d'un serveur Logon Collector à McAfee DLP PreventAjoutez un certificat McAfee Logon Collector à McAfee DLP Prevent et un certificat McAfee Data LossPrevention Prevent à McAfee Logon Collector.

Avant de commencerAu moins un serveur McAfee Logon Collector doit être configuré.

Pour plus d'informations, reportez-vous au guide d'administration McAfee Logon Collector.


1 Pour télécharger le certificat de l'appliance à partir de McAfee DLP Prevent, accédez à https://<APPLIANCE>:10443/certificates, puis sélectionnez [Hostname.domain.crt].

2 Dans McAfee Logon Collector, sélectionnez Menu | Trusted CAs | New Authority | Choose File (Menu |Autorités de certification approuvées | Nouvelle autorité | Choisir un fichier), sélectionnez lecertificat que vous avez téléchargé et cliquez sur Save (Enregistrer).


4 Sélectionnez le produit Serveur DLP Prevent, choisissez la catégorie Utilisateurs et groupes et ouvrez lastratégie que vous souhaitez modifier.



5 Ajoutez les détails du serveur McAfee Logon Collector à McAfee DLP Prevent.

a Dans la section McAfee Logon Collector, sélectionnez Identifier les utilisateurs à l'origine de demandes web.

b Cliquez sur + pour ouvrir la boîte de dialogue Ajouter.

c Saisissez l'adresse IPv4 ou le nom d'hôte d'un serveur McAfee Logon Collector auquel voussouhaitez vous connecter.

d Modifiez le port McAfee Logon Collector si nécessaire.

6 Obtenez le texte du certificat à partir de McAfee Logon Collector.

a Dans McAfee Logon Collector, sélectionnez Menu | Server Settings (Menu | Paramètres serveur).

b Cliquez sur Identity Replication Certificate (Certificat de réplication d'identité).

c Sélectionnez le texte du certificat dans le champ Base 64 et copiez-le dans le Presse-papiers oudans un fichier.

7 Revenez à la boîte de dialogue Ajouter et sélectionnez Importer à partir du fichier ou Coller depuis lePresse-papiers pour ajouter le texte du certificat.

8 Cliquez sur OK pour terminer l'authentification McAfee Logon Collector.

[Facultatif] Ajoutez d'autres serveurs McAfee Logon Collector.

Le serveur McAfee Logon Collector est ajouté à la liste des serveurs.

Stratégie Gestion partagée des appliancesLa catégorie de stratégies Gestion partagée des appliances est installée avec l'extension Gestion desappliances. Elle applique les paramètres communs aux nouvelles appliances ou à celles pour lesquellesune nouvelle image a été créée.

• Les informations de date, d'heure et de fuseau horaire

• Les listes de serveurs DNS

• Les informations sur le routage statique

• Les paramètres de connexion à distance Secure Shell (SSH)

• Les paramètres de journalisation à distance

• La surveillance et les alertes SNMP

Pour accéder à des informations détaillées sur ces options, consultez l'aide de Gestion des appliances.

Modification de la stratégie Email Gateway pour qu'ellefonctionne avec McAfee DLP PreventPour rediriger les e-mails de l'appliance Email Gateway vers McAfee DLP Prevent pour analyse etappliquer des mesures en cas d'incidents de fuite de données, modifiez la stratégie de configurationEmail Gateway.

Pour configurer McAfee DLP Prevent afin qu'il renvoie les e-mails à la passerelle de messagerie pourtraitement, vous devez modifier la stratégie Paramètres d'e-mail.



Scénario d'utilisation : configurez Email Gateway pour le traitement desrésultats d'analyseConfigurez votre stratégie de configuration des e-mails afin d'appliquer des actions en cas d'incidentde fuite de données potentielle.

Avant de commencerUne appliance Email Gateway managée par McAfee ePO doit être configurée et allumée.

ProcédureCet exemple suppose que McAfee DLP Prevent a détecté un incident de perte de données potentiellelié à un e-mail envoyé à partir d'une appliance Email Gateway. Vous souhaitez empêcher cet e-mail dequitter votre organisation et avertir l'expéditeur de l'action entreprise. Pour davantage d'informationsau sujet des fonctionnalités du produit, de son utilisation et des meilleures pratiques, cliquez sur ? ousur Aide.


2 Sélectionnez McAfee Email Gateway dans la liste Produits et sélectionnez votre stratégie de configurationdes e-mails.

3 Sélectionnez Ajouter une stratégie, puis cliquez sur Ajouter une règle.

a Dans Type de règle, sélectionnez En-tête de l'e-mail.

b Dans Nom d'en-tête, sélectionnez X-RCIS-Action.

c Dans le champ Valeur, sélectionnez ^BLOCK$.

d Cliquez sur OK, puis sur OK à nouveau.

4 Dans Options de stratégie, sélectionnez Action basée sur une stratégie.

5 Sélectionnez Accepter et supprimer les données, puis sélectionnez Envoyer un ou plusieurs e-mails de notification.

6 Cliquez sur Remettre un e-mail de notification à l'expéditeur, puis cliquez sur OK.

7 Enregistrez la stratégie.

Redirection des e-mails vers McAfee DLP PreventRedirigez les e-mails de Email Gateway vers McAfee DLP Prevent pour analyse.

Avant de commencerManagez une appliance ou une appliance virtuelle Email Gateway avec McAfee ePO.



2 Sélectionnez McAfee Email Gateway dans la liste Produits et sélectionnez la catégorie de configuration dese-mails.



3 Cliquez sur Ajouter une stratégie, puis sur Ajouter une règle.

a Dans Type de règle, sélectionnez En-tête de l'e-mail.

b Dans Nom d'en-tête, sélectionnez X-MFE-Encrypt et définissez la valeur de correspondance sur « estabsent ».

c Cliquez sur OK, puis sur OK à nouveau.

4 Dans Options de stratégie, sélectionnez Action basée sur une stratégie.

5 Sélectionnez Acheminer vers un autre relais.

6 Sélectionnez le relais de votre serveur McAfee DLP Prevent, puis cliquez sur OK.

Pour plus d'informations sur les relais, reportez-vous à l'aide en ligne de McAfee ePO.

7 Enregistrez la stratégie.

Intégration de McAfee DLP Prevent dans votre environnementwebMcAfee DLP Prevent fonctionne conjointement avec votre proxy web pour protéger le trafic web.

McAfee DLP Prevent utilise le protocole ICAP ou ICAPS (ICAP sur TLS) pour traiter le trafic web, quiutilise les ports suivants :

• ICAP : 1344

• ICAPS : 11344

Suivez la procédure générale ci-dessous pour configurer votre environnement pour la protection web.

1 Configurez les clients terminaux afin qu'ils envoient du trafic web pour le proxy web.

2 Configurer le proxy web afin qu'il transfère le trafic HTTP vers McAfee DLP Prevent via ICAP.

3 Configurez la stratégie sur McAfee DLP Prevent en spécifiant l'action à appliquer en fonction ducontenu du trafic.

Exemple : configurez une règle pour autoriser ou bloquer le trafic qui contient des numéros decarte de crédit provenant d'utilisateurs particuliers.

Après avoir analysé le trafic, McAfee DLP Prevent accomplit l'une des actions suivantes :

• Autorise le trafic et informe le proxy web.

• Bloque le trafic et présente une page de blocage à l'utilisateur.

Voir aussi Protection du trafic web, page 20Scénario d'utilisation - Autoriser un groupe d'utilisateurs donné à envoyer des informationsbancaires, page 173

Intégration avec Web GatewayConfigurez Web Gateway de manière à transférer le trafic ICAP à McAfee DLP Prevent pour analyse.

McAfee DLP Prevent renvoie une réponse à Web Gateway, indiquant d'autoriser ou de refuser la page.




1 Dans Web Gateway, sélectionnez Policy (Stratégie), puis cliquez sur l'onglet Settings (Paramètres).

2 Procédez comme suit pour créer le client ICAP REQMOD.

a Cliquez sur ICAP Client (Client ICAP) avec le bouton droit de la souris, puis cliquez sur Add(Ajouter).

b Saisissez un nom, comme ICAP-REQMOD-Client.

c Dans le volet Settings (Paramètres), sélectionnez ICAP Client (Client ICAP).

d Dans le volet ICAP Service (Service ICAP), cliquez sur Add (Ajouter).

e Entrez un nom, puis cliquez sur OK & Edit (OK et Modifier).

f Cliquez sur le signe plus vert (Ajouter un serveur ICAP), puis entrez l'adresse IP et le port del'appliance McAfee DLP Prevent.

g Cliquez sur OK à trois reprises.

3 Ajoutez le jeu de règles.

a Cliquez sur l'onglet Jeux de règles.

b Sélectionnez Add | Rule Set from Library (Ajouter | Jeu de règles de la bibliothèque).

c Sélectionnez le jeu de règles ICAP Client, puis cliquez sur OK.

4 Modifiez les paramètres REQMOD.

a Sous l'onglet Rule Sets (Jeux de règles), développez le jeu de règles ICAP Client, puis sélectionnezReqMod.

b Sélectionnez Call ReqMod Server (Appeler le serveur ReqMod), puis cliquez sur Edit (Modifier).

c Sélectionnez l'étape Rule Criteria (Critères de règle).

d Sélectionnez If the following criteria is matched (En cas de correspondance des critères suivants).

e Sélectionnez l'entrée de critères, puis cliquez sur Edit (Modifier).

f Dans la liste déroulante Settings (Paramètres), sélectionnez le client ICAP REQMOD que vous avezcréé.

g Cliquez sur OK, puis sur Finish (Terminer).

5 Activez la règle.

a Sous l'onglet Rule Sets (Jeux de règles), sélectionnez la règle ICAP Client.

b Sélectionnez Enable (Activer).

6 Cliquez sur Save Changes (Enregistrer les modifications).



Fonctionnalités de McAfee ePOMcAfee DLP utilise les fonctionnalités de McAfee ePO suivantes.

Vous devez disposer des autorisations appropriées pour accéder à la plupart des fonctionnalités.

McAfee ePO Ajout

Actions Actions que vous pouvez effectuer à partir de l'Arborescence des systèmesou utiliser pour personnaliser les réponses automatiques.

Tâches client Tâches client que vous pouvez utiliser pour automatiser la gestion et lamaintenance sur les systèmes client.

Tableaux de bord Tableaux de bord et moniteurs que vous pouvez utiliser pour surveiller votreenvironnement.

Evénements etréponses

• Evénements pour lesquels vous pouvez configurer des réponsesautomatiques.

• Groupes d'événements et types d'événements que vous pouvez utiliserpour personnaliser des réponses automatiques.

Propriétés du systèmemanagé

Propriétés que vous pouvez consulter dans l'Arborescence des systèmes ouutiliser pour personnaliser les requêtes.

Ensemblesd'autorisations

• Ensembles d'autorisations.

• Catégorie d'autorisation Data Loss Prevention, disponible dans tous lesensembles d'autorisations existants.

Stratégies Catégories de stratégie Stratégie DLP, Configuration du client Windows etConfiguration du client Mac OS X pour McAfee DLP Endpoint et Configurationdu serveur pour McAfee DLP Discover dans le groupe de produits Data LossPrevention 10.

Requêtes et rapports • Requêtes par défaut que vous pouvez utiliser pour exécuter des rapports.

• Groupes de propriétés personnalisées basés sur les propriétés de systèmemanagé que vous pouvez utiliser pour créer vos propres requêtes etrapports.

Tâches serveur Utilisé pour les tâches Gestionnaire d'incidents DLP et Opérations DLP.

Protection desdonnées

Permet de configurer, de gérer et de surveiller McAfee DLP.

Help Desk Permet d'émettre des clés de demande d'authentification/réponse pourdésinstaller des applications protégées, libérer les fichiers de la quarantaineet contourner provisoirement les stratégies de sécurité si votre activitél'exige.

Pour plus d'informations sur ces fonctionnalités, consultez la documentation d'McAfee ePO.

4 Configuration des composants systèmeFonctionnalités de McAfee ePO


5 Protection des supports amovibles

McAfee®

Device Control protège les entreprises contre les risques associés au transfert non autorisé decontenu confidentiel lors de l'utilisation d'équipements de stockage.

Device Control peut surveiller ou bloquer des équipements connectés à des ordinateurs managés parl'entreprise, ce qui vous permet de surveiller et de contrôler leur utilisation dans la distribution desinformations confidentielles. Les équipements tels que les smartphones, les équipements de stockageamovibles, les équipements Bluetooth, les lecteurs MP3 ou les équipements Plug-and-Play peuventtous être contrôlés.

McAfee Device Control est un composant de McAfee DLP Endpoint qui est vendu séparément. Bien quele terme Device Control soit utilisé dans toute cette section, l'ensemble des fonctionnalités et desdescriptions s'appliquent également à McAfee DLP Endpoint. La mise en œuvre des règles DeviceControl sur des ordinateurs Microsoft Windows et OS X est similaire, mais pas identique. Le tableauci-dessous identifie certaines des différences.

Tableau 5-1 Terminologie Device Control

Terme Applicable auxsystèmesd'exploitation :

Définition

Classe depériphériques

Windows Ensemble d'équipements partageant descaractéristiques similaires et dont la gestion peutêtre identique. Les classes de périphériques affichentl'état Géré, Non géré ou Liste blanche.

Définitiond'équipement

Windows, OS X Liste des propriétés d'équipement utilisées pouridentifier ou regrouper des équipements.

Propriétéd'équipement

Windows, OS X Une propriété telle que le type de bus, l'IDfournisseur ou l'ID produit qui peut être utilisée pourdéfinir un équipement.

Règle d'équipement Windows, OS X Définit les mesures prises lorsqu'un utilisateur tented'utiliser un équipement qui a une définitiond'équipement correspondante dans la stratégie. Larègle est appliquée au matériel, au niveau du piloted'équipement ou au niveau du système de fichiers.Des règles d'équipement peuvent être attribuées àdes utilisateurs finaux spécifiques.

Périphérique géré Windows Etat de classe de périphériques indiquant que lespériphériques de cette classe sont gérés par DeviceControl.

Règle pouréquipements destockage amovibles

Windows, OS X Permet de bloquer ou de surveiller un équipement,ou de le définir en lecture seule.

Règle de protectiondes équipements destockage amovibles

Windows, OS X Définit les mesures prises lorsqu'un utilisateur tentede copier un contenu marqué comme confidentiel surun équipement managé.

5


Tableau 5-1 Terminologie Device Control (suite)

Terme Applicable auxsystèmesd'exploitation :

Définition

Périphérique nongéré

Windows Etat de classe de périphériques indiquant que lespériphériques de cette classe ne sont pas gérés parDevice Control.

Périphérique inclusdans la liste blanche

Windows Etat de classe de périphériques indiquant que lespériphériques de cette classe ne peuvent pas êtregérés par Device Control parce que leurs tentativesde gestion peuvent affecter l'ordinateur géré,l'intégrité du système ou son efficacité.

Sommaire Protection des équipements Gestion des équipements avec des classes d'équipement Définition d'une classe d'équipement Organisation d'équipements avec des définitions d'équipement Propriétés d'équipements Règles de contrôle des équipements Règles d'accès aux fichiers de stockage amovibles

Protection des équipementsLes lecteurs USB, petits disques durs externes, smartphones et autres équipements amoviblespeuvent être utilisés pour supprimer des données confidentielles de l'entreprise.

Les lecteurs USB sont une méthode simple, économique et pratiquement intraçable de télécharger degrandes quantités de données. Elles sont souvent considérées comme « l'arme de choix » pour letransfert non autorisé de données. Le logiciel Device Control surveille et contrôle les lecteurs USB etd'autres équipements externes, tels que les smartphones, les équipements Bluetooth, les équipementsPlug-and-Play, les lecteurs audio et les disques durs qui ne sont pas dédiés au système. Device Controlfonctionne sur la plupart des systèmes d'exploitation Microsoft Windows et OS X, y compris lesserveurs. Reportez-vous à la page relative à la configuration système requise de ce guide pour plus dedétails.

La protection McAfee Device Control repose sur trois couches :

• Classes d'équipement : ensembles d'équipements partageant des caractéristiques similaires etdont la gestion peut être identique. Les classes d'équipement s'appliquent uniquement aux règleset définitions d'équipement Plug-and-Play, et ne sont pas applicables aux systèmes d'exploitationOS X.

• Définitions d'équipement : permettent d'identifier et de regrouper les équipements en fonctionde leurs propriétés communes.

• Règles des équipements : permettent de contrôler le comportement des équipements.

Une règle d'équipement comprend la liste des définitions d'équipements incluses ou exclues de larègle, et les mesures prises lorsque l'utilisation de l'équipement déclenche la règle. Elle peut aussiindiquer des utilisateurs finaux inclus ou exclus de la règle. Elles peuvent éventuellement contenir unedéfinition d'applications pour filtrer la règle en fonction de la source du contenu confidentiel.

5 Protection des supports amoviblesProtection des équipements


Règles de protection des périphériques de stockage amovibles

En plus des règles des équipements, Device Control comprend un type de règle de protection desdonnées. Les règles de protection des périphériques de stockage amovibles comprennent une ouplusieurs classifications permettant de définir le contenu confidentiel qui déclenche la règle. Ellespeuvent éventuellement inclure une définition d'applications ou une URL de navigateur web, etpeuvent inclure ou exclure des utilisateurs finaux.

Les URL du navigateur web ne sont pas prises en charge sur McAfee DLP Endpoint for Mac.

Gestion des équipements avec des classes d'équipementUne classe d'équipement est un ensemble d'équipements qui partagent des caractéristiques similaireset dont la gestion peut être identique.

Les classes de périphériques permettent de nommer et d'identifier les périphériques utilisés par lesystème. Chaque définition de classe d'équipement inclut un nom et un ou plusieurs identificateursglobaux uniques (GUID). Par exemple, les périphériques Intel® PRO/1000 PL Network Connection etDell wireless 1490 Dual Band WLAN Mini-Card appartiennent à la classe de périphériques Adaptateurde réseau.

Les classes d'équipement ne sont pas applicables aux équipements OS X.

Organisation des classes de périphériques

Le gestionnaire de stratégies DLP répertorie les classes d'équipement prédéfinies (intégrées) sousl'onglet Définitions sous Contrôle des équipements. Les équipements sont classés en fonction de leurstatut :

• Les équipements managés sont des équipements Plug-and-Play ou de stockage amovibles qui sontmanagés par McAfee DLP Endpoint.

• Les périphériques Non gérés ne sont pas gérés par Device Control dans la configuration par défaut.

• Les périphériques Inclus dans la liste blanche sont des périphériques que Device Control n'essaiepas de contrôler, comme les périphériques batteries ou les processeurs.

Pour éviter d'éventuels dysfonctionnements du système ou du système d'exploitation, les classes depériphériques ne peuvent pas être modifiées, mais elles peuvent être dupliquées et modifiées pourajouter des classes définies par l'utilisateur à la liste.

Meilleure pratique : n'ajoutez pas de classe d'équipement à la liste sans tester d' abord lesconséquences. Dans le catalogue de stratégies, utilisez l'onglet Stratégie DLP | Classes d'équipement |Paramètres pour créer des remplacements de classe d'équipement temporaires de l'état de classe, ainsique des paramètres de type de filtre.

Les remplacements peuvent être utilisés pour tester des modifications définies par l'utilisateur avantde créer une classe permanente, ainsi que pour résoudre des problèmes de contrôle d'équipement.

Device Control utilise des définitions d'équipement et des règles de contrôle d'équipementPlug-and-Play pour contrôler le comportement de classes d'équipement managées et d'équipementsspécifiques appartenant à une classe d'équipement managée. En revanche, les règles pouréquipements de stockage amovibles ne requièrent pas de classe d'équipement managée. En effet, lesdeux types de règles d'équipement utilisent les classes d'équipement différemment :

Protection des supports amoviblesGestion des équipements avec des classes d'équipement 5


• Les règles d'équipement Plug-and-Play sont déclenchées lorsque l'équipement matériel estconnecté à l'ordinateur. Comme il s'agit d'une réaction à un pilote d'équipement, la classed'équipement doit être managée pour que l'équipement soit reconnu.

• Les règles pour périphériques de stockage amovibles sont déclenchées lors du montage d'unnouveau système de fichiers. Lorsque cela se produit, le client Device Control associe la lettre dudisque au périphérique matériel spécifique et vérifie les propriétés de périphérique. Etant donnéque la réaction concerne une opération de système de fichiers (lorsque le système de fichiers estmonté), il n'est pas nécessaire de gérer la classe de périphériques.

Voir aussi Création d'une classe d'équipement, page 97

Définition d'une classe d'équipementSi aucune classe d'équipement appropriée ne figure dans la liste prédéfinie ou n'est crééeautomatiquement lors de l'installation de nouveau matériel, vous pouvez créer une nouvelle classed'équipement dans la console Gestionnaire de stratégies McAfee DLP Endpoint.

Obtention d'un GUIDLes définitions de classe d'équipement nécessitent un nom et un ou plusieurs identificateurs globauxuniques (GUID).

Certains équipements installent leur propre classe d'équipement. Pour contrôler le comportement deséquipements Plug-and-Play qui définissent leur propre classe d'équipement, vous devez commencerpar ajouter une nouvelle classe d'équipement à l'état Managé dans la liste Classes d'équipement.

Une classe d'équipement est définie par deux propriétés : un nom et un GUID. Le nom d'un nouveléquipement s'affiche dans le gestionnaire des équipements, mais le GUID apparaît uniquement dans leRegistre Windows et il n'est pas facile de l'obtenir. Pour simplifier l'obtention du nom et du GUID desnouveaux équipements, le client Device Control envoie un événement Nouvelle classe d'équipementdétectée au Gestionnaire d'incidents DLP lorsqu'un équipement n'appartenant à aucune classereconnue est connecté à l'ordinateur hôte.


1 Dans McAfee ePO, sélectionnez Menu | Protection des données | Gestionnaire d'incidents DLP | Liste des incidents.

2 Cliquez sur Modifier en regard de la liste déroulante Filtre pour modifier les critères du filtre.

3 Dans la liste Propriétés disponibles (volet gauche), sélectionnez Type d'incident.

4 Vérifiez que la valeur de la liste déroulante Comparaison est Est égal à.

5 Dans la liste déroulante Valeurs, sélectionnez Nouvelle classe d'équipement détectée.

6 Cliquez sur Mettre à jour le filtre.

La liste des incidents affiche les nouvelles classes d'équipement détectées sur l'ensemble desordinateurs clients.

7 Pour voir le nom et le GUID d'un équipement spécifique, double-cliquez sur un élément de la listepour afficher les détails de l'incident.

5 Protection des supports amoviblesDéfinition d'une classe d'équipement


Création d'une classe d'équipementCréez une classe d'équipement si une classe d'équipement appropriée ne figure pas dans la listeprédéfinie ou n'est pas créée automatiquement lors de l'installation de nouveau matériel.

Avant de commencerObtenez le GUID d'équipement avant de commencer cette tâche.


1 Dans McAfee ePO, sélectionnez Menu | Protection des données | Gestionnaire de stratégies DLP | Définitions.

2 Dans le volet gauche, sélectionnez Contrôle des périphériques | Classe des périphériques.


• Sélectionnez Actions | Nouveau.

• Localisez une classe de périphériques similaire dans la liste des classes de périphériquesintégrée, puis cliquez sur Dupliquer dans la colonne Actions. Cliquez sur Modifier pour la classe depériphériques dupliquée.

4 Saisissez un nom unique et éventuellement une description.

5 Vérifiez l'état et le type de filtre requis.

6 Saisissez le GUID, puis cliquez sur Ajouter.

Le format du GUID doit être correct. S'il est incorrect, vous êtes invité à le saisir à nouveau.


Voir aussi Gestion des équipements avec des classes d'équipement, page 95Organisation d'équipements avec des définitions d'équipement, page 97

Organisation d'équipements avec des définitions d'équipementUne définition de périphériques est une liste de propriétés de périphériques comme le type de bus, laclasse de périphériques, l'ID du fournisseur et l'ID du produit.

Le rôle des définitions de périphériques est d'identifier et de grouper les périphériques en fonction deleurs propriétés communes. Certaines propriétés de périphérique peuvent être appliquées à toutedéfinition de périphérique, d'autres ne concernent qu'un ou des types de périphériques spécifiques.

Les types de définitions d'équipement disponibles sont les suivants :

• Les équipements de type Disque dur fixe sont attachés à l'ordinateur et ne sont pas considérés parle système d'exploitation comme un système de stockage amovible. Device Control permet decontrôler les disques durs fixes autres que le support d'amorçage.

• Les équipements Plug-and-Play peuvent être ajoutés à l'ordinateur managé, sans qu'aucuneconfiguration ou installation manuelle de DLL et de pilotes ne soit nécessaire. La plupart deséquipements Microsoft Windows sont de type Plug-and-Play. Les équipements Apple OS X sont prisen charge pour USB uniquement.

Protection des supports amoviblesOrganisation d'équipements avec des définitions d'équipement 5


• Les équipements de stockage amovibles sont des équipements externes contenant un système defichiers qui s'affichent en tant que lecteurs sur l'ordinateur managé. Les définitions d'équipementde stockage amovible prennent en charge les systèmes d'exploitation Microsoft Windows ou AppleOS X.

• Les équipements Plug-and-Play inclus dans la liste blanche n'interagissent pas correctement avec lagestion des équipements et peuvent provoquer un blocage du système ou d'autres problèmessérieux. Prise en charge pour les équipements Microsoft Windows uniquement.

Les définitions d'équipement Plug-and-Play inclus dans la liste blanche sont ajoutéesautomatiquement à la liste exclue dans toutes les règles de contrôle des équipements Plug-and-Play.Ces équipements ne sont jamais managés, même si leur classe parente l'est.

Les définitions d'équipement de stockage amovible sont plus flexibles et comportent des propriétéssupplémentaires.

Meilleure pratique : utilisez les définitions et règles d'équipement de stockage amovible pour gérerdes équipements tels que les équipements de stockage de masse USB, qui peuvent être classés dansles deux catégories.

Voir aussi Création d'une classe d'équipement, page 97

Utilisation des définitions d'équipementsLorsque plusieurs paramètres sont définis pour les définitions d'équipements, ils sont liés parl'opérateur logique OU (par défaut) ou ET. Lorsque plusieurs types de paramètres sont définis, ils sonttoujours liés par l'opérateur logique AND.

Par exemple, la sélection de paramètres ci-dessous :

Crée la définition suivante :

• Le type de bus est : Firewire (IEEE 1394) OU USB

• ET la classe d'équipement doit être Périphériques mémoire OU Périphériques portables Windows.

5 Protection des supports amoviblesOrganisation d'équipements avec des définitions d'équipement


Création d'une définition d'équipementsLes définitions d'équipements permettent de spécifier les propriétés d'un équipement quidéclencheront la règle.

Meilleure pratique : créez des définitions d'équipement Plug-and-Play inclus dans la liste blanche pourles équipements dont la gestion ne s'effectue pas correctement, ce qui peut entraîner le blocage dusystème ou d'autres problèmes graves. Aucune action ne sera appliquée à ces équipements, mêmequand une règle est déclenchée.



2 Dans le volet gauche, sélectionnez Contrôle des équipements | Définitions d'équipements.

3 Sélectionnez Actions | Nouveau, puis sélectionnez le type de définition.


5 (Périphériques Plug-and-Play et équipements de stockage amovibles uniquement) Sélectionnezl'option S'applique à pour les équipements Microsoft Windows ou OS X.

La liste Propriétés disponibles est modifiée et indique les propriétés du système d'exploitationsélectionné.

6 Sélectionnez les propriétés de l'équipement.

La liste des propriétés disponibles varie en fonction du type d'équipement.

• Pour ajouter une propriété, cliquez sur >.

• Pour supprimer une propriété, cliquez sur <.

• Pour ajouter d'autres valeurs de propriété, cliquez sur +.Les valeurs sont ajoutées avec l'opérateur logique OU par défaut. Cliquez sur le bouton et/ou etchoisissez ET.

• Pour supprimer des propriétés, cliquez sur -.


Création d'une définition Plug-and-Play incluse dans la liste blancheL'inclusion d'équipements Plug-and-Play dans la liste blanche a pour but de faciliter la gestion de cetype équipements, qui posent souvent problème. S'ils ne sont pas inclus dans la liste blanche, lesystème risque de ne plus répondre ou d'autres problèmes peuvent survenir. Les définitionsd'équipements Plug-and-Play inclus dans la liste blanche ne sont pas prises en charge dans McAfeeDLP Endpoint for Mac.

Les équipements Plug-and-Play inclus dans la liste blanche sont ajoutés aux règles des équipementsPlug-and-Play, sous l'onglet Exceptions. Ces équipements ne sont jamais managés, même si leur classeparente l'est.

Meilleure pratique : pour éviter des problèmes de compatibilité, ajoutez des équipements dont lagestion ne s'effectue pas correctement à la liste des équipements inclus dans la liste blanche.

Protection des supports amoviblesOrganisation d'équipements avec des définitions d'équipement 5




2 Dans le volet gauche, sélectionnez Contrôle des équipements | Définitions d'équipement, puis sélectionnezActions | Nouveau | Définition d'équipements Plug-and-Play inclus dans la liste blanche.








Création d'une définition d'équipements de stockage amoviblesUn équipement de stockage amovible est un équipement externe contenant un système de fichiers quiapparaît en tant que lecteur sur l'ordinateur managé. Les définitions d'équipement de stockageamovible sont plus flexibles que celles des équipements Plug-and-Play et comportent des propriétéssupplémentaires qui dépendent des équipements.



2 Dans le volet gauche, sélectionnez Contrôle des équipements | Définitions d'équipements, puis Actions | Nouveau| Définition d'équipements de stockage amovibles.


4 Sélectionnez l'option S'applique à pour les équipements Microsoft Windows ou OS X.

La liste Propriétés disponibles est modifiée et indique les propriétés du système d'exploitationsélectionné.







5 Protection des supports amoviblesOrganisation d'équipements avec des définitions d'équipement


Création d'une définition de paire Numéro de série - UtilisateurVous pouvez créer des exceptions pour des règles d'équipement de stockage amovible etPlug-and-Play en fonction des paires d'identités utilisateur et de numéros de série d'équipement. Enliant l'équipement à l'utilisateur connecté, vous créez un niveau de sécurité supérieur.

Avant de commencerObtenez les numéros de série des équipements que vous ajoutez à la définition.

Les définitions de paire Numéro de série-Utilisateur ne sont pas prises en charge dans McAfee DLPEndpoint for Mac.



2 Dans le volet gauche, sélectionnez Contrôle des équipements | Paire Numéro de série - Utilisateur final.

3 Sélectionnez Actions | Nouveau.

4 Indiquez un nom unique et éventuellement une description.

5 Saisissez les informations requises dans les zones de texte situées en bas de la page, puis cliquezsur Ajouter. Répétez cette opération en fonction de vos besoins pour ajouter des paires Numéro desérie - Utilisateur final supplémentaires.

Pour Type d'utilisateur | Tous, laissez le champ Utilisateur final vide. Si vous spécifiez un utilisateur, utilisezle format [email protected].


Voir aussi Propriétés d'équipements, page 101

Propriétés d'équipementsLes propriétés d'équipements spécifient les caractéristiques d'équipements telles que leur nom, leurtype de bus ou leur type de système de fichiers.

Le tableau indique les définitions des propriétés d'équipements, les types de définition qui utilisentchaque propriété et le système d'exploitation auxquels elles s'appliquent.

Protection des supports amoviblesPropriétés d'équipements 5


Tableau 5-2 Types de propriétés d'équipements

Nom de la propriété Définitiond'équipements

Applicable auxsystèmesd'exploitation :

Description

Type de bus Tout • Windows :Bluetooth,Firewire(IEEE1394),IDE/SATA,PCI, PCMIA,SCSI, USB

• Mac OS X :Firewire(IEEE1394),IDE/SATA, SD,Thunderbolt,USB

Permet de choisir le type de bus deséquipements dans la liste proposée.

Pour les règles des équipementsPlug-and-Play, McAfee DLPEndpoint for Mac prend uniquementen charge le type de bus USB.

Lecteurs CD/DVD Stockageamovible

• Windows

• Mac OS X

Sélectionnez un lecteur de CD ou deDVD.

Contenu chiffré parEndpoint Encryption

Stockageamovible

Windows Equipements protégés par EndpointEncryption.

Classe d'équipement Plug-and-Play Windows Permet de choisir la classed'équipement dans la liste deséquipements managés proposée.

ID d'équipementcompatible

Tout Windows Liste des descriptions d'équipementsphysiques. Cette option estparticulièrement utile avec les typesd'équipements autres qu'USB et PCI,qui sont plus facilement identifiables àl'aide de l'ID fournisseur/IDd'équipement PCI ou de l'IDfournisseur/ID de produit USB.

ID d'instance del'équipement(Microsoft Windows XP)Chemin d'instance del'équipement(Windows Vista etsystèmes d'exploitationMicrosoft Windowsultérieures, y comprisles serveurs)

Tout Windows Chaîne générée par Windows quiidentifie de façon unique l'équipementdans le système.Exemple :

USB\VID_0930&PID_6533\5&26450FC&0&6.

Nom convivial del'équipement

Tout • Windows

• Mac OS X

Nom lié à l'équipement matériel,représentant son adresse physique.

5 Protection des supports amoviblesPropriétés d'équipements


Tableau 5-2 Types de propriétés d'équipements (suite)



Description

Type de système defichiers

• Disque durfixe

• Stockageamovible

• Windows :CDFS, exFAT,FAT16, FAT32,NTFS, UDFS

• Mac OS X :CDFS, exFAT,FAT16, FAT32,HFS/HFS+,NTFS, UDFS

Mac OS X prenduniquement encharge FAT surles disquesautres que ledisque dedémarrage.Mac OS X prenden charge NTFSen lecture seule.

Type de système de fichiers.• Pour les disques durs, sélectionnez

l'un des systèmes exFAT, FAT16,FAT32 ou NTFS.

• Pour les équipements de stockageamovibles, sélectionnez l'un dessystèmes précédents ainsi que CDFSou UDFS.

Accès au système defichiers

Stockageamovible

• Windows

• Mac OS X

Type d'accès au système de fichiers :lecture seule ou lecture-écriture.

Etiquette de volume dusystème de fichiers

• Disque durfixe


• Windows

• Mac OS X

Etiquette de volume définie parl'utilisateur, consultable dansl'Explorateur Windows. Lescorrespondances partielles sontautorisées.

Numéro de série duvolume du système defichiers

• Disque durfixe


Windows Numéro 32 bits généréautomatiquement lorsqu'un système defichiers est créé sur le périphérique. Ilest consultable en exécutant la ligne decommande dir x:, où x: désigne lalettre du lecteur.

ID fournisseur PCI/IDde périphérique PCI

Tout Windows PCI VendorID (ID fournisseur PCI) /DeviceID (ID de périphérique PCI)incorporés dans l'équipement PCI. Il estpossible d'obtenir ces paramètres àpartir de la chaîne d'ID matériel deséquipements physiques.Exemple :

PCI\VEN_8086&DEV_2580&SUBSYS_00000000&REV_04

Equipements TrueCrypt Stockageamovible

Windows Sélectionnez cette option pour spécifierun équipement TrueCrypt.

Code de classe USB Plug-and-Play Windows Identifie un équipement USB physiquepar sa fonction générale. Sélectionnez lecode de classe dans la liste proposée.

Protection des supports amoviblesPropriétés d'équipements 5


Tableau 5-2 Types de propriétés d'équipements (suite)



Description

Numéro de série del'équipement USB

• Plug-and-Play


• Windows

• Mac OS X

Chaîne alphanumérique uniqueattribuée par le fabricant del'équipement USB, généralement pourles périphériques de stockageamovibles. Le numéro de série est ladernière partie de l'ID de l'instance.Exemple :

USB\VID_3538&PID_0042\00000000002CD8Un numéro de série valide doitcomporter au moins 5 caractèresalphanumériques et aucun & (etcommercial). Si la dernière partie del'ID de l'instance ne respecte pas cettecondition, il ne s'agit pas d'un numérode série.

ID fournisseur/ID deproduit del'équipement USB

• Plug-and-Play


• Windows

• Mac OS X

ID du fournisseur USB et ID del'équipement USB incorporés dans lepériphérique USB. Il est possibled'obtenir ces paramètres à partir de lachaîne d'ID matériel des équipementsphysiques.Exemple :

USB\Vid_3538&Pid_0042

Règles de contrôle des équipementsLes règles de contrôle des périphériques définissent les actions à entreprendre lors de l'utilisation depériphériques particuliers.

Règle de contrôle deséquipements

Description Prise en charge

Règle pouréquipements destockage amovibles

Utilisée pour bloquer ou surveiller deséquipements de stockage amovibles ou lesdéfinir en lecture seule. L'utilisateur peut êtreinformé des mesures prises.

McAfee DLP Endpointpour Windows, McAfeeDLP Endpoint for Mac

Règle d'équipementPlug-and-Play

Permet de bloquer ou surveiller des équipementsPlug-and-Play. L'utilisateur peut être informé desmesures prises.

McAfee DLP Endpointpour Windows, McAfeeDLP Endpoint for Mac(équipements USBuniquement)

Règle d'accès auxfichiers de stockageamovible

Permet de bloquer l'exécution des fichiersexécutables sur les équipements de type plug-in.

McAfee DLP Endpointpour Windows

Règle du disque durfixe

Permet de bloquer ou de surveiller des disquesdurs fixes, ou de les définir en lecture seule.L'utilisateur peut être informé des mesuresprises. Les règles d'équipement de disque durfixe ne protègent pas la partition système ou dedémarrage.


5 Protection des supports amoviblesRègles de contrôle des équipements


Règle de contrôle deséquipements

Description Prise en charge

Règle d'équipementCitrix XenApp

Permet de bloquer les équipements Citrixmappés aux sessions ouvertes partagées.


Règle d'équipementTrueCrypt

Permet de protéger les équipements TrueCrypt.Permet de bloquer, de surveiller ou de définir enlecture seule. L'utilisateur peut être informé desmesures prises.


Création d'une règle pour équipements de stockage amoviblesLes équipements de stockage amovibles apparaissent comme des lecteurs sur l'ordinateur managé.Les règles d'équipement de stockage amovible permettent de bloquer l'utilisation des équipementsamovibles ou de les définir en lecture seule. Elles sont prises en charge sur McAfee DLP Endpoint pourWindows et sur McAfee DLP Endpoint for Mac.

Les règles d'équipement de stockage amovible n'ont pas besoin d'une classe d'équipement managéeen raison de la différence d'utilisation des classes d'équipement des deux types de règlesd'équipement :

• Les règles d'équipement Plug-and-Play sont déclenchées lorsque l'équipement matériel estconnecté à l'ordinateur. Comme il s'agit d'une réaction à un pilote d'équipement, la classed'équipement doit être managée pour que l'équipement soit reconnu.

• Les règles d'équipement de stockage amovible sont déclenchées lors du montage d'un nouveausystème de fichiers. Lors du montage du système de fichiers, le logiciel McAfee DLP Endpointassocie la lettre du lecteur à l'équipement matériel spécifique et vérifie les propriétés del'équipement. Comme il s'agit d'une réaction au fonctionnement d'un système de fichiers, et non àun pilote d'équipement, la classe d'équipement n'a pas besoin d'être managée.

Les règles d'équipements disposent d'un paramètre Appliquer sur qui applique la règle à Windows, à OS Xou aux deux. Les définitions d'équipements utilisées dans les règles d'équipements disposent d'unparamètre Equipements concernés qui permet d'indiquer soit Equipements Windows, soit Equipements Mac OSX.Lorsque vous sélectionnez des définitions d'équipements, le système d'exploitation doit être le mêmedans la définition et dans la règle. Les clients McAfee DLP Endpoint pour les deux systèmesd'exploitation ignorent les propriétés qui ne s'appliquent pas à ce système. En revanche, vous nepouvez pas enregistrer une règle qui, par exemple, s'applique uniquement sous Windows mais contientdes définitions d'équipement de Mac OS X.


1 Dans McAfee ePO, sélectionnez Menu | Protection des données | Gestionnaire de stratégies DLP | Jeux de règles.

2 Sélectionnez Actions | Nouveau jeu de règles ou modifiez un jeu de règles existant.

3 Cliquez sur le nom du jeu de règles à modifier pour l'ouvrir. Cliquez sur l'onglet Contrôle deséquipements.

4 Sélectionnez Actions | Nouvelle règle | Règle pour équipements de stockage amovibles.

5 Entrez un nom de règle unique.

6 (Facultatif) Modifiez l'état et choisissez un niveau de gravité.

7 Désélectionnez la case à cocher McAfee DLP Endpoint pour Windows ou McAfee DLP Endpoint pour Mac OSX si larègle s'applique à un seul système d'exploitation.

Protection des supports amoviblesRègles de contrôle des équipements 5


8 Dans l'onglet Condition, sélectionnez une ou plusieurs définitions d'équipement de stockageamovible. Facultatif : affectez des groupes d'utilisateurs finaux et un nom de processus à la règle.

9 (Facultatif) Dans l'onglet Exceptions, sélectionnez une définition incluse dans la liste blanche etrenseignez les champs obligatoires.

Vous pouvez ajouter plusieurs exceptions en ajoutant plusieurs définitions incluses dans la listeblanche.

Les options Processus exclus et Paires Numéro de série - Utilisateur exclues ne sont pas prises en charge dansMcAfee DLP Endpoint for Mac.

10 Sous l'onglet Réaction, sélectionnez une mesure préventive. Facultatif : ajoutez une notification utilisateur etactivez l'option Signaler l'incident.

Si vous ne sélectionnez pas Signaler l'incident, le Gestionnaire d'incidents DLP ne conservera aucunetrace de l'incident.

11 (Facultatif) Sélectionnez une autre mesure préventive lorsque l'utilisateur final travaille en dehors duréseau de l'entreprise.


Voir aussi Scénario d'utilisation : règle d'accès aux fichiers de stockage amovible avec processus inclusdans la liste blanche, page 168Scénario d'utilisation : configurer un équipement amovible en lecture seule, page 169

Créer une règle d'équipement Plug-and-PlayUtilisez des règles d'équipement Plug-and-Play pour bloquer ou surveiller des équipementsPlug-and-Play. Elles sont prises en charge sur McAfee DLP Endpoint pour Windows et sur McAfee DLPEndpoint for Mac. Sur des ordinateurs OS X, seuls les équipements USB sont pris en charge.

Un équipement Plug-and-Play peut être ajouté à l'ordinateur managé sans nécessiter aucuneconfiguration ou installation manuelle de DLL et de pilotes. Pour que les règles d'équipementPlug-and-Play contrôlent des équipements matériels Microsoft Windows, les classes d'équipementspécifiées dans les définitions d'équipement utilisées par la règle doivent être définies sur l'étatManagé.

Les règles d'équipements disposent d'un paramètre Appliquer sur qui applique la règle à Windows, à OS Xou aux deux. Les définitions d'équipements utilisées dans les règles d'équipements disposent d'unparamètre Equipements concernés qui permet d'indiquer soit Equipements Windows, soit Equipements Mac OSX.Lorsque vous sélectionnez des définitions d'équipements, le système d'exploitation doit être le mêmedans la définition et dans la règle. Les clients McAfee DLP Endpoint pour les deux systèmesd'exploitation ignorent les propriétés qui ne s'appliquent pas à ce système. En revanche, vous nepouvez pas enregistrer une règle qui, par exemple, s'applique uniquement sous Windows mais contientdes définitions d'équipement de Mac OS X.




3 Pour ouvrir le jeu de règles pour le modifier, cliquez sur son nom. Cliquez sur l'onglet Contrôle deséquipements.



4 Sélectionnez Actions | Nouvelle règle | Règle pour équipements Plug-and-Play.



7 Désélectionnez la case à cocher McAfee DLP Endpoint pour Windows ou McAfee DLP Endpoint pour Mac OSX si larègle s'applique à un seul système d'exploitation.

8 Dans l'onglet Condition, sélectionnez une ou plusieurs définitions d'équipement Plug-and-Play.

9 (Facultatif) Affectez des groupes d'utilisateurs finaux à la règle.



11 Sous l'onglet Réaction, sélectionnez une mesure préventive. Facultatif : ajoutez une notificationutilisateur et activez l'option Signaler l'incident.

Si vous ne sélectionnez pas Signaler l'incident, le gestionnaire d'incidents DLP ne conservera aucune trace del'incident.

12 (Facultatif) Sélectionnez une autre mesure préventive lorsque l'utilisateur final travaille en dehorsdu réseau de l'entreprise ou qu'il est connecté par VPN.


Voir aussi Cas d'utilisation : bloquer et recharger un iPhone avec une règle d'équipement Plug-and-Play,page 170

Créer une règle de périphérique d'accès aux fichiers destockage amovibleLes règles d'accès aux fichiers de stockage amovibles permettent de bloquer l'exécution des fichiersexécutables sur les équipements de type plug-in.





4 Sélectionnez Actions | Nouvelle règle | Règle d'accès aux fichiers de stockage amovible.



7 Dans l'onglet Condition, sélectionnez une ou plusieurs définitions d'équipement de stockageamovible. (Facultatif) Affectez des groupes d'utilisateurs finaux à la règle.

8 (Facultatif) Modifiez le type de fichier vrai par défaut ou les définitions d'extension du fichier selon vosexigences.



9 (Facultatif) Dans l'onglet Exceptions, sélectionnez les noms de fichiers inclus dans la liste blanche etrenseignez les champs obligatoires.

L'exception Nom du fichier est nécessaire pour les applications dont l'exécution doit être autorisée. Parexemple, les applications de chiffrement sur les lecteurs chiffrés.

10 Sous l'onglet Réaction, sélectionnez une mesure préventive. (Facultatif) Ajoutez une notification utilisateur etactivez l'option Signaler l'incident.




Voir aussi Règles d'accès aux fichiers de stockage amovibles, page 110

Création d'une règle d'équipement de type disque dur fixeLes règles d'équipements de type disque dur fixe permettent de contrôler les disques durs attachés àl'ordinateur n'étant pas considérés par le système d'exploitation comme un système de stockageamovible. Elles sont prises en charge sur McAfee DLP Endpoint pour Windows uniquement.

Les règles de disque dur fixe comprennent une définition d'équipement avec une action pour bloquerou mettre en lecture seule, une définition de l'utilisateur final, ainsi qu'une notification utilisateur enoption. Elles ne protègent pas la partition système ou de redémarrage.





4 Sélectionnez Actions | Nouvelle règle | Règle du disque dur fixe.


6 (Facultatif) Modifiez le statut et choisissez un niveau de gravité.

7 Dans l'onglet Condition, sélectionnez une ou plusieurs définitions d'équipements de disque dur fixe.(Facultatif) Affectez des groupes d'utilisateurs finaux à la règle.



9 Sous l'onglet Réaction, sélectionnez une mesure préventive. Facultatif : ajoutez une notification utilisateur etactivez l'option Signaler l'incident.






Création d'une règle d'équipement CitrixLes règles d'équipement Citrix permettent de bloquer les équipements Citrix mappés avec les sessionsouvertes partagées.

Les règles d'équipement Citrix XenApp sont prises en charge sur les ordinateurs Windows uniquement.Le logiciel McAfee DLP Endpoint peut bloquer les équipements Citrix mappés aux sessions ouvertespartagées. Les lecteurs de disquette, les équipements fixes, les CD, les supports amovibles et leslecteurs réseau peuvent tous être bloqués, de même que les imprimantes et la redirection duPresse-papiers. Vous pouvez attribuer la règle à des utilisateurs finaux spécifiques.





4 Sélectionnez Actions | Nouvelle règle | Règle d'équipement Citrix XenApp.



7 Dans l'onglet Condition, sélectionnez une ou plusieurs ressources.

8 (Facultatif) Affectez des groupes d'utilisateurs finaux à la règle.

9 (Facultatif) Sous l'onglet Exceptions, renseignez les champs obligatoires pour les utilisateurs inclusdans la liste blanche.


Les ressources sélectionnées sont bloquées.

La seule mesure préventive pour les règles Citrix est Bloquer. Vous n'avez pas besoin de la définir dans levolet Réaction.

Création d'une règle d'équipement TrueCryptLes règles d'équipement TrueCrypt permettent de bloquer ou de surveiller les équipements dechiffrement virtuel TrueCrypt ou de les définir en lecture seule. Elles sont prises en charge sur McAfeeDLP Endpoint pour Windows uniquement.

Les règles d'équipement TrueCrypt sont un sous-ensemble des règles d'équipement de stockageamovible. Les équipements de chiffrement virtuel TrueCrypt peuvent être protégés par des règlesd'équipement TrueCrypt ou des règles de protection de stockage amovible.



• Utilisez une règle d'équipement si vous souhaitez bloquer ou surveiller un volume TrueCrypt, ou ledéfinir en lecture seule.

• Utilisez une règle de protection si vous souhaitez une protection des volumes TrueCrypt selon lecontenu.

Le logiciel client McAfee DLP Endpoint traite tous les montages TrueCrypt comme du stockage amovible,même lorsque l'application TrueCrypt écrit sur le disque local.





4 Sélectionnez Actions | Nouvelle règle | Règle d'équipement TrueCrypt.



7 (Facultatif) Sous l'onglet Condition, affectez des groupes d'utilisateurs finaux à la règle.

8 (Facultatif) Sous l'onglet Exceptions, renseignez les champs obligatoires pour les utilisateurs inclusdans la liste blanche.

9 Sous l'onglet Réaction, sélectionnez une mesure préventive. (Facultatif) Ajoutez une notification utilisateur etactivez l'option Signaler l'incident.

Si vous ne sélectionnez pas Signaler l'incident, le Gestionnaire d'incidents DLP ne conservera aucunetrace de l'incident.



Règles d'accès aux fichiers de stockage amoviblesLes règles d'accès aux fichiers de stockage amovible permettent de bloquer l'exécution des fichiersexécutables sur les équipements de type plug-in. Elles sont prises en charge sur les ordinateursMicrosoft Windows uniquement.

Les règles d'accès aux fichiers de stockage amovible bloquent les équipements de stockage amovibleen les empêchant d'exécuter des applications. Vous pouvez spécifier les équipements inclus et exclusdans la règle. Comme certains exécutables (tels que les applications de chiffrement sur deséquipements chiffrés) doivent être autorisés à s'exécuter, la règle comprend un paramètre Nom de fichier| n'est aucun des pour exempter des fichiers nommés de la règle de blocage.

Les règles d'accès aux fichiers utilisent le type de fichier vrai et l'extension pour déterminer les fichiersà bloquer. Le type de fichier vrai identifie le fichier par son type de données enregistré en interne, enfournissant une identification précise, même si l'extension a été changée. Par défaut, la règle bloque

5 Protection des supports amoviblesRègles d'accès aux fichiers de stockage amovibles


les fichiers compressés (.zip, .gz, .jar, .rar et .cab) et les fichiers exécutables(.bat, .bin, .cgi, .com, .cmd, .dll, .exe, .class, .sys et .msi). Vous pouvez personnaliser les définitionsd'extension de fichier pour ajouter d'autres types de fichier requis.

Les règles d'accès aux fichiers bloquent aussi les fichiers exécutables en les empêchant d'être copiés surdes équipements de stockage amovibles, car le pilote de filtre de fichier ne peut pas faire la différenceentre l'ouverture et la création d'un fichier exécutable.

Protection des supports amoviblesRègles d'accès aux fichiers de stockage amovibles 5


5 Protection des supports amoviblesRègles d'accès aux fichiers de stockage amovibles


6 Classification de contenu confidentiel

Les classifications permettent d'identifier et de contrôler le contenu et les fichiers confidentiels.

Sommaire Composants du module Classification Utilisation des classifications Définitions et critères de classification Classification manuelle Documents enregistrés Texte inclus dans la liste blanche Création et configuration de classifications Configuration de composants de classification pour McAfee DLP Endpoint Création de définitions de classification Scénario d'utilisation : intégration du client Titus avec des marqueurs tiers Scénario d'utilisation : intégration de Boldon James Email Classifier avec des critères declassification

Composants du module ClassificationMcAfee DLP utilise deux mécanismes pour classer le contenu confidentiel : les classifications decontenu et les empreintes de contenu ; ainsi que deux modes : classification automatique et manuelle.

Les classifications automatiques sont définies dans McAfee DLP et distribuées par McAfee ePO dans lesstratégies déployées sur les ordinateurs clients. Elles sont ensuite appliquées au contenu en fonctiondes critères qui les définissent. Les classifications manuelles sont appliquées à des fichiers et dese-mails par des utilisateurs autorisés sur leurs ordinateurs clients. La boîte de dialogue de laclassification manuelle est uniquement prise en charge dans McAfee DLP Endpoint pour Windows. Tousles autres produits McAfee DLP permettent de mettre en œuvre des règles de protection des donnéesà partir de classifications manuelles, mais pas de les définir ou de les afficher.

Le module Classification dans McAfee DLP stocke les critères de classification et d'empreintes de contenuet les définitions utilisées pour les configurer. Dans ce module, il est également possible de configurerdes référentiels de documents enregistrés, l'autorisation utilisateur pour la classification manuelle et letexte inclus dans la liste blanche.

Le module fournit les fonctionnalités suivantes :

6


• Classification manuelle : permet de configurer les groupes d'utilisateurs finaux autorisés à classermanuellement du contenu ou à y appliquer des empreintes manuellement.

• Définitions : permet de définir le contenu, les propriétés et l'emplacement des fichiers pour laclassification

• Classification : permet de créer des classifications et de définir des critères de classification etd'empreintes de contenu

• Enregistrer des documents : permet de charger les fichiers contenant du contenu confidentiel connu

• Texte inclus dans la liste blanche : permet de télécharger les fichiers contenant du texte à inclure dans laliste blanche

Les options Documents enregistrés et Texte inclus dans la liste blanche sont uniquement pris en chargedans McAfee DLP Endpoint pour Windows.

Utilisation des classificationsLes classifications permettent d'identifier et de surveiller le contenu confidentiel en appliquant desempreintes de contenu ou des classifications de contenu aux fichiers et à leur contenu.

McAfee DLP identifie et surveille le contenu confidentiel à l'aide de classifications définies parl'utilisateur. Tous les produits McAfee DLP prennent en charge les classifications du contenu, ce quisignifie qu'ils peuvent les appliquer en les affectant à des règles de protection des données, decontrôle des équipements ou de découverte. Tous les produits McAfee DLP permettent de mettre enœuvre des empreintes de contenu, mais seul McAfee DLP Endpoint pour Windows peut les appliquer.Les empreintes de contenu apposent une étiquette aux informations confidentielles. Cette étiquettereste associée au contenu, même si celui-ci est copié dans un autre document ou s'il est enregistrésous un autre format.

Classification de contenu

Les classifications de contenu comprennent des fichiers de données et de conditions qui définissent lecontenu confidentiel. Pour la classification automatique, les critères de classification sont comparés aucontenu chaque fois qu'une règle de protection des données, de découverte Endpoint ou McAfee DLPDiscover est déclenchée. Pour la classification manuelle, la classification est incorporée au fichier ou àl'e-mail sous forme de marqueur physique. Les classifications de contenu manuelles sont persistanteset restent dans le fichier lorsqu'il est copié vers le stockage, joint à un e-mail ou téléchargé vers unsite web comme SharePoint.

Les classifications de contenu automatiques sont prises en charge sur tous les produits McAfee DLP.Les règles de protection des données qui utilisent des classifications manuelles sont mises en œuvresur tous les produits McAfee DLP, mais seul McAfee DLP Endpoint pour Windows comporte la boîte dedialogue de classification manuelle permettant aux utilisateurs de classer les fichiers.

Les critères de classification du contenu peuvent détecter des modèles de texte sensibles, des entréesde dictionnaire et des mots-clés, seuls ou en combinaison. Ces combinaisons peuvent simplementconsister en un ensemble de plusieurs propriétés nommées, ou en des propriétés liées par unerelation définie, appelée proximité. Elles permettent également de définir des conditions relatives aufichier, telles que le type de ce fichier, les propriétés du document, le fait que le fichier soit chiffré ounon, ou l'emplacement du contenu dans le fichier (en-tête/corps/pied de page).

Empreintes de contenu

Les critères d'empreintes de contenu sont appliqués aux fichiers sur la base de leur contenu. Il existetrois options :

6 Classification de contenu confidentielUtilisation des classifications


• Selon l'application : application avec laquelle le fichier a été créé ou modifié.

• Selon l'emplacement : partage réseau ou définition de l'équipement de stockage amovible où lefichier est stocké.

• Sur le web : adresses web sur lesquelles les fichiers ont été ouverts ou téléchargés.

Toutes les données et les conditions de fichiers disponibles pour les critères de classification le sontégalement pour les critères d'empreintes de contenu. Les empreintes peuvent ainsi combiner lesfonctionnalités des deux types de critères.

Les signatures d'empreinte de contenu sont stockées dans les attributs étendus (EA) du fichier, dansl'autre flux de données (ADS) ou dans un dossier caché (ODB$). Vous pouvez sélectionner latechnologie que vous préférez sur la page Suivi du contenu de la configuration du client Windows. Cestechnologies sont appliquées à un fichier lorsqu'il est enregistré. Le principe est le même pour lesempreintes de contenu automatiques et manuelles. Si un utilisateur copie ou déplace du contenu surlequel des empreintes ont été appliquées vers un autre fichier, les critères d'empreintes sont appliquésà ce fichier. Si le contenu auquel une empreinte est appliquée est supprimé du fichier, les signaturesd'empreinte de contenu sont également supprimées. Si le fichier est copié sur un système qui neprend pas en charge les EA ou les ADS (par exemple, SharePoint), les critères d'empreinte sontperdus.

McAfee DLP Endpoint applique des critères d'empreintes de contenu aux fichiers sitôt qu'une stratégieest appliquée, que la classification soit utilisée dans une règle de protection ou non.

Application de critères de classification

McAfee DLP applique les critères à un fichier, un e-mail ou une demande web de l'une des manièressuivantes :

• McAfee DLP Prevent applique des critères lorsqu'un e-mail ou une demande web correspond à uneclassification configurée.

• McAfee DLP Endpoint applique des critères lorsque :

• Le fichier correspond à une classification configurée.

• Le fichier ou du contenu confidentiel est déplacé ou copié dans un nouvel emplacement.

• Une analyse de découverte détecte une correspondance pour un fichier.

• Un e-mail ou une demande web correspond à une classification configurée.

• Un utilisateur autorisé applique manuellement des critères à un fichier.

Voir aussi Création de critères de classification, page 129Création de critères d'empreintes de contenu, page 131Affectation d'autorisations de classification manuelle, page 132

Classification par destination de fichierEn plus de classer le contenu en fonction de son emplacement d'origine, vous pouvez classer etcontrôler sa destination d'envoi. Dans le domaine de la prévention des fuites de données, cettefonction est appelée données mobiles.

Les règles de protection des fichiers qui contrôlent les destinations sont les suivantes :

• Règles Protection du cloud

• Règles Protection de la messagerie

Classification de contenu confidentielUtilisation des classifications 6


• Règles de protection mobile

• Règles Protection des communications réseau (sortantes)

• Règles Protection contre l'impression

• Règles Protection des périphériques de stockage amovibles

• Règles de protection web

Utilisation de la messagerieMcAfee DLP Endpoint protège les données confidentielles dans l'en-tête, le corps ou les pièces jointesdes e-mails envoyés. La fonction de découverte du stockage des e-mails détecte les e-mails contenantdes données confidentielles dans les fichiers OST ou PST, puis les marque ou les met en quarantaine.

McAfee DLP Endpoint protège le contenu confidentiel des e-mails. Pour ce faire, il ajoute desclassifications au contenu et bloque l'envoi des e-mails contenant des données confidentielles. Lastratégie de protection de la messagerie permet de définir plusieurs règles pour différents utilisateurset destinations d'e-mails, ou pour des e-mails protégés par un chiffrement ou la gestion des droits.Les règles peuvent être activées pour McAfee DLP Endpoint pour Windows, McAfee DLP Prevent ou lesdeux. Les classifications manuelles ajoutées par les utilisateurs McAfee DLP Endpoint pour Windowssont prises en charge par McAfee DLP Prevent.

McAfee DLP Prevent for Mobile Email applique les classifications pour analyser les e-mails envoyés àdes appareils mobiles. Les règles peuvent enregistrer des preuves et crée des incidents pouvant êtreaffectés à des cas.

Voir aussi Règles de protection de la messagerie, page 147

Définition de paramètres réseauLes définitions de réseau servent de critères de filtre dans les règles de protection du réseau.

• L'option Adresses réseau permet de surveiller les connexions réseau entre une source externe etun ordinateur managé. La définition peut être une adresse unique, un intervalle ou un sous-réseau.Vous pouvez inclure et exclure des adresses réseau définies dans des règles de protection descommunications réseau.

• Les définitions de ports réseau dans les règles de protection des communications réseau vouspermettent d'exclure des services spécifiques définis par leurs ports réseau. La liste des servicescourants et des ports correspondants est intégrée. Vous pouvez modifier les éléments de la liste oucréer vos propres définitions.

• Les définitions de partages réseau permettent de spécifier des dossiers réseau partagés dans lesrègles de protection de partage réseau. Vous pouvez inclure ou exclure des partages définis.

Utilisation des imprimantesLes règles de protection contre l'impression sont utilisées pour gérer à la fois les imprimantes localeset réseau et bloquer ou surveiller l'impression de documents confidentiels.

Les règles de protection contre l'impression de McAfee DLP Endpoint prennent en charge le modeavancé et les imprimantes V4. Les utilisateurs finaux et les imprimantes définis peuvent être inclus ouexclus d'une règle. Les imprimantes image et PDF peuvent être incluses dans la règle.

Les règles de protection contre l'impression peuvent inclure des définitions d'applications. Vous pouvezdéfinir des processus inclus dans la liste blanche qui sont exclus des règles de protection contrel'impression sur la page Protection contre l'impression de la configuration du client Windows.



Contrôle des informations téléchargées sur des sites webLes adresses web sont utilisées dans les règles de protection web.

Vous pouvez utiliser les définitions d'adresses web pour bloquer la publication de données marquéesvers des destinations web définies (sites web ou pages spécifiques d'un site web) ou pour empêcherdes données marquées d'être publiées sur des sites web non définis. En général, les définitionsd'adresses web définissent tous les sites web, aussi bien internes qu'externes, sur lesquels lapublication de données marquées est autorisée.

Classification en fonction de l'emplacement des fichiersLe contenu confidentiel peut être défini en fonction de son emplacement (lieu de stockage) ou de sonusage (extension de fichier ou application).

McAfee DLP Endpoint fait appel à plusieurs méthodes permettant de localiser et de classifier ducontenu confidentiel. Données stockées passivement est le terme utilisé pour décrire lesemplacements des fichiers. Il classifie des contenus en posant des questions comme « Où setrouve-t-il dans le réseau ? » ou « Dans quel dossier se trouve-t-il ? ». Données en cours d'utilisationest le terme utilisé pour définir un contenu en fonction de son mode d'utilisation ou de sonemplacement. Il classifie des contenus en posant des questions comme « Quelle applicationl'appelle ? » ou « Quelle est l'extension du fichier ? ».

Les règles de découverte de McAfee DLP Endpoint détectent vos données stockées passivement. Ellespeuvent rechercher du contenu dans des fichiers d'ordinateurs clients ou dans des fichiers de stockagedes e-mails (PST, PST mappé et OST). Selon les propriétés, les applications ou les emplacements dansla classification de la règle, la règle peut rechercher des emplacements de stockage spécifiés etappliquer des stratégies de chiffrement, de mise en quarantaine ou de gestion des droits Sinon, lesfichiers peuvent être marqués ou classés afin de contrôler la façon dont ils sont utilisés.

Extraction de texteL'extracteur de texte analyse le contenu des fichiers que vous ouvrez ou copiez et le compare auxmodèles textuels et définitions de dictionnaire figurant dans les règles de classification. Lorsqu'unecorrespondance est détectée, les critères sont appliqués au contenu.

McAfee DLP prend en charge les caractères accentués. Lorsqu'un fichier texte ASCII contient unmélange de caractères accentués (par ex. français et espagnols) ainsi que des caractères latinsstandard, l'extracteur de texte risque de ne pas identifier correctement le jeu de caractères. Ceproblème se produit dans tous les programmes d'extraction de texte. Il n'existe aucune méthode outechnique connue permettant d'identifier la page de code ANSI dans ce type de cas. Lorsquel'extracteur de texte ne peut pas identifier la page de code, les modèles de texte et les signaturesd'empreintes de contenu ne sont pas reconnus. Le document ne peut pas être correctement classé etl'action de blocage ou de surveillance appropriée ne peut pas être appliquée. Pour contourner ceproblème, McAfee DLP utilise une page de code de secours. Celle-ci désigne soit le langage par défautde l'ordinateur soit un langage différent défini par l'administrateur.

Extraction de texte avec McAfee DLP Endpoint

L'extraction de texte est prise en charge sur les ordinateurs Microsoft Windows et Apple OS X.

L'extracteur de texte peut exécuter plusieurs processus, selon le nombre de cœurs du processeur.

• Un processeur à simple cœur exécute un seul processus.

• Un processeur à double cœur exécute jusqu'à deux processus.

• Un processeur multicœurs exécute jusqu'à trois processus simultanément.

Classification de contenu confidentielUtilisation des classifications 6


Si plusieurs utilisateurs sont connectés, chacun a son propre ensemble de processus. Ainsi, le nombred'extracteurs de texte dépend du nombre de cœurs et de sessions utilisateur. Vous pouvez visualiserles différents processus dans le Gestionnaire des tâches de Windows. L'utilisation maximale de lamémoire pour l'extracteur de texte est configurable. La valeur par défaut est de 75 Mo.

Catégorisation des applications dans McAfee DLP EndpointAvant de créer des classifications ou des jeux de règles fondés sur des applications, vous devez savoirde quelle façon ces dernières sont catégorisées dans McAfee DLP Endpoint et l'effet que cela a sur lesperformances du système.

Cette catégorisation n'est pas prise en charge sur McAfee DLP Endpoint for Mac.

Le logiciel McAfee DLP Endpoint répartit les applications en quatre catégories appelées stratégies. Cescatégories définissent le mode de fonctionnement du logiciel vis-à-vis des différentes applications.Vous pouvez modifier la stratégie afin d'obtenir le meilleur compromis entre sécurité et performancesde l'ordinateur.

Voici les stratégies, classées par ordre de sécurité décroissant :

• Editeur : toute application permettant de modifier le contenu des fichiers. Cette catégorie inclutles éditeurs « classiques » comme Microsoft Word et Microsoft Excel, ainsi que les navigateurs, leslogiciels graphiques, les logiciels de comptabilité, etc. La plupart des applications sont des éditeurs.

• Explorateur : une application qui permet de copier ou de déplacer les fichiers sans les modifier,par exemple l'Explorateur Microsoft Windows ou certaines applications de shell.

• Approuvée : application nécessitant un accès sans restriction aux fichiers à des fins d'analyse. Ontrouvera par exemple McAfee® VirusScan® Enterprise, les logiciels de sauvegarde et les logiciels derecherche sur les postes de travail comme Google Desktop.

• Archiveur : application capable de traiter les fichiers à nouveau. A titre d'exemple, citons leslogiciels de compression tels que WinZip et les applications de chiffrement telles que le logicielMcAfee Endpoint Encryption ou PGP.

Utilisation des stratégies DLP

Le cas échéant, vous pouvez modifier la stratégie pour optimiser les performances. Ainsi, le hautniveau d'observation dont bénéficie une application de type éditeur n'est pas adapté au processusd'indexation constante d'une application de recherche sur les postes de travail. L'impact sur lesperformances est très élevé, alors que le risque d'une fuite de données émanant d'une telleapplication est faible. Il est par conséquent préférable d'utiliser la stratégie approuvée avec cesapplications.

Vous pouvez remplacer la stratégie par défaut en accédant à la page Stratégie DLP | Paramètres |Stratégie d'application. Vous pouvez créer et supprimer autant de remplacements que nécessaire pourtester et affiner la stratégie.

Vous pouvez également créer plusieurs modèles pour une même application et lui affecter plusieursstratégies. Utilisez ces différents modèles dans plusieurs classifications et règles de sorte à obtenir desrésultats différents selon le contexte. Vous devez cependant être vigilant lors de l'affectation de cesmodèles dans des jeux de règles, afin d'éviter les conflits. McAfee DLP Endpoint résout les conflitspotentiels en appliquant la hiérarchie suivante : archiveur > stratégie approuvée > explorateur >éditeur. Les applications de type éditeur sont donc celles qui ont le rang le plus bas. Si une applicationpossède le type éditeur dans un modèle et un autre type dans un autre modèle du même jeu derègles, McAfee DLP Endpoint ne considérera pas l'application comme un éditeur.



Définitions et critères de classificationLes définitions et critères de classification contiennent une ou plusieurs conditions décrivant lespropriétés du contenu ou des fichiers.

Tableau 6-1 Conditions disponibles

Propriété S'appliqueà :

Définition Produits

Modèle avancé Définitions,critères

Expressions régulières ou expressions utiliséespour détecter des données telles que des datesou des numéros de cartes de crédit.

Tous les produits

Dictionnaire Définitions,critères

Ensembles de mots clés et expressionsconnexes, tels que du contenu obscène ou de laterminologie médicale.

Mot clé Critères Valeur de chaîne.Vous pouvez ajouter plusieurs mots clés à laclassification de contenu ou aux critèresd'empreintes de contenu. La valeur booléennepar défaut pour plusieurs mots-clés est OR,mais vous pouvez aussi utiliser AND.

Proximité Critères Définit une liaison entre deux propriétés enfonction de leur emplacement relatif l'un parrapport à l'autre.Vous pouvez utiliser des modèles avancés, desdictionnaires ou des mots clés pour l'une oul'autre des propriétés.

Le paramètre Proximité est défini comme« inférieur à x caractères », la valeur par défautétant de 1. Vous pouvez également spécifier leparamètre Nombre de correspondances pourdéterminer le nombre minimal decorrespondances nécessaire pour générer uneoccurrence.

Propriétés dedocuments

Définitions,critères

Contient les options suivantes :• Toute propriété • Dernier

enregistrementpar

• Auteur • Nom dugestionnaire

• Catégorie • Sécurité

• Commentaires • Objet

• Société • Modèle

• Mots clés • Titre

Toute propriété est une propriété définie parl'utilisateur.

Classification de contenu confidentielDéfinitions et critères de classification 6


Tableau 6-1 Conditions disponibles (suite)



Chiffrement desfichiers

Critères Contient les options suivantes :• Non chiffré*

• Auto-extracteur chiffré McAfee

• McAfee Endpoint Encryption

• Chiffrement Microsoft Rights Management*

• Chiffrement Seclore Rights Management

• Types de chiffrement non pris en charge oufichier protégé par mot de passe*

• McAfee DLPEndpoint pourWindows (toutesles options)

• McAfee DLPDiscover etMcAfee DLPPrevent (optionsavec *)

Extension defichier


Groupes de types de fichiers pris en charge, parexemple les fichiers MP3 et PDF.

Tous les produits

Informations surle fichier


Contient les options suivantes :• Date d'accès • Nom du fichier*

• Date de création • Propriétaire dufichier

• Date demodification

• Taille du fichier*

• Extension defichier*

• Tous les produits

• McAfee DLPPrevent (optionsavec *)

Emplacementdans le fichier

Critères Section du fichier dans laquelle se trouvent lesdonnées.• Documents Microsoft Word : le moteur de

classification peut identifier les valeurs de typeEn-tête, Corps et Pied de page.

• Documents PowerPoint : WordArt estconsidéré comme une valeur de type En-tête,tout le reste est identifié comme étant de typeCorps.

• Autres documents : les valeurs de typeEn-tête et Pied de page ne sont pasdisponibles. Ces critères de classification nebloquent pas le document lorsqu'ils sontsélectionnés.

Balises tierces Critères Cette propriété est utilisée pour spécifier lesnoms et les valeurs de champ Titus.

• McAfee DLPEndpoint pourWindows

• McAfee DLPPrevent

Type de fichiervrai


Groupes de types de fichier.Par exemple, le groupe intégré Microsoft Excelcomprend les fichiers Excel XLS, XLSX et XML,ainsi que les fichiers Lotus WK1 et FM3, lesfichiers CSV et DIF, les fichiers iWork d'Apple, etbien d'autres.

Tous les produits

6 Classification de contenu confidentielDéfinitions et critères de classification


Tableau 6-1 Conditions disponibles (suite)



Modèled'application

Définitions Application ou fichier exécutable qui accède aufichier.


• McAfee DLPEndpoint for Mac

Grouped'utilisateursfinaux

Définitions Permet de définir des autorisations declassification manuelles.

Partage réseau Définitions Partage réseau dans lequel le fichier est stocké. McAfee DLPEndpoint pourWindowsListe d'URL Définitions URL d'accès au fichier.

Voir aussi Création de définitions de classification, page 134

Définitions de dictionnaireUn dictionnaire est un ensemble de mots ou d'expressions clés. Chaque entrée d'un dictionnaire sevoit affecter un score.

Les critères de classification de contenu et d'empreintes de contenu utilisent des dictionnaires spécifiéspour classer un document lorsqu'un seuil prédéfini (le score total) a été dépassé, c'est-à-dire sisuffisamment de mots du dictionnaire apparaissent dans le document.

Le score affecté constitue la différence entre un dictionnaire et une chaîne dans la définition d'un motclé.

• Une classification de mot clé marque toujours le document si l'expression est présente.

• Une classification de dictionnaire vous apporte plus de flexibilité. En effet, vous pouvez définir unseuil, ce qui rend la classification relative.

Les scores affectés peuvent être négatifs ou positifs ; vous pouvez ainsi rechercher des mots ou desexpressions si d'autres mots ou expressions sont présents.

Le logiciel McAfee DLP comporte plusieurs dictionnaires intégrés, lesquels contiennent des termescouramment utilisés dans les secteurs de la santé, bancaire, financier et autres. En outre, vous pouvezcréer vos propres dictionnaires. Les dictionnaires peuvent être créés (et modifiés) manuellement oupar copier/coller à partir d'autres documents.

Limitations

L'utilisation des dictionnaires comporte certaines limites. Les dictionnaires sont enregistrés au formatUnicode (UTF-8) et peuvent donc être rédigés dans toutes les langues. Les descriptions suivantess'appliquent aux dictionnaires rédigés en anglais. De manière générale, elles s'appliquent égalementaux autres langues, mais des problèmes imprévus peuvent survenir pour certaines d'entre elles.

La recherche de correspondances dans le dictionnaire présente les caractéristiques suivantes :

• Elle n'est sensible à la casse que lorsque vous créez des entrées de dictionnaire qui le sontelles-mêmes. Les dictionnaires intégrés, qui ont été créés avant l'ajout de cette fonctionnalité, nesont pas sensibles à la casse.

• Il est possible que des correspondances soient éventuellement trouvées pour des sous-chaînes oudes expressions complètes.

• Elle recherche les expressions correspondantes, espaces compris.



Si la recherche de sous-chaînes est définie, faites bien attention lorsque vous saisissez des motscourts, qui risquent de renvoyer des faux positifs. Par exemple, une entrée de dictionnaire comme« chat » signalerait les mots « rachat » et « chatterton ». Pour éviter ces faux positifs, utilisezl'option de recherche de correspondances par expressions complètes ou employez des expressionsimprobables d'un point de vue statistique (SIP, Statistically Improbable Phrases) pour obtenir lesmeilleurs résultats. Les entrées similaires constituent une autre source de faux positifs. Par exemple,dans une liste de maladies HIPAA, « cœliaque » et « maladie cœliaque » apparaissent comme desentrées séparées. Si la seconde expression apparaît dans un document et que la recherche desous-chaînes correspondantes est spécifiée, la recherche génère deux occurrences (une pour chaqueentrée), ce qui fausse le score total.

Voir aussi Création ou importation d'une définition de dictionnaire, page 135

Définitions de modèle avancéLes modèles avancés utilisent des expressions régulières qui permettent de mettre en correspondancedes modèles complexes, comme dans des numéros de sécurité sociale ou des numéros de cartes decrédit. Les définitions utilisent la syntaxe d'expression régulière Google RE2.

Les définitions de modèle avancé comportent un score (obligatoire), comme les définitions dedictionnaire. Elles peuvent également contenir un programme de validation, c'est-à-dire un algorithmeutilisé pour tester des expressions régulières. L'utilisation du programme de validation adapté peutréduire de façon significative les risques de faux positifs. La définition peut contenir une sectionExpressions ignorées pour réduire davantage les risques de faux positifs. Les expressions ignoréespeuvent être des expressions régulières ou des mots clés. Vous pouvez importer plusieurs mots cléspour accélérer la création des expressions.

Les modèles avancés signalent le texte confidentiel. Les modèles de texte confidentiel sont mis enévidence par le biais du surlignage de correspondances.

Si un modèle détecté et un modèle ignoré sont spécifiés, le modèle ignoré est prioritaire. Vous pouvezainsi spécifier une règle générale et y ajouter des exceptions sans devoir la réécrire.

Voir aussi Création d'un modèle avancé, page 136

Classification du contenu en fonction des propriétés dedocument ou des informations de fichierLes définitions de propriétés de document permettent de classer le contenu selon des valeurs demétadonnées prédéfinies. Les définitions d'informations sur le fichier classent le contenu parmétadonnées de fichier.

Propriétés de documents

Les propriétés de document peuvent être récupérées pour n'importe quel document Microsoft Office ouPDF et utilisées dans les définitions de classification. Vous pouvez rechercher des correspondancespartielles en utilisant la comparaison Contient.

Il existe trois types de propriétés de document :

6 Classification de contenu confidentielDéfinitions et critères de classification


• Propriétés prédéfinies : propriétés standard telles que l'auteur et le titre.

• Propriétés personnalisées : propriétés personnalisées ajoutées aux métadonnées du document,autorisées par certaines applications telles que Microsoft Word. Une propriété personnalisée peutégalement faire référence à une propriété de document standard qui ne se trouve pas sur la listedes propriétés prédéfinies. En revanche, elle ne peut pas être un double d'une propriété qui setrouve sur la liste.

• Toute propriété : définit une propriété seulement par sa valeur. Cette fonctionnalité est utile dansl'éventualité où le mot clé a été saisi dans le mauvais paramètre de propriété ou lorsque le nom depropriété n'est pas connu. Par exemple, l'ajout de la valeur Secret au paramètre Toute propriété classetous les documents ayant le mot Secret dans au moins une propriété.

Informations sur le fichier

Les définitions d'informations sur le fichier sont utilisées dans les règles de protection des données etde découverte, ainsi que dans les classifications pour augmenter la granularité. Ces informations sontla date de création, la date de modification, le propriétaire et la taille du fichier. Les propriétés de datepeuvent être définies de manière exacte (avant, après, entre) ou relative (au cours des X derniersjours, des X dernières semaines, des X dernières années). Type de fichier (extensions uniquement) est une listeextensible prédéfinie d'extensions de fichier.

McAfee DLP Prevent ne peut pas détecter les conditions de fichier Date d'accès, Date de création, Date demodification et Propriétaire du fichier, car elles ne sont pas incorporées dans le fichier. Par conséquent, ellessont perdues lorsque le fichier est en mouvement, ou qu'il est chargé sur le cloud ou un site web :

Modèles d'applicationUn modèle d'application permet de contrôler des applications spécifiques à l'aide de propriétés tellesque le nom du produit ou du fournisseur, le nom du fichier exécutable ou le titre de la fenêtre.

Un modèle d'application peut être défini pour une seule application ou un groupe d'applicationssimilaires. Il existe des modèles intégrés (prédéfinis) pour un certain nombre d'applications courantestelles que l'Explorateur Windows, les navigateurs Web, les applications de chiffrement et les clients demessagerie.

La définition du modèle d'application contient un champ avec une case à cocher pour le systèmed'exploitation. L'analyse des fichiers mappés en mémoire est une fonction de Windows uniquement.Elle est désactivée automatiquement lorsque vous sélectionnez des applications OS X.

Les modèles d'application pour Microsoft Windows peuvent utiliser l'un des paramètres suivants :

• Ligne de commande : permet d'utiliser des arguments de ligne de commande, par exemple :java-jar, en mesure de contrôler des applications qui ne pouvaient pas l'être auparavant.

• Répertoire de fichiers exécutables : répertoire où se trouve le fichier exécutable. Ce paramètrepermet notamment de contrôler les applications U3.

• Hachage de fichier exécutable : nom d'affichage de l'application, avec un hachaged'identification SHA2.

• Nom de fichier exécutable : en règle générale, il s'agit du même nom que le nom d'affichage(moins le hachage SHA2), mais il peut être différent si le fichier est renommé.

• Nom du fichier exécutable d'origine : identique au nom de fichier exécutable, sauf si le fichier aété renommé.

• Nom de produit : nom générique du produit, par exemple Microsoft Office 2012, s'il figure dansles propriétés du fichier exécutable.



• Nom du fournisseur : nom de la société, s'il figure dans les propriétés du fichier exécutable.

• Titre de fenêtre : valeur dynamique qui change au moment de l'exécution pour inclure le nom defichier actif.

A l'exception du répertoire de fichiers exécutables et du nom de l'application SHA2, tous lesparamètres acceptent des correspondances de sous-chaînes.

Les modèles d'application pour OS X peuvent utiliser l'un des paramètres suivants :

• Ligne de commande

• Répertoire exécutable

• Hachage de fichier exécutable

• Nom de fichier exécutable

Classification manuelleLes utilisateurs finaux peuvent appliquer manuellement des classifications ou des critèresd'identification par empreinte à des fichiers ou les en supprimer.

La fonctionnalité de classification manuelle applique une classification de fichier. Autrement dit, lesclassifications appliquées ne doivent pas nécessairement être liées au contenu. Par exemple, unutilisateur peut placer une classification PCI sur n'importe quel fichier. Le fichier ne doit pasnécessairement contenir des numéros de carte de crédit. La classification manuelle est incorporéedans le fichier. Dans les fichiers Microsoft Office, la classification est stockée en tant que propriété dedocument. Dans d'autres fichiers pris en charge, elle est stockée en tant que propriété XMP. Pour lese-mails, elle est ajoutée en tant que texte de marquage.

Lorsque vous configurez une classification manuelle, vous pouvez également autoriser un utilisateur àappliquer manuellement des empreintes de contenu.

La fonctionnalité de classification manuelle fonctionne avec McAfee DLP Endpoint, McAfee DLP Preventet McAfee DLP Discover. Les caractéristiques de prise en charge pour la classification manuelle sont lessuivantes :

• Les utilisateurs finaux McAfee DLP Endpoint pour Windows peuvent classer les fichiersmanuellement.

• Les clients McAfee DLP Endpoint (sur les postes clients Windows et Mac) et McAfee DLP Preventpeuvent détecter les fichiers classés manuellement (dans les pièces jointes d'e-mails, par exemple)et prendre les mesures appropriées en fonction de la classification.

• McAfee DLP Discover peut détecter les classifications manuelles dans les analyses de classificationet de correction et prendre les mesures appropriées dans les analyses de correction.

Par défaut, les utilisateurs finaux ne sont pas autorisés à afficher, ajouter ou supprimer lesclassifications, mais vous pouvez affecter des classifications spécifiques à certains groupesd'utilisateurs ou à tout le monde. Les utilisateurs concernés peuvent ensuite appliquer ces classificationsà des fichiers dans le cadre de leur travail. La classification manuelle peut aussi vous permettre demaintenir la stratégie de classification de votre organisation, même dans des cas spéciauxd'informations confidentielles ou uniques que le système ne traite pas automatiquement.

Lorsque vous configurez l'autorisation pour la classification manuelle, vous avez la possibilitéd'autoriser l'application manuelle des classifications de contenu, de l'identification de contenu parempreinte ou des deux.

6 Classification de contenu confidentielClassification manuelle


Prise en charge de la classification manuelle

McAfee DLP offre deux types de prise en charge pour les classifications manuelles : une pour lesfichiers Microsoft Office et une pour tous les types de fichiers pris en charge.

Les applications Microsoft Office (Word, Excel et PowerPoint) et Microsoft Outlook sont prises encharge au niveau de la création de fichier. Les utilisateurs finaux peuvent choisir de classer les fichiersen cliquant sur l'icône de classification manuelle. Vous pouvez également définir des optionspermettant de forcer les utilisateurs à classer les fichiers en activant la fenêtre pop-up de classificationmanuelle lorsque des fichiers sont enregistrés ou des e-mails Outlook sont envoyés.

La classification manuelle d'un e-mail est uniquement applicable pour un thread spécifique. Si vousenvoyez le même e-mail deux fois dans différents threads, vous devez le classer deux fois. Pour lese-mails, les informations ajoutées à l'en-tête ou au pied de page (défini sur la page Paramètres générauxde la classification manuelle) sont ajoutées en texte clair.

Tous les types de fichiers pris en charge peuvent être classés à partir de l'Explorateur Windows à l'aidedu menu contextuel.

Voir aussi Affectation d'autorisations de classification manuelle, page 132

Propriétés incorporéesLes propriétés incorporées à l'aide de la classification manuelle permettent l'intégration d'applicationstierces avec les documents classés par McAfee DLP.

Le tableau suivant indique les types de fichiers pris en charge et la technologie appliquée.

Classification de contenu confidentielClassification manuelle 6


Type de document Type de fichier vrai Méthode

Microsoft Word DOC, DOCX, DOCM, DOT, DOTX, DOTM propriété de document

Microsoft PowerPoint PPT, PPTX, PPS, PPSX, PPSM, PPTM, POT,POTM, POTX

Microsoft Excel XLS, XLSX, XLSM, XLSB, XLT, XLTX, XLTM

Document XPS XPS

Portable Document Format PDF propriété XMP

Formats audio et vidéo AIF, AIFF, AVI, MOV, MP2, MP3, MP4, MPA,MPG, MPEG, SWF, WAV, WMA, WMV

Formats graphiques etimages

PNG, GIF, JPG, JPEG, TIF, TIFF, BMP, DNG,WMF, PSD

Le tableau suivant présente les propriétés internes.

Classification Nom de la propriété

Classification de fichier manuelle DLPManualFileClassification

Classification du fichier par auteur de la dernièremodification

DLPManualFileClassificationLastModifiedBy

Classification du fichier par date de dernièremodification

DLPManualFileClassificationLastModificationDate

Classification du fichier par version DLPManualFileClassificationVersion

Classification automatique pour la découverte determinaux

DLPAutomaticFileClassification

Classification automatique par version pour ladécouverte de terminaux

DLPAutomaticFileClassificationVersion

Configuration de la classification manuelleIl existe plusieurs options de classification manuelle qui déterminent le mode de fonctionnement de lafonctionnalité et les messages affichés.

La classification manuelle permet aux utilisateurs finaux de McAfee DLP Endpoint pour Windowsd'ajouter des classifications aux fichiers à partir du menu contextuel de l'Explorateur Windows. Pourles applications Microsoft Office et Outlook, des classifications manuelles peuvent être appliquées lorsde l'enregistrement de fichiers ou de l'envoi d'e-mails. Tous les produits McAfee DLP permettentd'appliquer des règles sur la base de classifications manuelles.


1 Dans McAfee ePO, sélectionnez Menu | Protection des données | Classification.

2 Cliquez sur Classification manuelle.

3 Dans la liste déroulante Afficher, sélectionnez Paramètres généraux.

6 Classification de contenu confidentielClassification manuelle


4 Sélectionnez ou désélectionnez des options pour optimiser la classification en fonction des besoinsde votre entreprise.

5 (Facultatif) Sélectionnez des informations complémentaires à ajouter à l'e-mail en cliquant sur et en sélectionnant une définition de notification, ou en en créant une.

Les notifications prennent en charge la fonctionnalité Paramètres locaux pour toutes les langues prisesen charge. La prise en charge pour les langues s'applique également aux commentaires ajoutésaux e-mails.

Voir aussi Personnalisation des messages aux utilisateurs finaux, page 157

Documents enregistrésLa fonction de documents enregistrés est une extension de l'identification de contenu par empreinteselon l'emplacement. Elle fournit aux administrateurs un autre moyen de définir l'emplacement desinformations confidentielles et d'empêcher que celles-ci soient diffusées de manière non autorisée.

McAfee DLP Discover et McAfee DLP Endpoint for Mac ne prennent pas en charge les documentsenregistrés.

Les documents enregistrés sont prédéfinis comme confidentiels. C'est par exemple le cas des feuillesde calcul d'estimation des ventes pour le trimestre à venir. Le logiciel McAfee DLP catégorise et prenddes empreintes du contenu de ces fichiers. Les signatures créées sont linguistiquement neutres, ce quisignifie que le processus fonctionne pour toutes les langues. Lorsque vous créez un package, lessignatures sont chargées dans la base de données McAfee ePO pour être distribuées sur tous lespostes de travail au niveau du terminal. Le client McAfee DLP Endpoint installé sur les ordinateursgérés contrôle la distribution de documents contenant des fragments de contenu enregistrés.

Pour utiliser les documents enregistrés, vous devez télécharger des fichiers sur l'onglet Enregistrer desdocuments du module de classification, ce qui les affecte à une classification à mesure que vous lestéléchargez. Le client installé au niveau du terminal ignore les classifications qui ne sont pasapplicables. Par exemple, les packages de documents enregistrés qui ont été classés sur la base depropriétés de fichier sont ignorés si une analyse des e-mails est en cours afin de détecter du contenuconfidentiel.

Il existe deux options de visualisation : Statistiques et Classifications. La vue Statistiques affiche lenombre de fichiers, leur taille, le nombre de signatures, etc. en indiquant les valeurs totales dans levolet de gauche et les statistiques par fichier dans le volet de droite. Vous pouvez utiliser ces donnéespour supprimer des packages de moindre importance si le nombre limite de signatures est presqueatteint. La vue Classifications affiche les fichiers téléchargés par classification. Des informations sur ladernière création de package et les modifications apportées à la liste des fichiers sont affichées dans lecoin supérieur droit.

Lorsque vous créez un package, le logiciel traite tous les fichiers de la liste et charge les empreintesdans la base de données McAfee ePO pour les distribuer. Lorsque vous ajoutez ou supprimez desdocuments, vous devez créer un package. Le logiciel ne fait aucune tentative pour calculer si desempreintes ont déjà été créées pour certains fichiers. Il traite toujours l'ensemble de la liste.

La commande Créer un package s'applique simultanément à la liste des documents enregistrés et àcelle des documents inclus dans la liste blanche, afin de créer un seul paquet. Le nombre maximal designatures par package est de 1 million chacun pour les documents enregistrés et les documents inclusdans la liste blanche.

Voir aussi Téléchargement de documents enregistrés, page 129

Classification de contenu confidentielDocuments enregistrés 6


Texte inclus dans la liste blancheMcAfee DLP ignore le texte inclus dans la liste blanche lors du traitement du contenu du fichier.

McAfee DLP Discover et McAfee DLP Endpoint for Mac ne prennent pas en charge le texte inclus dans laliste blanche.

Vous pouvez charger des fichiers contenant du texte dans McAfee ePO pour les inclure dans la listeblanche. Le texte inclus dans la liste blanche n'entraînera pas la classification du contenu, même sicertaines de ses parties correspondent à des critères de classification ou d'empreintes de contenu.Utilisez la liste blanche pour ignorer le texte qui apparaît fréquemment dans des fichiers, tel que leséléments réutilisables, les mentions légales et les informations de copyright.

• Les fichiers à inclure dans la liste blanche doivent contenir au moins 400 caractères.

• Si un fichier contient à la fois des données incluses dans la liste blanche et classifiées, il n'est pasignoré par le système. Tous les critères d'empreintes et de classification de contenu appropriésassociés au contenu restent en vigueur.

Voir aussi Chargement des fichiers vers le texte inclus dans la liste blanche, page 130

Création et configuration de classificationsCréez des classifications et des critères à utiliser dans des règles ou des analyses.

Procédures

• Création d'une classification, page 128Des définitions de classification sont requises dans la configuration des règles dedécouverte et de protection des données.

• Création de critères de classification, page 129Appliquez des critères de classification à des fichiers en fonction de leur contenu et de leurspropriétés.

• Téléchargement de documents enregistrés, page 129Sélectionnez et classez les documents à distribuer sur les ordinateurs clients.

• Chargement des fichiers vers le texte inclus dans la liste blanche, page 130Chargez des fichiers contenant du texte couramment utilisé pour l'inclure dans la listeblanche.

Création d'une classificationDes définitions de classification sont requises dans la configuration des règles de découverte et deprotection des données.



2 Cliquez sur Nouvelle classification.

3 Indiquez un nom et éventuellement une description.

4 Cliquez sur OK.

6 Classification de contenu confidentielTexte inclus dans la liste blanche


5 Ajoutez des groupes d'utilisateurs finaux à la classification manuelle, ou encore des documentsenregistrés à la classification, en cliquant sur Modifier pour le composant respectif.

6 Ajoutez des critères de classification de contenu ou des critères d'empreintes de contenu à l'aide ducontrôle Actions.

Création de critères de classificationAppliquez des critères de classification à des fichiers en fonction de leur contenu et de leurspropriétés.

Les critères de classification de contenu sont créés à partir des définitions de fichiers et de données. Siune définition nécessaire n'existe pas, vous pouvez la créer lors de la définition des critères.



2 Sélectionnez la classification à laquelle vous souhaitez ajouter les critères, puis sélectionnez Actions| Nouveaux critères de classification de contenu.

3 Entrez le nom.

4 Sélectionnez une ou plusieurs propriétés et configurez les entrées de comparaison et de valeur.


• Pour certaines propriétés, vous pouvez cliquer sur ... pour sélectionner une propriété existanteou en créer une.

• Pour ajouter des valeurs à une propriété, cliquez sur +.

• Pour supprimer des valeurs, cliquez sur –.


Voir aussi Utilisation des classifications, page 114

Téléchargement de documents enregistrésSélectionnez et classez les documents à distribuer sur les ordinateurs clients.

McAfee DLP Discover ne prend pas en charge les documents enregistrés.



2 Cliquez sur l'onglet Enregistrer des documents.

3 Cliquez sur Chargement du fichier.

Classification de contenu confidentielCréation et configuration de classifications 6


4 Accédez au fichier et, si un fichier du même nom existe déjà, indiquez si l'ancien fichier doit êtreremplacé par le nouveau. Sélectionnez ensuite une classification.

L'option Chargement du fichier traite un seul fichier. Pour charger plusieurs documents, créez unfichier .zip.

5 Cliquez sur OK.

Le fichier est téléchargé et traité, et des statistiques sont affichées sur la page.

Une fois la liste des fichiers complète, cliquez sur Créer un package. Un package de signatures contenantl'ensemble des documents enregistrés et des documents inclus dans la liste blanche est chargé dans labase de données McAfee ePO pour être distribué sur les ordinateurs clients.

Vous pouvez créer un package ne contenant que les documents enregistrés ou inclus dans la listeblanche en laissant une liste vide. Lorsque les fichiers sont effacés, supprimez-les de la liste et créez unpackage pour appliquer les modifications.

Voir aussi Documents enregistrés, page 127

Chargement des fichiers vers le texte inclus dans la listeblancheChargez des fichiers contenant du texte couramment utilisé pour l'inclure dans la liste blanche.

McAfee DLP Discover ne prend pas en charge le texte inclus dans la liste blanche.



2 Cliquez sur l'onglet Texte inclus dans la liste blanche.

3 Cliquez sur Chargement du fichier.

4 Accédez au fichier et, si un fichier du même nom existe déjà, indiquez si l'ancien fichier doit êtreremplacé par le nouveau.

5 Cliquez sur OK.

Voir aussi Texte inclus dans la liste blanche, page 128

Configuration de composants de classification pour McAfee DLPEndpoint

McAfee DLP Endpoint prend en charge la classification manuelle et l'application de critèresd'identification du contenu par empreinte.

6 Classification de contenu confidentielConfiguration de composants de classification pour McAfee DLP Endpoint


Procédures• Création de critères d'empreintes de contenu, page 131

Appliquez des critères d'empreintes à des fichiers en fonction de l'emplacement du fichierou de l'application.

• Scénario d'utilisation : empreintes basées sur l'application, page 132Vous pouvez classer un contenu comme sensible selon l'application qui l'a produit.

• Affectation d'autorisations de classification manuelle, page 132Définissez les utilisateurs autorisés à classer manuellement les fichiers.

• Scénario d'utilisation : classification manuelle, page 133Les travailleurs dont les tâches exigent la création de routine de fichiers contenant desdonnées sensibles peuvent se voir affecter une autorisation de classification manuelle. Ilspeuvent classer les fichiers à mesure qu'ils les créent dans le cadre de leur flux de travailnormal.

Création de critères d'empreintes de contenuAppliquez des critères d'empreintes à des fichiers en fonction de l'emplacement du fichier ou del'application.



2 Sélectionnez la classification à laquelle les critères doivent être ajoutés.

3 Sélectionnez Actions | Nouveaux critères d'empreintes de contenu puis sélectionnez le type de critèresd'empreintes.

4 Entrez le nom et indiquez des informations supplémentaires en fonction du type de critèred'empreinte.

• Application : cliquez sur ... pour sélectionner une ou plusieurs applications.

• Emplacement : cliquez sur ... pour sélectionner un ou plusieurs partages réseau. Si nécessaire,indiquez le type de support amovible.

• Application web : cliquez sur ... pour sélectionner une ou plusieurs listes d'URL.

5 (Facultatif) Sélectionnez au moins une propriété et configurez les entrées de comparaison et devaleur.


• Pour certaines propriétés, vous pouvez cliquer sur ... pour sélectionner une propriété existanteou en créer une.

• Pour ajouter des valeurs à une propriété, cliquez sur +.

• Pour supprimer des valeurs, cliquez sur –.


Voir aussi Utilisation des classifications, page 114

Classification de contenu confidentielConfiguration de composants de classification pour McAfee DLP Endpoint 6


Scénario d'utilisation : empreintes basées sur l'applicationVous pouvez classer un contenu comme sensible selon l'application qui l'a produit.Dans certains cas, le contenu peut être classé comme confidentiel par l'application qui le produit. Lescartes militaires « top secret » sont un exemple. Ce sont des fichiers JPEG, généralement produits parune application SIG spécifique à l'US Air Force. En sélectionnant cette application dans la définition descritères d'empreintes, tous les fichiers JPEG produits par l'application sont marqués commeconfidentiels. Les fichiers JPEG produits par d'autres applications ne sont pas marqués.



2 Dans l'onglet Définitions, sélectionnez Modèle d'application, puis Actions | Nouveau.

3 Entrez un nom, par exemple Application SIG, et éventuellement une description. En utilisant uneou plusieurs propriétés de la liste Propriétés disponibles, définissez l'application SIG. Cliquez surEnregistrer.

4 Sous l'onglet Classification, cliquez sur Nouvelle classification et entrez un nom, par exemple,Application SIG et éventuellement une définition. Cliquez sur OK.

5 Sélectionnez Actions | Nouveaux critères d'empreintes de contenu | Application.

La page des critères d'empreintes de l'application s'ouvre.

6 Dans le champ Nom, attribuez un nom au marqueur, par exemple Marqueur SIG.

7 Dans le champ Applications, sélectionnez l'application SIG créée à l'étape 1.

8 Dans la liste Propriétés disponibles | Conditions du fichier, sélectionnez Type de fichier vrai. Dans le champValeur, sélectionnez Graphic files [intégré].

La définition intégrée comprend JPEG, ainsi que d'autres types de fichier graphique. Ensélectionnant une application ainsi qu'un type de fichier, seuls les fichiers JPEG produits parl'application sont inclus dans la classification.

9 Cliquez sur Enregistrer, puis sélectionnez Actions | Enregistrer la classification.

La classification est prête à être utilisée dans les règles de protection.

Affectation d'autorisations de classification manuelleDéfinissez les utilisateurs autorisés à classer manuellement les fichiers.



2 Cliquez sur l'onglet Classification manuelle.

3 Dans la liste déroulante Afficher, sélectionnez Grouper par classifications ou Grouper par groupes d'utilisateursfinaux.

Vous pouvez attribuer des classifications à des groupes d'utilisateurs finaux ou affecter des groupesd'utilisateurs finaux à des classifications, selon ce qui est le plus pratique pour vous. La liste Afficherpermet de gérer l'affichage.

6 Classification de contenu confidentielConfiguration de composants de classification pour McAfee DLP Endpoint


4 Si vous effectuez un groupement par classification :

a Sélectionnez une classification dans la liste affichée.

b Dans la section Classifications, sélectionnez le type de classification.

Si la liste est très longue, vous pouvez la réduire en saisissant une chaîne dans la zone de texteFiltrer la liste.

c Sélectionnez Actions | Sélectionner les groupes d'utilisateurs finaux.

d Dans la fenêtre Choisir parmi les valeurs existantes, sélectionnez des groupes d'utilisateurs ou cliquezsur Nouvel élément pour créer un groupe. Cliquez sur OK.

5 Si vous effectuez un groupement par groupes d'utilisateurs :

a Sélectionnez un groupe d'utilisateurs dans la liste affichée.

b Sélectionnez Actions | Sélectionner les classifications.

c Dans la fenêtre Choisir parmi les valeurs existantes, sélectionnez des classifications. Cliquez sur OK.

Scénario d'utilisation : classification manuelleLes travailleurs dont les tâches exigent la création de routine de fichiers contenant des donnéessensibles peuvent se voir affecter une autorisation de classification manuelle. Ils peuvent classer lesfichiers à mesure qu'ils les créent dans le cadre de leur flux de travail normal.

La fonctionnalité de classification manuelle fonctionne avec McAfee DLP Endpoint et McAfee DLPPrevent.

Dans cet exemple, un fournisseur de soins de santé sait que tous les dossiers des patients doiventêtre considérés comme confidentiels au regard des règles HIPAA. Les travailleurs qui créent oumodifient les dossiers des patients se voient octroyer des autorisations de classification manuelle.


1 Créez un groupe d'utilisateurs ou des groupes pour les travailleurs qui créent ou modifient desdossiers de patients.

a Dans McAfee ePO, ouvrez le module Classification (Menu | Protection des données | Classification).

b Dans l'onglet Définitions, sélectionnez Source/Destination | Groupe d'utilisateurs finaux.

c Sélectionnez Actions | Nouveau, remplacez le nom par défaut par un nom pertinent comme Grouped'utilisateurs d'informations médicales privées et ajoutez des utilisateurs ou desgroupes à la définition.


2 Créez une classification PHI (Protected Health Information - renseignements médicaux protégés).

a Dans le module Classification, sous l'onglet Classification, sélectionnez [Sample] PHI [intégré] dans lepanneau de gauche, puis sélectionnez Actions | Dupliquer la classification.

Une copie modifiable de la classification d'échantillon s'affiche.

b Modifiez les champs Nom, Description et Critères de classification le cas échéant.

c Dans le champ Classification manuelle, cliquez sur Modifier.

Classification de contenu confidentielConfiguration de composants de classification pour McAfee DLP Endpoint 6


d Dans la section Actions supplémentaires, sélectionnez le type de classification.

Par défaut, seule la classification manuelle est sélectionnée.

e Sélectionnez Actions | Sélectionner les groupes d'utilisateurs finaux.

f Dans la fenêtre Choisir parmi les valeurs existantes, sélectionnez le ou les groupes créésprécédemment, puis cliquez sur OK.

g Revenez à l'onglet Classification et sélectionnez Actions | Enregistrer la classification.

Les travailleurs qui sont membres des groupes affectés peuvent maintenant classer les dossiers despatients dès leur création. Pour ce faire, cliquez sur le fichier avec le bouton droit de la souris,sélectionnez Protection des données, puis sélectionnez l'option voulue.

Seules les options sélectionnées (étape 2.d.) apparaissent dans le menu.

Création de définitions de classificationVous pouvez utiliser des définitions de classification prédéfinies ou créer des définitions. Les définitionsprédéfinies ne peuvent pas être modifiées ni supprimées.

Procédures• Création d'une définition de classification générale, page 134

Créez et configurez des définitions pour les classifications et les règles.

• Création ou importation d'une définition de dictionnaire, page 135Un dictionnaire est un ensemble de mots ou d'expressions clés. Chaque entrée d'undictionnaire se voit affecter un score. Les scores permettent d'affiner les définitions derègles.

• Création d'un modèle avancé, page 136Les modèles avancés permettent de définir les classifications. Une définition de modèleavancé peut consister en une expression unique ou en une combinaison d'expressions et dedéfinitions de faux positif.

• Création d'une définition de liste d'URL, page 137Les définitions de liste d'URL permettent de définir des règles de protection web. Elless'ajoutent aux règles en tant que conditions Adresse web (URL).

Voir aussi Définitions et critères de classification, page 119

Création d'une définition de classification généraleCréez et configurez des définitions pour les classifications et les règles.



2 Sélectionnez le type de définition à configurer, puis sélectionnez Actions | Nouveau.

6 Classification de contenu confidentielCréation de définitions de classification


3 Attribuez un nom à la définition et configurez-en les options et les propriétés.

Les options et les propriétés disponibles varient selon le type de définition.


Création ou importation d'une définition de dictionnaireUn dictionnaire est un ensemble de mots ou d'expressions clés. Chaque entrée d'un dictionnaire sevoit affecter un score. Les scores permettent d'affiner les définitions de règles.




3 Dans le volet gauche, cliquez sur Dictionnaire.



6 Ajoutez des entrées au dictionnaire.

Pour importer des entrées, procédez comme suit :

a Cliquez sur Importer des entrées.

b Entrez des mots ou des expressions, ou effectuez un couper-coller à partir d'un autre document.

La fenêtre textuelle est limitée à 20 000 lignes de 50 caractères par ligne.

c Cliquez sur OK.

Toutes les entrées se voient affecter un score par défaut de 1.

d Si nécessaire, mettez à jour ce score par défaut en cliquant sur le bouton Modifier correspondantà l'entrée.

e Sélectionnez les colonnes Débute par, Se termine par et Sensible à la casse selon vos besoins.

Les colonnes Débute par et Se termine par permettent d'entrer des correspondances de sous-chaînes.

Pour créer manuellement des entrées, procédez comme suit :

a Entrez la phrase et le score.

b Sélectionnez les colonnes Débute par, Se termine par et Sensible à la casse selon vos besoins.

c Cliquez sur Ajouter.


Classification de contenu confidentielCréation de définitions de classification 6


Création d'un modèle avancéLes modèles avancés permettent de définir les classifications. Une définition de modèle avancé peutconsister en une expression unique ou en une combinaison d'expressions et de définitions de fauxpositif.

Les modèles avancés sont définis à l'aide d'expressions régulières (regex). Ce document ne traite pasdes expressions régulières. Vous trouverez sur Internet un certain nombre de didacticiels sur lesexpressions régulières qui vous permettront d'obtenir plus d'informations à ce sujet.



2 Sélectionnez l'onglet Définitions, puis Modèle avancé dans le volet de gauche.

Les modèles disponibles s'affichent dans le volet de droite.

Pour afficher uniquement les modèles avancés définis par l'utilisateur, désélectionnez la case Incluredes éléments intégrés. Les modèles définis par l'utilisateur sont les seuls qui peuvent être modifiés.


La page de définition Nouveau modèle avancé s'affiche.


5 Sous Expressions en correspondance, procédez comme suit :

a Saisissez une expression dans la zone de texte. Ajoutez une description facultative.

b Sélectionnez un programme de validation dans la liste déroulante.

Si possible, McAfee recommande d'utiliser un programme de validation pour réduire le nombrede faux positifs, mais cela n'est pas obligatoire. Si vous ne voulez pas indiquer de programmede validation, ou si la validation n'est pas appropriée pour l'expression, sélectionnez Aucunevalidation.

c Entrez un chiffre dans le champ Score.

Cette valeur indique la pondération de l'expression dans le calcul du seuil. Ce champ estobligatoire.

d Cliquez sur Ajouter.

6 Sous Expressions ignorées, procédez comme suit :

a Saisissez une expression dans la zone de texte.

Si des modèles textuels sont stockés dans un document externe, vous pouvez les copier-collerdans la définition en utilisant Importer des entrées.

b Dans le champ Type, sélectionnez Expression régulière dans la liste déroulante si la chaîne est uneexpression régulière, ou Mot clé s'il s'agit de texte.

c Cliquez sur Ajouter.


6 Classification de contenu confidentielCréation de définitions de classification


Création d'une définition de liste d'URLLes définitions de liste d'URL permettent de définir des règles de protection web. Elles s'ajoutent auxrègles en tant que conditions Adresse web (URL).

ProcédurePour chaque URL requise, effectuez les étapes 1 à 4 : Pour davantage d'informations au sujet desfonctionnalités du produit, de son utilisation et des meilleures pratiques, cliquez sur ? ou sur Aide.


2 Dans le volet gauche, sélectionnez la liste d'URL, puis sélectionnez Actions | Nouveau.

3 Indiquez un nom unique et éventuellement une définition.


• Entrez les informations de protocole, d'hôte, de port et de chemin d'accès dans les zones de textecorrespondantes, puis cliquez sur Ajouter.

• Collez une URL dans la zone de texte Coller l'URL, puis cliquez sur Effectuer une analyse syntaxique etsur Ajouter.

Les champs d'URL sont remplis par le logiciel.

5 Lorsque toutes les URL requises ont été ajoutées à la définition, cliquez sur Enregistrer.

Scénario d'utilisation : intégration du client Titus avec desmarqueurs tiers

Les critères de classification ou d'identification de contenu par empreinte peuvent inclure plusieurspaires valeur de marqueur/nom de marqueur.

Avant de commencer1 Dans le catalogue de stratégies, ouvrez la configuration de client Windows actuelle.

Sélectionnez Paramètres | Mode de fonctionnement et modules. Vérifiez que l'option Modulescomplémentaires pour Outlook | Activer l'intégration du complément tierce partie est sélectionnée.

2 Dans Paramètres | Protection de la messagerie, dans la section Intégration du complément Outlook detierce partie, sélectionnez Titus dans la liste déroulante Nom du fournisseur.

Ces paramètres ne modifient l'utilisation des marqueurs tiers qu'avec les e-mails. Vouspouvez utiliser des marqueurs tiers avec des fichiers sans modifier les paramètres deconfiguration de client.

McAfee DLP Endpoint appelle l'API tierce pour identifier les fichiers marqués et déterminer lesmarqueurs. Les classifications créées avec des marqueurs tiers peuvent être appliquées à toutes lesrègles de protection et de découverte qui inspectent les fichiers.

Pour mettre en œuvre cette fonctionnalité, le SDK tiers doit être installé sur les ordinateurs clients.

Classification de contenu confidentielScénario d'utilisation : intégration du client Titus avec des marqueurs tiers 6




2 Cliquez sur Nouvelle classification.


4 Cliquez sur Actions, puis sélectionnez Nouveaux critères de classification de contenu ou Nouveaux critèresd'empreintes de contenu.

5 Sélectionnez la propriété Marqueurs tiers.

6 Entrez le nom de champ Titus et une valeur. Sélectionnez la définition de valeur dans la listedéroulante.

La chaîne de valeur entrée peut être définie comme suit :

• est égale à l'une des valeurs suivantes

• est égale à toutes les valeurs suivantes

• contient l'une des valeurs suivantes

• contient toutes les valeurs suivantes

7 (Facultatif) Cliquez sur + et ajoutez une autre paire nom/valeur.


Scénario d'utilisation : intégration de Boldon James EmailClassifier avec des critères de classification

Créez des critères de classification pour intégrer Boldon James Email Classifier.

Boldon James Email Classifier est une solution de messagerie qui étiquette et classifie les e-mails. Lelogiciel McAfee DLP Endpoint peut intégrer Email Classifier et bloquer des e-mails en fonction desclassifications affectées. Vous pouvez choisir la chaîne envoyée par Email Classifier à McAfee DLPEndpoint lorsque vous configurez le logiciel Email Classifier. Utilisez cette chaîne pour définir lescritères de classification.

6 Classification de contenu confidentielScénario d'utilisation : intégration de Boldon James Email Classifier avec des critères de classification



1 Configurez la compatibilité avec Boldon James dans McAfee DLP Endpoint :

a Grâce à la console Administration du classificateur Boldon James, ouvrez Paramètres de l'application Classifier| Paramètres Outlook. Définissez Analyse DLP McAfee Host sur Activée et définissez Marquage DLP McAfee Hostpour vous référer à un format de marquage contenant la valeur de classification, ainsi que letexte statique unique pour le marquage DLP. Une chaîne basée sur ce format de marquage serapassée à McAfee DLP Endpoint avec les critères de classification.

b Dans le catalogue de stratégies, ouvrez la configuration client actuelle. Sélectionnez Paramètres |Mode de fonctionnement et modules. Vérifiez que l'option Modules complémentaires pour Outlook | Activerl'intégration du complément tierce partie est sélectionnée.

c Dans Paramètres | Protection de la messagerie, dans la section Intégration du complément Outlook detierce partie, sélectionnez Boldon James dans la liste déroulante Nom du fournisseur.

2 Créez une classification Boldon James.

Pour chaque classification requise, effectuez les opérations suivantes :

a Dans McAfee ePO, sélectionnez Menu | Protection des données | Classification.

b Cliquez sur l'onglet Classification, puis cliquez sur Nouvelle classification.

c Saisissez un nom unique et éventuellement une description.

d Cliquez sur Actions | Nouveaux critères de classification de contenu.

e Sélectionnez la propriété Mot clé. Dans le champ Valeur, saisissez la chaîne créée à partir duformat de marquage que vous avez sélectionné dans la configuration Administration du classificateur àenvoyer à McAfee DLP Endpoint.

[Classification Boldon James] est la chaîne que vous avez sélectionnée dans laconfiguration Email Classifier pour l'envoyer à McAfee DLP Endpoint.

3 Dans McAfee ePO, sélectionnez Menu | Protection des données | Jeu de règles DLP.

4 Sous l'onglet Jeux de règles, effectuez l'une des opérations suivantes.

• Sélectionnez Actions | Nouveau jeu de règles.

• Sélectionnez un jeu de règles existant.

5 Sélectionnez Actions | Nouvelle règle | Protection de la messagerie.

Un formulaire de définition Protection de la messagerie apparaît.


7 Sous l'onglet Condition, sélectionnez Corps dans la liste déroulante, puis sélectionnez la classificationBoldon James appropriée. Sélectionnez les options Utilisateur final, Enveloppe d'e-mail et Destinatairesappropriées.

Le client McAfee DLP Endpoint considère la classification Boldon James comme faisant partie ducorps de l'e-mail. Le fait de limiter la définition à l'analyse du corps permet de rendre la règle plusefficace.

8 Sous l'onglet Réaction, sélectionnez les paramètres Mesure préventive, Notification utilisateur, Signaler l'incidentet Gravité appropriés. Définissez l'état sur Activé, puis cliquez sur Enregistrer.

Classification de contenu confidentielScénario d'utilisation : intégration de Boldon James Email Classifier avec des critères de classification 6


6 Classification de contenu confidentielScénario d'utilisation : intégration de Boldon James Email Classifier avec des critères de classification


7 Protection de contenu confidentiel

McAfee DLP protège le contenu confidentiel avec une combinaison de stratégies McAfee DLP Endpoint,McAfee DLP Discover et McAfee DLP Prevent.

McAfee ePO déploie les stratégies McAfee DLP sur les ordinateurs clients, les serveurs Discover ou lesappliances McAfee DLP Prevent. Le logiciel client McAfee DLP Endpoint, le logiciel du serveur oul'appliance applique les stratégies pour protéger le contenu confidentiel.

Sommaire Jeux de règles Création de définitions de règle Règles Règles de protection des données Règles de contrôle des équipements Règles de découverte Listes blanches Personnalisation des messages aux utilisateurs finaux Réactions disponibles pour les types de règle Création et configuration de règles et de jeux de règles Scénarios d'utilisation pour les règles

Jeux de règlesLes jeux de règles définissent des stratégies McAfee DLP. Les jeux de règles peuvent contenir unecombinaison de règles de protection des données, de contrôle des équipements et de découverte.

La page Jeux de règles affiche la liste des jeux de règles définis et l'état de chacun d'entre eux. Lesdonnées affichées comprennent le nombre d'incidents journalisés pour chaque jeu de règles, lenombre de règles qui ont été définies et le nombre de règles qui ont été activées. Des icônes decouleur indiquent les types de règles activés. Lorsque vous passez la souris sur les icônes, uneinfo-bulle indiquant le type de la règle et le nombre de règles activées apparaît.

Figure 7-1 Page de jeux de règles indiquant les informations d'info-bulles

Dans le jeu de règles 1, onze règles de protection des données sont définies, mais seuls trois d'entreelles sont activées. L'icône bleue indique les types de règles qui sont définis. L'info-bulle indique quedeux de ces règles sont des règles du Presse-papiers. Pour voir quelles règles sont définies maisdésactivées, ouvrez la règle en mode d'édition.

7


Voir aussi Protection des fichiers avec des règles de découverte, page 179Création d'une règle, page 162

Création de définitions de règleLes définitions sont utilisées lors de la création de règles de protection des données, de contrôle deséquipements et de découverte.

Le Gestionnaire de stratégies DLP contient un grand nombre de définitions intégrées (prédéfinies). Vouspouvez les utiliser telles quelles, ou les dupliquer et les personnaliser à votre convenance.

Procédures

• Création d'un intervalle de ports réseau, page 142Les intervalles de ports réseau servent de critères de filtrage dans les règles de protectiondes communications réseau.

• Création d'un intervalle d'adresses réseau, page 142Les intervalles d'adresses réseau servent de critères de filtrage dans les règles deprotection des communications réseau.

• Création d'une définition de liste d'adresses e-mail, page 143Les définitions de liste d'adresses e-mail sont des domaines de messagerie prédéfinis oudes adresses e-mail spécifiques qui peuvent être indiqués dans les règles de protection dela messagerie.

• Création d'une définition d'imprimante réseau, page 144Les définitions d'imprimante réseau permettent d'affiner les règles de protection contrel'impression. Les imprimantes définies peuvent être incluses dans les règles ou en êtreexclues.

Création d'un intervalle de ports réseauLes intervalles de ports réseau servent de critères de filtrage dans les règles de protection descommunications réseau.



2 Dans le volet gauche, sélectionnez Port réseau, puis cliquez sur Actions | Nouveau.

Vous pouvez également modifier les définitions intégrées.


4 Entrez les numéros de port, en les séparant par des virgules, et ajoutez éventuellement unedescription. Cliquez sur Ajouter.

5 Lorsque vous avez ajouté tous les ports requis, cliquez sur Enregistrer.

Création d'un intervalle d'adresses réseauLes intervalles d'adresses réseau servent de critères de filtrage dans les règles de protection descommunications réseau.

7 Protection de contenu confidentielCréation de définitions de règle


ProcédurePour chaque définition requise, effectuez les étapes 1 à 4 : Pour davantage d'informations au sujet desfonctionnalités du produit, de son utilisation et des meilleures pratiques, cliquez sur ? ou sur Aide.


2 Dans le volet gauche, sélectionnez Adresse réseau (adresse IP), puis cliquez sur Actions | Nouveau.

3 Entrez un nom unique pour la définition et éventuellement une description.

4 Entrez une adresse, un intervalle d'adresses ou un sous-réseau dans la zone de texte. Cliquez surAjouter.

Des exemples correctement formatés apparaissent sur la page.

Seules les adresses IPv4 sont prises en charge. Si vous entrez une adresse IPv6, le message indiqueL'adresse IP n'est pas valide, sans préciser que ces adresses ne sont pas prises en charge.

5 Lorsque vous avez entré toutes les définitions requises, cliquez sur Enregistrer.

Création d'une définition de liste d'adresses e-mailLes définitions de liste d'adresses e-mail sont des domaines de messagerie prédéfinis ou des adressese-mail spécifiques qui peuvent être indiqués dans les règles de protection de la messagerie.

Pour bénéficier d'une meilleure granularité dans les règles de protection de la messagerie, vouspouvez inclure des adresses e-mail et en exclure d'autres. Assurez-vous de créer les deux types dedéfinitions.

Meilleure pratique : pour des combinaisons d'opérateurs que vous utilisez souvent, ajoutez plusieursentrées à une même définition de liste d'adresses e-mail.

Les définitions de valeur de messagerie prennent en charge les caractères génériques et permettentde définir des conditions. *@intel.com est un exemple de condition définie avec un caractèregénérique. Le fait de combiner une condition de liste d'adresses et un groupe d'utilisateurs dans unerègle en augmente la granularité.



2 Dans le volet gauche, sélectionnez Liste des adresses e-mail, puis Actions | Nouveau.


4 Dans la liste déroulante, sélectionnez un opérateur.

Lorsque vous définissez des opérateurs à l'aide de l'option Adresses e-mail, le champ Valeur prend encharge les caractères génériques.

Les règles de protection de la messagerie mises en œuvre sur McAfee DLP Prevent ne recherchentpas de correspondance avec les opérateurs Nom d'affichage.

5 Saisissez une valeur, puis cliquez sur Ajouter.

6 Cliquez sur Enregistrer lorsque vous avez terminé d'ajouter des adresses e-mail.

Protection de contenu confidentielCréation de définitions de règle 7


Création d'une définition d'imprimante réseauLes définitions d'imprimante réseau permettent d'affiner les règles de protection contre l'impression.Les imprimantes définies peuvent être incluses dans les règles ou en être exclues.

Avant de commencerObtenez le chemin d'accès UNC de l'imprimante sur le réseau.



2 Dans le volet gauche, sélectionnez Imprimante réseau, puis sélectionnez Actions | Nouveau.


4 Entrez le chemin d'accès UNC.

Tous les autres champs sont facultatifs.


RèglesLes règles définissent les mesures prises lors d'une tentative de transfert ou de transmission dedonnées confidentielles.

Les jeux de règles peuvent contenir trois types de règles : protection des données, contrôle deséquipements et découverte. Une règle comporte trois parties, Condition, Exceptions et Réaction.Chaque partie est définie sur un onglet distinct dans la définition de la règle. Les règles peuvent êtreactivées ou désactivées, et se voient attribuer une gravité sélectionnée dans une liste déroulante.

Condition

La condition définit ce qui déclenche la règle. Pour les règles de découverte et de protection desdonnées, la condition comprend toujours une classification et peut inclure d'autres conditions. Parexemple, une règle de protection de cloud contient des champs pour définir l'utilisateur final et leservice de cloud en plus de la classification. Pour les règles de contrôle des équipements, la conditionspécifie toujours l'utilisateur final et peut inclure d'autres conditions telles que la définition del'équipement. Les règles de contrôle des équipements ne comprennent pas de classification.

Exceptions

Les exceptions définissent les paramètres exclus de la règle. Par exemple, une règle de protection decloud peut permettre à des utilisateurs et classifications spécifiés de télécharger des données vers desservices de cloud spécifiés, tout en bloquant ces utilisateurs et classifications définis dans la section decondition de la règle. Les exceptions ont un paramètre distinct pour les activer ou les désactiver, vouspermettant ainsi d'activer ou de désactiver l'exception lorsque vous testez des règles. La créationd'une définition d'exception est facultative.

Les définitions d'exception pour les règles de découverte et de protection des données sont semblablesaux définitions de condition. Les paramètres disponibles pour l'exclusion sont un sous-ensemble desparamètres disponibles pour définir la condition.

7 Protection de contenu confidentielRègles


Pour les règles de contrôle des équipements, l'exception est définie en sélectionnant les définitionsincluses dans la liste blanche dans une liste. Les définitions incluses dans la liste blanche disponiblesdépendent du type de règle d'équipement.

Réaction

La réaction définit ce qui se passe lorsque la règle se déclenche. Les actions disponibles varient enfonction du type de règle, mais la valeur par défaut pour toutes les règles est Aucune action. Lorsquecette option est sélectionnée avec l'option Signaler l'incident, vous pouvez surveiller la fréquence desviolations des règles. Cette procédure est utile pour définir la règle au niveau correct et détecter lesfuites de données sans créer de faux positifs.

La réaction définit aussi si la règle est appliquée à l'extérieur de l'entreprise et, pour certaines règles,lors de la connexion à l'entreprise par VPN.

Règles de protection des donnéesLes règles de protection des données surveillent et contrôlent les contenus et l'activité des utilisateurs.

Au moins une classification doit être indiquée pour les règles de protection des données. Laclassification définit si le contenu est sensible ou non et détermine ainsi les actions applicables aucontenu. Les autres définitions de la règle servent de filtres pour déterminer quels fichiers sontsurveillés.

Les règles de protection des données ne sont pas prises en charge selon les différentes applicationsMcAfee DLP.

• McAfee DLP Endpoint pour Windows prend en charge toutes les règles de protection des données.

• McAfee DLP Endpoint for Mac prend en charge les règles de protection de l'accès aux fichiers pardes applications, des partages réseau et des équipements de stockage amovibles.

• McAfee DLP Prevent prend en charge les règles de protection de la messagerie et du web.

Règles Protection de l'accès aux fichiers d'applicationLes règles de protection de l'accès aux fichiers surveillent les fichiers en fonction de l'application oudes applications qui les ont créés. Elles sont prises en charge sur les ordinateurs Microsoft Windows etOS X. Sur McAfee DLP Endpoint for Mac, seuls les navigateurs et les applications pris en charge sur OSX sont pris en charge.

Sélectionnez une définition d'application ou d'URL pour limiter la règle à des applications spécifiques.

Les définitions d'URL ne sont pas prises en charge sur McAfee DLP Endpoint for Mac

Les règles de protection de l'accès aux fichiers d'application communiquent avec McAfee®

DataExchange Layer (DXL) dans McAfee

®

Threat Intelligence Exchange (TIE). Vous pouvez utiliser lesinformations issues de TIE pour définir la règle en fonction de la réputation TIE. Lors de la sélectiond'une application, la liste déroulante permet de choisir une réputation TIE au lieu d'une URL denavigateur ou d'application.

Pour que vous puissiez utiliser la réputation TIE dans les règles, le client DXL doit être installé surl'ordinateur client

Vous pouvez également bloquer les versions de Chrome non prises en charge. Cette option permet debloquer toute fuite associée aux publications issues de versions de Chrome non prises en charge et quine sont donc pas bloquées par les règles de protection web.

Protection de contenu confidentielRègles de protection des données 7


Utilisez des définitions de classification pour limiter la règle à des critères d'empreintes ou declassification de contenu spécifiques. Vous pouvez également limiter la règle aux utilisateurs locaux ouà des groupes d'utilisateurs spécifiés.

Voir aussi Cas d'utilisation : empêcher de graver des informations confidentielles sur le disque,page 171La configuration du client prend en charge les règles de protection des données, page 150Actions des règles de protection des données, page 153

Règles de protection du Presse-papiersLes règles de protection du Presse-papiers gèrent le contenu copié avec le Presse-papiers Windows.Elles sont uniquement prises en charge sur McAfee DLP Endpoint pour Windows.

Les règles de protection du Presse-papiers permettent de bloquer toute copie de contenu confidentield'une application vers une autre. Vous pouvez y définir l'application d'origine et l'application dedestination, ou écrire une règle générale portant sur n'importe quelle application source ou dedestination. Les navigateurs pris en charge peuvent être spécifiés comme applications. La règle peutêtre filtrée à l'aide d'une définition d'utilisateur final afin qu'elle soit limitée à des utilisateursspécifiques. Comme pour les autres règles de protection des données, les exceptions sont définie sousl'onglet Exceptions.

Par défaut, les utilisateurs sont autorisés à copier du contenu confidentiel d'une application MicrosoftOffice vers une autre. Si vous souhaitez bloquer toute copie dans Microsoft Office, désactivez lePresse-papiers Microsoft Office dans la configuration du client Windows.

Voir aussi La configuration du client prend en charge les règles de protection des données, page 150Actions des règles de protection des données, page 153

Règles de protection du cloudDe nouvelles règles de protection du cloud gèrent les fichiers chargés sur les applications du cloud.Elles sont prises en charge sur McAfee DLP Endpoint pour Windows uniquement.

Les applications du cloud sont de plus en plus utilisées pour sauvegarder et partager des fichiers. Laplupart des applications du cloud créent un dossier spécial sur le lecteur de disque qui se synchroniseavec le serveur du cloud. McAfee DLP Endpoint intercepte la création de fichiers dans le dossierd'application du cloud, analyse les fichiers et applique les stratégies pertinentes. Si la stratégie permetde synchroniser le fichier au dossier d'application du cloud et que le fichier est modifié ultérieurement,il est analysé une nouvelle fois et la stratégie est réappliquée. Si le fichier modifié enfreint unestratégie, il ne peut pas être synchronisé avec le cloud.

La règle de protection du cloud de McAfee DLP Endpoint prend en charge les plates-formes suivantes :

• Box • OneDrive (personnel)

• Dropbox • OneDrive Entreprise (groove.exe)

• Google Drive • Syncplicity

• iCloud

Pour améliorer la vitesse d'analyse, vous pouvez spécifier les sous-dossiers de niveau supérieur inclusdans la règle ou exclus de celle-ci.

Utilisez des définitions de classification pour limiter la règle à des critères d'empreintes ou declassification de contenu spécifiques. Vous pouvez également limiter la règle aux utilisateurs locaux ouà des groupes d'utilisateurs spécifiés, et par le nom du sous-dossier de niveau supérieur.

7 Protection de contenu confidentielRègles de protection des données



Règles de protection de la messagerieLes règles de protection de la messagerie surveillent ou bloquent les e-mails envoyés à des adressesou à des utilisateurs spécifiques. Elles sont prises en charge sur McAfee DLP Endpoint pour Windows etMcAfee DLP Prevent.

Les règles de protection de la messagerie peuvent bloquer les e-mails sur la base des paramètressuivants :

• Les définitions de classification limitent la règle à des critères d'identification par empreinte ou declassification de contenu spécifiques. Vous pouvez appliquer des classifications à l'e-mail entier, ouuniquement à l'objet, au corps, à l'en-tête ou aux pièces jointes des e-mails.

• Les définitions d'expéditeur limitent la règle à des groupes d'utilisateurs ou à des listes d'adressese-mail spécifiques. Les informations sur les groupes d'utilisateurs peuvent être obtenues auprès deserveurs LDAP enregistrés. Vous pouvez également limiter la règle aux utilisateurs locaux ou nonLDAP.

• Le champ Enveloppe d'e-mail peut spécifier que l'e-mail est protégé par des autorisations RMS, lechiffrement PGP, la signature numérique, ou le chiffrement S/MIME. Cette option est généralementutilisée pour définir des exceptions.

• La liste des destinataires inclut des définitions de liste d'adresses e-mail. Dans ces définitions, lechamp d'opérateur peut utiliser des caractères génériques.

Messages ne pouvant être analysés.

Si McAfee DLP Prevent ne peut pas extraire le texte d'un message pour l'analyser parce que, parexemple, le message contient du code malveillant, il prend les mesures suivantes :

• Rejette l'e-mail et revient au MTA.

• Le MTA continue à essayer de remettre le message à McAfee DLP Prevent.

• Lorsque McAfee DLP Prevent détecte qu'il ne peut pas analyser le message, il ajoute l'en-têteX-RCIS-Action avec la valeur SCANFAIL au message.

• McAfee DLP Prevent envoie le message avec l'en-tête X-RCIS-Action modifié à l'un des hôtes derelais configurés.

McAfee DLP Prevent n'apporte aucune autre modification au message.

Si le message contient une pièce jointe chiffrée, corrompue ou protégée par mot de passe, le messageest analysé pour y rechercher des déclencheurs de fuite de données, mais pas la pièce jointe. Lavaleur SCANFAIL n'est pas ajoutée, car le contenu du message a été partiellement analysé.




Comportement de l'en-tête X-RCIS-Action McAfee DLP PreventPour McAfee DLP Prevent, la seule réaction disponible est d'ajouter l'en-tête X-RCIS-Action à un messageavec l'une des valeurs suivantes.

Tableau 7-1 Valeurs de l'en-tête X-RCIS-Action

Priorité Valeur Description

1 SCANFAIL Des messages ne peuvent pas être analysés. La valeur d'en-tête SCANFAIL estgénérée automatiquement par l'appliance et ne peut pas être configurée commeune action dans une règle.

2 BLOCK Le message doit être bloqué.

3 QUART Le message doit être mis en quarantaine.

4 ENCRYPT Le message doit être chiffré.

5 BOUNCE Un message de non-remise (NDR) doit être remis à l'expéditeur.

6 REDIR Le message doit être redirigé.

7 NOTIFY Le personnel de surveillance doit être informé.

8 ALLOW Le message doit être autorisé à passer. La valeur ALLOW (Autoriser) est ajoutéeautomatiquement à tous les messages dans lesquels aucun contenu n'estdétecté par la règle.

Lorsqu'il n'effectue pas d'opérations de surveillance, McAfee DLP Prevent remet toujours un e-mail àun hôte actif configuré. L'hôte actif applique l'action indiquée dans l'en-tête X-RCIS-Action.

Si le message déclenche plusieurs règles, la valeur de priorité la plus élevée est insérée dans l'en-têteX-RCIS-Action (où 1 est la priorité la plus élevée). Si aucune règle n'est déclenchée, la valeur ALLOWest insérée.

Si un message a déjà été analysé par une autre appliance qui a ajouté un en-tête X-RCIS-Action,McAfee DLP Prevent remplace l'en-tête existant par son propre en-tête.

Règles de protection de la messagerie mobileLes règles de protection de la messagerie mobile appliquent des stratégies McAfee DLP aux e-mailsenvoyés vers des équipements mobiles.

Les règles sont définies avec des définitions de classification (obligatoire), d'utilisateur etd'équipement mobile. La règle est limitée à tout utilisateur. Vous pouvez éventuellement sélectionnerN'importe quel équipement mobile, ou ajouter une définition d'équipements mobiles.

Les règles de protection de la messagerie mobile sont mises en œuvre sur le serveur McAfee DLP pourmobile, qui doit être configuré dans le Catalogue de stratégies comme proxy ActiveSync.

Voir aussi Actions des règles de protection des données, page 153Configuration des paramètres de serveur, page 64

Règles de protection des communications réseauLes règles de protection des communications réseau surveillent ou bloquent les données entrantes ousortantes sur votre réseau. Elles sont prises en charge sur McAfee DLP Endpoint pour Windowsuniquement.

Les règles de protection des communications réseau contrôlent le trafic réseau en fonction des ports(facultatifs) et des adresses réseau (obligatoires) spécifiés. Vous pouvez également spécifier lesconnexions entrantes ou sortantes, ou les deux. Vous pouvez ajouter une définition d'adresse réseauet une définition de port, mais les définitions peuvent contenir plusieurs adresses ou ports.



Utilisez des définitions de classification pour limiter la règle à des critères d'empreintes de contenuspécifiques. Vous pouvez également limiter la règle aux utilisateurs locaux ou à des groupesd'utilisateurs spécifiés, et en spécifiant l'application qui crée la connexion.

Les règles de protection des communications réseau ne vérifient pas les critères de classification decontenu. Utilisez les critères d'empreintes de contenu lorsque vous définissez des classifications utiliséesavec des règles de protection des communications réseau.


Règles de protection du partage réseauLes règles de protection du partage réseau contrôlent le contenu confidentiel stocké sur des partagesréseau. Elles sont prises en charge sur les ordinateurs Microsoft Windows et OS X.

Les règles de protection du partage réseau peuvent s'appliquer à tous les partages réseau ou à despartages spécifiés. Une définition du partage peut être incluse dans la règle, et la définition peutcontenir plusieurs partages. Une classification incluse (obligatoire) définit le contenu confidentielprotégé.

Utilisez des définitions de classification pour limiter la règle à des critères d'empreintes ou declassification de contenu spécifiques. Vous pouvez également limiter la règle aux utilisateurs locaux ouà des groupes d'utilisateurs spécifiés, par partages réseau spécifiques ou par l'application qui copie lefichier.

Règles de protection de l'imprimanteLes règles de protection contre l'impression surveillent les fichiers ou empêchent leur impression. Ellessont prises en charge sur McAfee DLP Endpoint pour Windows uniquement.

Utilisez des classifications pour limiter la règle. Vous pouvez également limiter la règle en spécifiantdes utilisateurs, des imprimantes ou des applications qui impriment le fichier. La définition del'imprimante peut spécifier des imprimantes locales, des imprimantes réseau, des imprimantes réseaunommées ou des imprimantes d'images.

Les imprimantes d'images, qui avaient une règle distincte dans les versions antérieures, sontmaintenant incluses dans la règle de l'imprimante générale.


Règles de protection des périphériques de stockage amoviblesLes règles de protection des périphériques de stockage amovibles surveillent ou bloquent l'écriture dedonnées sur des équipements de stockage amovibles. Elles sont prises en charge sur McAfee DLP



Endpoint pour Windows et McAfee DLP Endpoint for Mac. Sur McAfee DLP Endpoint for Mac, lespériphériques CD et DVD ne sont pas pris en charge.

Les règles de protection des périphériques de stockage amovibles peuvent contrôler des CD et DVD,des équipements de stockage amovibles ou les deux. Limitez la règle avec des critères de classificationet d'empreintes de contenu dans les classifications (obligatoire). Vous pouvez aussi définir la règleavec des utilisateurs, des applications ou des URL web spécifiés.

Les règles de protection des périphériques de stockage amovibles pour McAfee DLP Endpoint for Macpermettent uniquement de contrôler les équipements de stockage amovibles. Elles ne prennent pas encharge les périphériques CD/DVD.

Utilisez des classifications pour limiter la règle. Vous pouvez aussi limiter la règle en spécifiant desutilisateurs ou des applications qui copient le fichier.


Règles de protection contre les captures d'écranLes règles de protection contre la capture d'écran contrôlent les données copiées et collées depuis unécran. Elles sont prises en charge sur McAfee DLP Endpoint pour Windows uniquement.

Utilisez des définitions de classification pour limiter la règle à des critères d'empreintes de contenuspécifiques. Vous pouvez également limiter la règle aux utilisateurs locaux ou à des groupesd'utilisateurs spécifiés, ou par les applications visibles à l'écran.

Les règles de protection contre les captures d'écran ne vérifient pas les critères de classification decontenu. Utilisez des critères d'empreintes de contenu lorsque vous définissez des classificationsutilisées avec des règles de protection contre les captures d'écran.


Règles de protection webLes règles de protection web surveillent ou bloquent la publication des données sur des sites web, ycompris les sites de messagerie. Elles sont prises en charge sur McAfee DLP Endpoint pour Windows etMcAfee DLP Prevent.

Pour définir des règles de protection web vous devez y ajouter des adresses web.

Utilisez des définitions de classification pour limiter la règle à des critères d'empreintes ou declassification de contenu spécifiques. Vous pouvez également limiter la règle à des utilisateurs locauxou à des groupes d'utilisateurs spécifiés.


La configuration du client prend en charge les règles deprotection des donnéesLes règles de protection des données utilisent les paramètres de configuration du client.

Meilleure pratique : pour optimiser les règles de protection des données, configurez le client de façonà répondre aux exigences des différents jeux de règles.



Le tableau suivant répertorie les règles de protection des données et les paramètres spécifiques de laconfiguration client qui ont une incidence sur elles. Dans la plupart des cas, vous pouvez accepter lavaleur par défaut.

Tableau 7-2 Règles de protection des données et paramètres de configuration du client

Règle deprotection desdonnées

Page et paramètres de la configuration du client

Protection de l'accès auxfichiers d'application

Suivi du contenu : ajoutez ou modifiez les processus inclus dans la liste blanche

Protection duPresse-papiers

• Mode de fonctionnement et modules : activez le service de Presse-papiers.

• Protection du Presse-papiers : ajoutez ou modifiez les processus inclus dans la listeblanche. Activez ou désactivez le Presse-papiers Microsoft Office.

Le Presse-papiers Microsoft Office est activé par défaut. Lorsqu'il est activé,vous ne pouvez pas empêcher les opérations de copie d'une application Office àune autre.

Protection du cloud Mode de fonctionnement et modules : sélectionnez les gestionnaires de protection ducloud.

Protection de lamessagerie

• Mode de fonctionnement et modules : activez les logiciels de messagerie disponibles(Lotus Notes, Microsoft Outlook). Pour Microsoft Outlook, sélectionnez lesmodules complémentaires requis.

Dans les systèmes où Microsoft Exchange et Lotus Notes sont disponibles, lesrègles de messagerie ne fonctionnent pas si le nom du serveur de courriersortant (SMTP) n'est pas configuré pour les deux.

• Protection de la messagerie : sélectionnez des compléments tiers de MicrosoftOutlook (Boldon James ou Titus). Définissez la stratégie d'expiration, ainsique les paramètres de mise en cache, d'API et de notification des utilisateurs.

Lorsque le complément tiers est installé et actif, le complément Outlook deMcAfee DLP Endpoint passe automatiquement en mode de contournement.McAfee DLP Prevent ne fonctionne pas avec Boldon James.

Protection descommunications réseau

• Connectivité d'entreprise : ajoutez ou modifier des serveurs VPN d'entreprise.

• Mode de fonctionnement et modules : activez ou désactivez le pilote decommunication réseau (activé par défaut).

Protection du partageréseau

Aucun paramètre

Protection contrel'impression

• Connectivité d'entreprise : ajoutez ou modifier des serveurs VPN d'entreprise.

• Mode de fonctionnement et modules : sélectionnez les compléments d'application pourl'imprimante.

• Protection contre l'impression : ajoutez ou modifier les processus inclus dans la listeblanche.

Les compléments d'application pour imprimante peuvent améliorer lesperformances des imprimantes lors de l'utilisation de certaines applicationscourantes. Ces compléments sont installés uniquement lorsqu'une règle deprotection contre l'impression est activée sur l'ordinateur managé.



Tableau 7-2 Règles de protection des données et paramètres de configuration du client(suite)

Règle deprotection desdonnées

Page et paramètres de la configuration du client

Protection despériphériques destockage amovibles

• Mode de fonctionnement et modules : activez les options avancées.

• Protection des périphériques de stockage amovibles : définissez le mode de suppression.Le mode normal supprime simplement le fichier, tandis que le mode agressifempêche toute récupération du fichier supprimé.

Protection contre lescaptures d'écran

• Mode de fonctionnement et modules : activez le service de capture d'écran. Ce serviceest constitué du gestionnaire d'applications et du gestionnaire de la toucheImpression écran, qui peuvent être activés séparément.

• Protection contre les captures d'écran : ajoutez, modifiez ou supprimez desapplications de capture d'écran protégées par des règles de protection contreles captures d'écran.

La désactivation du gestionnaire d'applications ou du service de capture d'écrandésactive toutes les applications qui figurent sur la page Protection contre lescaptures d'écran.

Protection web • Mode de fonctionnement et modules : activez les navigateurs pris en charge pour laprotection web.

• Protection web : ajoutez ou modifiez des URL incluses dans la liste blanche,activez le traitement des demandes HTTP GET (désactivé par défaut, car ellesconsomment beaucoup de ressources) et définissez la stratégie de délaid'expiration du web.

La page contient également la liste des versions de Google Chrome prises encharge. Cette liste est nécessaire en raison de la fréquence des mises à jour deChrome. Pour la remplir, vous devez télécharger une liste à jour à partir dusupport technique McAfee et utiliser Parcourir pour installer le fichier XML.

Détails sur les options avancées de protection des périphériques de stockageamovibles

Les sections suivantes décrivent la commande Configuration du client Windows | Mode de fonctionnement et modules| Options avancées de protection du stockage amovible.

Protéger les supports de disques locaux de TrueCrypt

Les équipements de chiffrement virtuel TrueCrypt peuvent être protégés par des règles d'équipementTrueCrypt ou des règles de protection des périphériques de stockage amovibles. La protectionTrueCrypt n'est pas prise en charge sur McAfee DLP Endpoint for Mac.

• Utilisez une règle d'équipement si vous souhaitez bloquer ou surveiller un volume TrueCrypt, ou ledéfinir en lecture seule.

• Utilisez une règle de protection si vous souhaitez une protection des volumes TrueCrypt selon lecontenu.

Les signatures sont perdues lorsque le contenu des empreintes est copié sur des volumes TrueCrypt, carles volumes TrueCrypt ne prennent pas en charge les attributs de fichier étendus. Pour identifier lecontenu, utilisez des définitions de propriétés de document, de chiffrement de fichiers ou de groupes detypes de fichier dans la définition de classification.

Gestionnaire d'équipements portables (MTP)



Le protocole MTP (Media Transfer Protocol) est utilisé pour transférer des fichiers et les métadonnéesassociées à partir d'ordinateurs vers des équipements mobiles, tels que des smartphones. Leséquipements MTP ne sont pas des équipements amovibles traditionnels, car l'équipement met enœuvre le système de fichiers, pas l'ordinateur auquel il est connecté. Lorsque le client est configurépour les équipements MTP, la règle de protection des périphériques de stockage amovibles lui permetd'intercepter les transferts MTP et d'appliquer des stratégies de sécurité. Seules les connexions USBsont actuellement prises en charge.

Le gestionnaire fonctionne avec tous les transferts de données effectués par l'Explorateur Windows. Ilne fonctionne pas avec les équipements iOS, qui utilisent iTunes pour gérer les transferts de données.Pour les équipements iOS, vous pouvez utiliser une règle pour équipements de stockage amoviblespour configurer les équipements en lecture seule.

Protection de copie de fichiers avancée

La protection contre la copie de fichiers avancée intercepte les opérations de copie de Windows Explorer etpermet au client McAfee DLP Endpoint d'inspecter le fichier à la source avant de le copier surl'équipement amovible. Elle est activée par défaut, et ne doit être désactivée que pour résoudre lesproblèmes.

Il existe des cas d'utilisation où la protection de copie avancée ne s'applique pas. Par exemple, unfichier ouvert par une application et enregistré sur un équipement amovible avec Enregistrer sous revient àla protection de copie normale. Le fichier est copié sur l'équipement, puis inspecté. Si du contenuconfidentiel est détecté, le fichier est immédiatement supprimé.

Actions des règles de protection des donnéesPour définir l'action appliquée par les règles de protection des données, vous devez l'entrer sousl'onglet Réaction.

Par défaut, l'action appliquée pour toutes les règles de protection des données est Aucune action. Lacombinaison de ce paramètre et de l'option Signaler l'incident crée une action de surveillance qui peut êtreutilisée pour affiner les règles avant de les appliquer en tant que règles de blocage. En plus de lagénération de rapports, la plupart des règles vous permettent de stocker le fichier d'origine qui adéclenché la règle, en tant que preuve. Le stockage de preuves est facultatif lorsque vous signalez unincident.

Meilleure pratique : définissez Signaler l'incident comme valeur par défaut pour toutes les règles dansParamètres DLP. Cela évite toute erreur accidentelle susceptible de se produire si vous n'entrez aucuneréaction. Vous pouvez modifier la valeur par défaut dès que nécessaire.

L'option de notification utilisateur active la fenêtre pop-up de notification des utilisateurs surl'ordinateur client. Sélectionnez une définition de notification utilisateur pour activer l'option.

Différentes actions peuvent être appliquées lorsque l'ordinateur est déconnecté du réseau d'entreprise.Certaines règles autorisent également d'autres actions lorsque l'ordinateur est connecté au réseau parVPN.

Le tableau ci-dessous fournit la liste des actions disponibles en plus de Aucune action, Signaler l'incident,Notification utilisateur et Stocker le fichier d'origine comme preuve.



Tableau 7-3 Actions disponibles pour les règles de protection des données

Règle de protectiondes données

Réactions Informations supplémentaires

Protection de l'accès auxfichiers d'application

Bloquer Lorsque le champ de classification est défini surest n'importe quelle donnée (TOUS), l'action de blocagen'est pas autorisée. Si vous tentez d'enregistrerla règle avec ces conditions, une erreurapparaît.


Bloquer

Protection du cloud • Bloquer

• Demander unejustification

• Appliquer une stratégiede gestion des droits

• Chiffrer

Le chiffrement est pris en charge sur Box,Dropbox, GoogleDrive et OneDrive - Personnel.Si vous tentez de télécharger des fichierschiffrés vers d'autres applications cloud, ils nepeuvent pas être enregistrés.

Protection de la messagerie Actions McAfee DLPEndpoint :• Bloquer


Pour McAfee DLP Prevent,la seule réaction disponibleest Ajouter l'en-têteX-RCIS-Action.

Prend en charge d'autres actions pour McAfeeDLP Endpoint si l'ordinateur n'est pas connectéau réseau d'entreprise.

Protection des équipementsmobiles

Aucune action Pour l'instant, uniquement pris en charge pourla surveillance (Signaler l'incident et Stocker le fichierd'origine comme preuve).

Protection descommunications réseau

Bloquer L'option de stockage de preuves n'est pasdisponible.Prend en charge d'autres actions si l'ordinateurest connecté au réseau de l'entreprise par VPN.

Protection du partage réseau • Demander unejustification

• Chiffrer

Les options de chiffrement sont McAfee® Fileand Removable Media Protection (FRP) et lelogiciel de chiffrement StormShield DataSecurity.L'action Chiffrer n'est pas prise en charge surMcAfee DLP Endpoint for Mac.


• Bloquer


Prend en charge d'autres actions si l'ordinateurest connecté au réseau de l'entreprise par VPN.

Protection des périphériquesde stockage amovibles

• Bloquer


• Chiffrer

L'action Chiffrer n'est pas prise en charge surMcAfee DLP Endpoint for Mac.



Tableau 7-3 Actions disponibles pour les règles de protection des données (suite)

Règle de protectiondes données

Réactions Informations supplémentaires

Protection contre lescaptures d'écran

Bloquer

Web Protection Réactions McAfee DLPEndpoint :• Bloquer


L'action Demander une justification n'est pasdisponibles sur McAfee DLP Prevent.

Règles de contrôle des équipementsLes règles de contrôle des équipements définissent les mesures prises lorsque des équipementsparticuliers sont utilisés.

Les règles de contrôle des équipements peuvent surveiller ou bloquer des équipements connectés àdes ordinateurs managés par l'entreprise. McAfee DLP Endpoint pour Windows prend en charge lestypes de règles suivants :

• Règle d'équipement Citrix XenApp • Règle pour équipements de stockage amovibles

• Règle du disque dur fixe • Règle d'accès aux fichiers de stockage amovibles

• Règle d'équipement Plug-and-Play • Règle d'équipement TrueCrypt

McAfee DLP Endpoint for Mac prend en charge les types de règles suivants :

• Règle d'équipement Plug-and-Play (équipements USB uniquement)

• Règle d'accès aux fichiers de stockage amovibles

Les règles de contrôle des équipements sont décrites en détail dans la section Protection des supportsamovibles.

Voir aussi Protection des équipements, page 94

Règles de découverteMcAfee DLP Endpoint et McAfee DLP Discover utilisent des règles de découverte pour analyser lesfichiers et les répertoires.

Tableau 7-4 Descriptions des vecteurs de données

Produit Règle de découverte

McAfee DLP Endpoint E-mail local (OST, PST)

Système de fichiers local

McAfee DLP Discover Protection Box

Protection des serveurs de fichiers (CIFS)

Protection de SharePoint

Protection de contenu confidentielRègles de contrôle des équipements 7


Listes blanchesLes listes blanches sont des collections d'éléments que le système doit ignorer.

Vous pouvez inclure dans la liste blanche du contenu, des équipements, des processus et des groupesd'utilisateurs.

Listes blanches dans les règles de protection des données

Vous pouvez spécifier les processus inclus dans la liste blanche pour les règles de protection contrel'impression et du Presse-papiers dans la configuration du client Windows Catalogue de stratégies sur lespages respectives. Vous pouvez spécifier les URL incluses dans la liste blanche sur la page Protectionweb. Etant donné que ces listes blanches sont appliquées au niveau du client, elles fonctionnent avectoutes les règles de protection web, de protection du Presse-papiers et de protection contrel'impression. Les règles de protection du Presse-papiers et de protection contre l'impression ignorentle contenu produit par les processus inclus dans la liste blanche. Les règles de protection web ne sontpas appliquées sur les URL incluses dans la liste blanche.

Vous pouvez spécifier les processus inclus dans la liste blanche pour l'extraction de texte sur la pageSuivi du contenu. Selon la définition, l'extracteur de texte n'analyse pas les fichiers ou les empreintes decontenu ouverts par l'application spécifiée, ou ne crée pas d'empreintes dynamiques pour letéléchargement web. La définition peut indiquer des dossiers et des extensions spécifiques, ce quipermet un contrôle granulaire des éléments inclus dans la liste blanche. Si aucun dossier n'estnommé, le processus n'est pas surveillé par les règles d'accès aux fichiers de l'application.

Listes blanches dans les règles d'équipement

Vous pouvez créer des définitions Plug-and-Play incluses dans la liste blanche dans les définitionsd'équipement du gestionnaire de stratégies DLP.

Certains équipements Plug-and-Play ne gèrent pas correctement les équipements. Si vous tentez deles gérer, le système risque de ne plus répondre ou d'autres problèmes peuvent survenir. Leséquipements Plug-and-Play inclus dans la liste blanche sont automatiquement exclus lorsqu'unestratégie est appliquée.

Les définitions Plug-and-Play incluses dans la liste blanche ne sont pas applicables sur les systèmesd'exploitation OS X.

L'onglet Exceptions dans les règles de contrôle des équipements est défini par listes blanches spécifiquesà la règle qui les contient. Les listes blanches excluent les définitions spécifiées de la règle.

• Utilisateurs exclus : utilisée dans toutes les règles d'équipement

• Définitions d'équipements exclus : utilisée dans toutes les règles d'équipement, sauf Citrix et TrueCrypt

• Processus exclus : utilisée dans les règles Plug-and-Play et de stockage amovible

• Paires Numéro de série - Utilisateur exclues : utilisée dans les règles Plug-and-Play et de stockage amovible

• Noms de fichier exclus : utilisée dans les règles d'accès aux fichiers de stockage amovible pourexempter des fichiers tels que les applications antivirus

7 Protection de contenu confidentielListes blanches


Personnalisation des messages aux utilisateurs finauxMcAfee DLP Endpoint envoie deux types de messages pour communiquer avec les utilisateurs finaux :les notifications et les messages de justification de l'utilisateur. McAfee DLP Prevent envoie desnotifications pour indiquer à un utilisateur qu'il a bloqué une demande web.

Les définitions de justification et de notification permettent de spécifier des paramètres régionaux(langues) et d'ajouter des espaces réservés qui seront remplacés par leur valeur réelle. Lorsque desparamètres régionaux sont définis, les messages et les boutons d'option (pour les justificationsmétier) apparaissent dans la langue par défaut de l'ordinateur client. Les paramètres régionauxsuivants sont pris en charge :

• Anglais (US) • Japonais

• Anglais (UK) • Coréen

• Français • Russe

• Allemand • Chinois (simplifié)

• Espagnol • Chinois (traditionnel)

Anglais (US) est le paramètre régional standard par défaut, mais n'importe quel paramètre régionalpris en charge peut être défini comme la valeur par défaut dans la définition. Le paramètre régionalpar défaut est utilisé lorsque d'autres paramètres régionaux définis ne sont pas disponibles commelangue par défaut de l'ordinateur client. McAfee DLP Prevent tente de détecter la langue préférée del'utilisateur à partir des en-têtes de demande.

McAfee DLP Prevent ne prend pas totalement en charge les paramètres régionaux pour le coréen, lerusse ou le chinois simplifié.

Notification utilisateur

Les notifications utilisateur McAfee DLP Endpoint sont des messages pop-up qui informent l'utilisateurd'une violation de stratégie.

Lorsque plusieurs événements sont déclenchés par une règle, le message pop-up indique De nouveauxévénements DLP se trouvent dans la console DLP au lieu d'afficher plusieurs messages.

Lorsque McAfee DLP Prevent bloque une demande web, il envoie la notification sous la forme d'undocument HTML qui apparaît dans le navigateur de l'utilisateur. Le texte de notification que vousconfigurez peut contenir des balises HTML intégrées, telles que <p>, <ul> ou <li>. L'alerte quel'utilisateur voit indique également Accès refusé.

Justification métier

Une justification métier est une forme de contournement de stratégie. Lorsque l'option Demander unejustification est définie comme action d'une règle, l'utilisateur peut entrer la justification pour continuersans être bloqué.

Les messages de justification métier ne sont pas disponibles pour McAfee DLP Prevent.

Protection de contenu confidentielPersonnalisation des messages aux utilisateurs finaux 7


Espaces réservés

Les espaces réservés permettent d'intégrer un texte variable dans des messages, en fonction del'événement ayant déclenché l'envoi du message à l'utilisateur final. Les espaces réservés disponiblessont les suivants :

• %c pour les classifications

• %r pour le nom du jeu de règles

• %v pour le vecteur (par exemple, Email Protection, Web Protection, DLP Prevent)

• %a pour l'action (par exemple, Bloquer)

• %s pour la valeur de contexte (par exemple, le nom du fichier, le nom de l'équipement, l'objet del'e-mail, l'URI)

Sur McAfee DLP Prevent, le contenu du jeton %s est extrait de la première ligne de la demandeHTTP. Selon la configuration du serveur proxy web, il peut ne pas inclure le schéma et l'hôte.

Voir aussi Création d'une définition de justification, page 165Création d'une définition de notification, page 166

Réactions disponibles pour les types de règleLes réactions disponibles pour une règle varient selon le type de règle.

• Les règles de protection des données sont disponibles pour McAfee DLP Endpoint. Certaines règlesde protection des données sont disponibles pour McAfee DLP Prevent.

• Les règles de contrôle des équipements sont disponibles pour McAfee DLP Endpoint et DeviceControl.

• Certaines règles de découverte sont disponibles pour McAfee DLP Endpoint et d'autres pour McAfeeDLP Discover.

Tableau 7-5 Réactions des règles

Réaction Règles concernées : Résultat

Aucune action Tout Autorise l'action.

Ajouter l'en-têteX-RCIS-Action

Protection de la messagerie(McAfee DLP Preventuniquement)

Ajoute une valeur d'action pour l'en-têteX-RCIS-Action

Appliquer une stratégiede gestion des droits

• Protection des données

• Découverte du réseau

Non pris en charge surMcAfee DLP Endpoint forMac.

Applique une stratégie de gestion des droits aufichier.

Bloquer • Protection des données

• Contrôle des équipements

Bloque l'action.

Classer le fichier Découverte de terminaux Applique des classifications automatiques etintègre l'ID de marqueur de classification auformat du fichier.

Copier Découverte du réseau Copie le fichier à l'emplacement UNC spécifié.

7 Protection de contenu confidentielRéactions disponibles pour les types de règle


Tableau 7-5 Réactions des règles (suite)

Réaction Règles concernées : Résultat

Créer des empreintes decontenu

Découverte de terminaux Applique l'identification du contenu par empreinteau fichier.

Chiffrer • Protection des données

• Découverte de terminaux


Chiffre le fichier. Les options de chiffrement sontFRP ou le logiciel de chiffrement StormShield DataSecurity.

Modifier le partageanonyme sur laconnexion requise

Protection Box de découverte duréseau

Supprime le partage anonyme pour le fichier.

Déplacer Découverte du réseau Déplace le fichier vers l'emplacement UNCspécifié. Autorise la création d'un fichier d'espacesréservés (facultatif) pour indiquer à l'utilisateurque le fichier a été déplacé. Pour définir le fichierd'espaces réservés, vous devez sélectionner unedéfinition de notification utilisateur.

Quarantaine Découverte de terminaux Met le fichier en quarantaine.

Lecture seule Contrôle des équipements Force l'accès en lecture seule.

Signaler l'incident Tout Génère une entrée d'incident pour la violationdans le Gestionnaire d'incidents DLP.

Demander unejustification

Protection des données Ouvre une fenêtre pop-up sur l'ordinateur del'utilisateur final. Celui-ci sélectionne unejustification (et saisit des informations, si l'optionest définie) ou une action facultative.

Afficher le fichier dans laconsole DLP Endpoint

Découverte de terminaux Affiche les éléments Nom de fichier et Chemin d'accèsdans la console Endpoint. Nom de fichier est un lienpermettant d'ouvrir le fichier, sauf s'il est mis enquarantaine. Chemin d'accès permet d'ouvrir ledossier contenant le fichier.

Stocker l'e-mail d'originecomme preuve



Stocke le message d'origine dans le partage depreuve. S'applique aux règles de protection de lamessagerie McAfee DLP Endpoint et McAfee DLPPrevent uniquement.

Stocker le fichierd'origine comme preuve



• Découverte du réseau

Enregistre le fichier pour l'afficher dans legestionnaire d'incidents.

Requiert la définition d'un dossier de preuveset l'activation du service de copie de preuve.

Notification utilisateur • Protection des données

• Contrôle des équipements


Envoie un message à l'ordinateur client pourinformer l'utilisateur de la violation de stratégie.

Lorsque l'option Notification utilisateur estsélectionnée et que plusieurs événements sontdéclenchés, le message pop-up indique Denouveaux événements DLP se trouvent dans laconsole DLP, au lieu d'afficher plusieursmessages.

Reconfiguration des règles d'action pour le contenu web

Protection de contenu confidentielRéactions disponibles pour les types de règle 7


Vous devez reconfigurer les règles d'action McAfee DLP Prevent pour les utiliser sur des serveursproxy.

Les serveurs proxy peuvent uniquement AUTORISER ou BLOQUER du contenu web.

Tableau 7-6 Réactions des règles de protection des données de McAfee DLP Endpoint

Règles Réactions

Aucuneaction

Appliquerune

stratégiede gestiondes droits

Bloquer Chiffrer Signalerl'incident

Demanderunejustification

Stockerle fichier(e-mail)d'originecommepreuve

Notificationutilisateur

Protection del'accès auxfichiersd'application

X X X X X


X X X X X

Protection ducloud

X X X X X X X X

Protection de lamessagerie(McAfee DLPEndpoint pourWindowsuniquement)

X X X X X

Protection mobile X X X

Protection descommunicationsréseau

X X X X

Protection dupartage réseau

X X X X


X X X X X X

Protection deséquipements destockageamovibles

X X X X X X X

Protection contreles capturesd'écran

X X X X X

Protection web X X X X X X

Tableau 7-7 Réactions des règles de contrôle des équipements

RèglesRéactions

Aucune action Bloquer Lecture seule

Equipement Citrix XenApp X

Disque dur fixe X X X

Equipement Plug-and-Play X X

Equipements de stockage amovibles X X X

7 Protection de contenu confidentielRéactions disponibles pour les types de règle


Tableau 7-7 Réactions des règles de contrôle des équipements (suite)

RèglesRéactions

Aucune action Bloquer Lecture seule

Accès aux fichiers des équipements de stockageamovibles X X

périphérique TrueCrypt X X X

Tableau 7-8 Réactions des règles de découverte McAfee DLP Endpoint

Règles

Réactions

Aucuneaction Chiffrer

Appliquer unestratégie degestion desdroits

Mettre enquarantaine

Créer uneempreintede contenu

Classer lefichier

Système defichiersEndpoint

X X X X X X

Protectiondu stockagedes e-mailsEndpoint

X X X

Tableau 7-9 Réactions des règles de découverte McAfee DLP Discover

Règles

Réactions

Aucune action Copier DéplacerAppliquer unestratégie degestion des droits

Modifier le partageanonyme sur laconnexion requise

ProtectionBox

X X X X X

Protection desserveurs defichiers(CIFS)

X X X X

Protection deSharePoint

X X X X

Protection de contenu confidentielRéactions disponibles pour les types de règle 7


Création et configuration de règles et de jeux de règlesCréez et configurez des règles pour vos stratégies McAfee DLP Endpoint, Device Control, McAfee DLPDiscover, McAfee DLP Prevent et McAfee DLP Prevent for Mobile Email.

Procédures• Création d'un jeu de règles, page 162

Les jeux de règles combinent la protection multi-équipements, la protection des données etles règles d'analyse de découverte.

• Création d'une règle, page 162Le processus de création d'une règle est identique pour tous les types de règles.

• Affectation de jeux de règles à des stratégies, page 163Avant d'être affectés à des ordinateurs clients, les jeux de règles sont affectés à desstratégies et les stratégies sont appliquées à la base de données McAfee ePO.

• Activation, désactivation ou suppression de règles, page 164Vous pouvez supprimer ou modifier l'état de plusieurs règles simultanément.

• Sauvegarde et restauration d'une stratégie, page 164Vous pouvez sauvegarder une stratégie, avec ses règles et ses classifications à partir d'unserveur McAfee ePO et les restaurer sur un autre serveur McAfee ePO.

• Configuration de colonnes de règles ou de jeux de règles, page 165Vous pouvez déplacer, ajouter ou supprimer des colonnes de règles ou de jeux de règles.

• Création d'une définition de justification, page 165Pour McAfee DLP Endpoint, les définitions de justification métier définissent les paramètresdes actions préventives relatives aux justifications dans les règles.

• Création d'une définition de notification, page 166Avec McAfee DLP Endpoint, les notifications utilisateur apparaissent dans des fenêtrespop-up ou sur la console des utilisateurs finaux lorsque leurs actions enfreignent desstratégies.

Création d'un jeu de règlesLes jeux de règles combinent la protection multi-équipements, la protection des données et les règlesd'analyse de découverte.



2 Cliquez sur l'onglet Jeux de règles.

3 Sélectionnez Actions | Nouveau jeu de règles

4 Entrez le nom et éventuellement une remarque, puis cliquez sur OK.

Création d'une règleLe processus de création d'une règle est identique pour tous les types de règles.

7 Protection de contenu confidentielCréation et configuration de règles et de jeux de règles





3 Cliquez sur le nom d'un jeu de règles et si nécessaire, sélectionnez l'onglet approprié pour la règlede protection des données, de contrôle des équipements ou de découverte.

4 Sélectionnez Actions | Nouvelle règle, puis sélectionnez le type de règle.

5 Dans l'onglet Condition, saisissez les informations.

• Pour certaines conditions, telles que les classifications ou les définitions d'équipement, cliquezsur ... pour sélectionner un élément existant ou créer un élément.

• Pour ajouter des critères, cliquez sur +.

• Pour supprimer des critères, cliquez sur –.

6 (Facultatif) Pour ajouter des exceptions à la règle, cliquez sur l’onglet Exceptions.

a Sélectionnez Actions | Ajouter une exception à la règle.

Les règles d'équipement n'affichent pas de bouton Actions. Pour ajouter des exceptions auxrègles d'équipement, sélectionnez une entrée dans la liste affichée.

b Renseignez les champs selon les besoins.

7 Sous l'onglet Réaction, configurez les options Action, Notification utilisateur et Signaler l'incident.

Les règles peuvent avoir différentes actions, selon que l'ordinateur client se trouve ou non dans leréseau de l'entreprise. Certaines règles peuvent également avoir une action différente lorsquel'ordinateur est connecté au réseau de l'entreprise par VPN.

8 Cliquez sur Enregistrer pour enregistrer la règle ou sur Fermer pour quitter sans sauvegarder.

Voir aussi Jeux de règles, page 141

Affectation de jeux de règles à des stratégiesAvant d'être affectés à des ordinateurs clients, les jeux de règles sont affectés à des stratégies et lesstratégies sont appliquées à la base de données McAfee ePO.

Avant de commencerSur la page Gestionnaire de stratégies DLP | Jeux de règles, créez un ou plusieurs jeux de règles etajoutez-leur les règles requises.

Protection de contenu confidentielCréation et configuration de règles et de jeux de règles 7



1 Sur la page Gestionnaire de stratégies DLP | Affectation de stratégie, effectuez l'une des actions suivantes :

• Sélectionnez Actions | Affecter un jeu de règles à des stratégies. Dans la fenêtre d'affectation, sélectionnezun jeu de règles dans la liste déroulante et sélectionnez les stratégies à lui affecter. Cliquez surOK.

• Sélectionnez Actions | Affecter des jeux de règles à une stratégie. Dans la fenêtre d'affectation,sélectionnez une stratégie dans la liste déroulante, puis choisissez les jeux de règles à luiaffecter. Cliquez sur OK.

Si vous désélectionnez un jeu de règles ou une stratégie précédemment sélectionné, le jeu de règlesest supprimé de la stratégie.

2 Sélectionnez Actions | Appliquer les stratégies sélectionnées. Dans la fenêtre d'affectation, sélectionnez lesstratégies à appliquer à la base de données McAfee ePO. Cliquez sur OK.

Seules les stratégies n'ayant pas encore été appliquées à la base de données apparaissent dans lafenêtre de sélection. Si vous modifiez une affectation de jeu de règles ou une règle dans un jeu derègles affecté, la stratégie apparaît et la stratégie révisée est appliquée à la place de la stratégieprécédente.

Activation, désactivation ou suppression de règlesVous pouvez supprimer ou modifier l'état de plusieurs règles simultanément.




3 Cliquez sur le nom d'un jeu de règles et si nécessaire, cliquez sur l'onglet approprié pour la règlede protection des données, de contrôle des équipements ou de découverte.

4 Sélectionnez une ou plusieurs règles.

5 Mettez à jour ou supprimez les règles sélectionnées.

• Pour activer les règles, sélectionnez Actions | Changer l'état | Activer.

• Pour désactiver les règles, sélectionnez Actions | Changer l'état | Désactiver.

• Pour supprimer les règles, sélectionnez Actions | Supprimer la règle de protection.

Sauvegarde et restauration d'une stratégieVous pouvez sauvegarder une stratégie, avec ses règles et ses classifications à partir d'un serveurMcAfee ePO et les restaurer sur un autre serveur McAfee ePO.Tenez compte des points suivants lorsque vous effectuez une restauration à partir d'un fichier :



• Veillez à ce qu'une clé de licence soit ajoutée avant de restaurer le fichier. Si vous restaurez lefichier sans licence, toutes les règles sont désactivées et vous devez les activer avant d'appliquer lastratégie.

• Pour McAfee DLP Discover, vous devez réaffecter les serveurs Discover aux analyses avantd'appliquer la stratégie.

Procédure

1 Dans McAfee ePO, sélectionnez Protection des données | Paramètres DLP | Sauvegarde et restauration.

2 Cliquez sur Sauvegarde sur fichier et enregistrez le fichier dans un emplacement comme une clé USB ouun dossier partagé.

3 Sur un autre serveur McAfee ePO, sélectionnez Protection des données | Paramètres DLP | Sauvegarde etrestauration.

4 Cliquez sur Restaurer depuis le fichier et sélectionnez le fichier enregistré précédemment.

Configuration de colonnes de règles ou de jeux de règlesVous pouvez déplacer, ajouter ou supprimer des colonnes de règles ou de jeux de règles.




3 Accédez à la page Sélectionner les colonnes à afficher.

• Jeux de règles : sélectionnez Actions | Choisir les colonnes.

• Règles : sélectionnez un jeu de règles, puis sélectionnez Actions | Choisir les colonnes.

4 Modifiez les colonnes.

• Dans le volet Colonnes disponibles, cliquez sur les articles pour ajouter des colonnes.

• Dans le volet Colonnes sélectionnées, cliquez sur les flèches ou sur x pour déplacer ou supprimer descolonnes.

• Cliquez sur Utiliser les valeurs par défaut pour restaurer la configuration par défaut des colonnes.


Création d'une définition de justificationPour McAfee DLP Endpoint, les définitions de justification métier définissent les paramètres des actionspréventives relatives aux justifications dans les règles.



2 Cliquez sur l'onglet Définitions, puis sélectionnez Notification | Justification.


Protection de contenu confidentielCréation et configuration de règles et de jeux de règles 7



5 Pour créer des définitions de justification dans plusieurs langues, sélectionnez Actions des paramètresrégionaux | Nouveaux paramètres régionaux. Pour chaque langue requise, sélectionnez un environnementlocal dans la liste déroulante.

Les paramètres régionaux sélectionnés sont ajoutés à la liste.

6 Pour chaque langue, procédez comme suit :

a Dans le volet gauche, sélectionnez les paramètres régionaux à modifier. Saisissez du texte dansles zones de texte et cochez les cases selon vos besoins.

L'option Afficher les chaînes correspondantes fournit un lien dans la fenêtre pop-up afin d'afficher lecontenu avec le surlignage de correspondances. L'option Plus d'infos fournit un lien vers undocument ou une page intranet contenant des informations complémentaires.

Lorsque vous entrez une définition de paramètres régionaux, les cases à cocher et les actions nesont pas disponibles. Vous pouvez uniquement définir les intitulés des boutons, une présentationet un titre. Dans la section Options de justification, vous pouvez remplacer les définitions par défautpar la version correspondant aux paramètres régionaux en utilisant la fonctionnalité Modifier dansla colonne Actions.

b Entrez une présentation de la justification et éventuellement le titre de la boîte de dialogue.

La présentation est une instruction générale pour l'utilisateur, par exemple : Cette actionnécessite une justification métier. Le nombre maximal de caractères autorisé est de 500.

c Saisissez du texte pour les intitulés de bouton et sélectionnez les actions associées. Cochez lacase Masquer le bouton pour créer une définition à deux boutons.

Les actions des boutons doivent correspondre aux actions préventives disponibles pour le typede règle qui utilise la définition. Par exemple, les règles de protection du partage réseau nedisposent que des mesures préventives Aucune action, Chiffrer ou Demander une justification. Si vousattribuez l'action Bloquer à l'un des boutons et que vous essayez d'utiliser la définition avec unerègle de protection du partage réseau, un message d'erreur apparaît.

d Saisissez du texte dans la zone de texte et cliquez sur Ajouter pour l'ajouter à la liste des optionsde justification. Cochez la case Afficher les options de justification pour permettre à l'utilisateur final deconsulter la liste.

Vous pouvez utiliser des espaces réservés pour personnaliser le texte, en indiquant ce qui adéclenché l'ouverture de la fenêtre pop-up.

7 Lorsque tous les paramètres régionaux sont définis, cliquez sur Enregistrer.


Création d'une définition de notificationAvec McAfee DLP Endpoint, les notifications utilisateur apparaissent dans des fenêtres pop-up ou sur laconsole des utilisateurs finaux lorsque leurs actions enfreignent des stratégies.



2 Cliquez sur l'onglet Définitions, puis sélectionnez Notification | Notification utilisateur.





5 Pour créer des définitions de notification utilisateur dans plusieurs langues, sélectionnez Actions desparamètres régionaux | Nouveaux paramètres régionaux. Sélectionnez tous les paramètres régionaux requisdans la liste déroulante.

Les paramètres régionaux sélectionnés sont ajoutés à la liste.

6 Pour chaque langue, procédez comme suit :

a Dans le volet gauche, sélectionnez les paramètres régionaux à modifier.

Vous pouvez définir n'importe quel paramètre régional comme valeur par défaut en cochant lacase Paramètres régionaux par défaut.

b Saisissez un message dans la zone de texte.

Vous pouvez utiliser des espaces réservés pour personnaliser le texte, en indiquant ce qui adéclenché l'ouverture de la fenêtre pop-up.

c (Facultatif) Cochez la case Afficher le lien pour plus d'informations et entrez une URL pour fournir desinformations plus détaillées.

Disponible uniquement avec les paramètres régionaux par défaut.

7 Lorsque tous les paramètres régionaux sont définis, cliquez sur Enregistrer.


Scénarios d'utilisation pour les règlesLes scénarios d'utilisation suivants fournissent des exemples d'utilisation des règles de protection desdonnées et des équipements.

Protection de contenu confidentielScénarios d'utilisation pour les règles 7


Procédures• Scénario d'utilisation : règle d'accès aux fichiers de stockage amovible avec processus

inclus dans la liste blanche, page 168Vous pouvez inclure des noms de fichiers dans la liste blanche comme une exception à unerègle de blocage de stockage amovible.

• Scénario d'utilisation : configurer un équipement amovible en lecture seule, page 169Les règles de protection des équipements de stockage amovibles, à la différence des règlesd'équipement Plug-and-Play, ont une option de lecture seule.

• Cas d'utilisation : bloquer et recharger un iPhone avec une règle d'équipement Plug-and-Play, page 170Il est possible de bloquer l'utilisation des iPhones d'Apple en tant qu'équipements destockage tout en permettant leur chargement à partir de l'ordinateur.

• Cas d'utilisation : empêcher de graver des informations confidentielles sur le disque,page 171Les règles de protection de l'accès aux fichiers d'application peuvent être utilisées pourbloquer l'utilisation de graveurs de CD et de DVD pour la copie d'informationsconfidentielles.

• Scénario d'utilisation - Bloquer les messages sortants qui comportent du contenuconfidentiel, sauf s'ils sont envoyés à un domaine spécifié, page 172Les messages sortants sont bloqués s'ils contiennent le mot Confidentiel, sauf si ledestinataire est exempté de la règle.

• Scénario d'utilisation - Autoriser un groupe d'utilisateurs donné à envoyer des informationsbancaires, page 173Autorisez les membres du groupe d'utilisateurs des ressources humaines à envoyer desmessages qui contiennent des informations bancaires en obtenant des informations à partird'Active Directory.

• Scénario d'utilisation : classification des pièces jointes dans la catégorie PARTAGE-REQUISen fonction de leur destination, page 175Créez des classifications qui autorisent l'envoi des pièces jointes PARTAGE-REQUIS auxemployés situés aux Etats-Unis, en Allemagne et en Israël.

Scénario d'utilisation : règle d'accès aux fichiers de stockageamovible avec processus inclus dans la liste blancheVous pouvez inclure des noms de fichiers dans la liste blanche comme une exception à une règle deblocage de stockage amovible.

Les règles d'accès aux fichiers de stockage amovible sont utilisées pour empêcher les applicationsd'agir sur l'équipement amovible. Les noms de fichiers inclus dans la liste blanche sont définis commedes processus qui ne sont pas bloqués. Dans cet exemple, nous bloquons des équipements destockage amovibles Sandisk, mais nous autorisons un logiciel antivirus à analyser l'équipement poursupprimer les fichiers infectés.

Cette fonctionnalité est uniquement prise en charge pour les ordinateurs Windows.

7 Protection de contenu confidentielScénarios d'utilisation pour les règles




2 Sous l'onglet Définitions, localisez la définition d'équipement intégrée pour Tous les équipements de stockageamovibles Sandisk (Windows) et cliquez sur Dupliquer.

La définition utilise l'ID de fournisseur Sandisk 0781.

Meilleure pratique : dupliquez les définitions intégrées pour personnaliser une définition. Parexemple, vous pouvez ajouter d'autres ID de fournisseur à la définition Sandisk dupliquée pourajouter d'autres marques d'équipements amovibles.

3 Sous l'onglet Jeux de règles, sélectionnez ou créez un jeu de règles.

4 Sous l'onglet Contrôle des équipements du jeu de règles, sélectionnez Actions | Nouvelle règle | Règle d'accèsaux fichiers de stockage amovibles.

5 Saisissez un nom pour la règle et sélectionnez Etat | Activé.

6 Sous l'onglet Conditions, sélectionnez un utilisateur final ou laissez la valeur par défaut (est n'importe quelutilisateur). Dans le champ Stockage amovible, sélectionnez la définition d'équipements créée à l'étape 2.Conservez les paramètres par défaut pour true file type et Extension de fichier.

7 Sous l'onglet Exceptions, sélectionnez Noms de fichiers inclus dans la liste blanche.

8 Dans le champ Nom du fichier, ajoutez la définition McAfee AV intégrée.

Comme avec la définition d'équipement de stockage amovible, vous pouvez dupliquer cettedéfinition et la personnaliser.

9 Sous l'onglet Réaction, sélectionnez Action | Bloquer. Vous pouvez éventuellement ajouter unenotification utilisateur et sélectionner l'option Signaler l'incident.

10 Cliquez sur Enregistrer, puis sur Fermer.

Scénario d'utilisation : configurer un équipement amovible enlecture seuleLes règles de protection des équipements de stockage amovibles, à la différence des règlesd'équipement Plug-and-Play, ont une option de lecture seule.

En configurant des équipements amovibles en lecture seule, vous pouvez autoriser des utilisateurs àutiliser leurs appareils personnels en tant que lecteurs MP3, tout en empêchant leur utilisation en tantqu'équipements de stockage.





2 Sous l'onglet Définitions, à la page Définitions d'équipement, créez une définition d'équipement destockage amovible.

Les définitions d'équipement de stockage amovible doivent être classées en tant que définitionsWindows ou Mac. Commencez par dupliquer l'une des définitions intégrées pour Windows ou Mac etpersonnalisez-la. Le type de bus peut inclure USB, Bluetooth et tout autre type de bus que vous pensezutiliser. Identifiez les équipements des ID de fournisseur ou des noms d'équipement.

3 Sous l'onglet Jeux de règles, sélectionnez ou créez un jeu de règles.

4 Sous l'onglet Contrôle des équipements, sélectionnez Actions | Nouvelle règle | Règle pour équipements de stockageamovibles.

5 Entrez le nom de la règle et sélectionnez Etat | Activé. Dans la section Conditions, dans le champStockage amovible, sélectionnez la définition d'équipements que vous avez créée à l'étape 2.

6 Sous l'onglet Réaction, sélectionnez Action | Lecture seule. Vous pouvez éventuellement ajouter unenotification utilisateur et sélectionner l'option Signaler l'incident.


Cas d'utilisation : bloquer et recharger un iPhone avec unerègle d'équipement Plug-and-PlayIl est possible de bloquer l'utilisation des iPhones d'Apple en tant qu'équipements de stockage tout enpermettant leur chargement à partir de l'ordinateur.

Ce cas d'utilisation crée une règle qui bloque un utilisateur en l'empêchant d'utiliser l'iPhone commeéquipement de stockage de masse. Une règle de protection des équipements Plug-and-Play est utiliséecar elle permet de recharger les iPhones, indépendamment de la façon dont la règle est spécifiée.Cette fonctionnalité n'est pas prise en charge pour d'autres smartphones ou d'autres équipementsmobiles d'Apple. Elle n'empêche pas un iPhone d'être rechargé depuis l'ordinateur.

Pour définir une règle d'équipement Plug-and-Play pour des équipements spécifiques, vous créez unedéfinition d'équipement avec les codes d'identification du fournisseur et du produit (VID/PID). Vouspouvez trouver ces informations dans le gestionnaire de périphériques de Windows lorsque l'équipement estbranché. Comme cet exemple ne nécessite qu'un VID, vous pouvez utiliser la définition d'équipementintégrée dans Tous les équipements Apple au lieu de rechercher les informations.



2 Sous l'onglet Jeux de règles, sélectionnez un jeu de règles (ou créez-en un). Cliquez sur l'ongletContrôle des équipements et créez une règle d'équipement Plug-and-Play. Utilisez la définitiond'équipement intégrée Tous les équipements Apple comme définition incluse (fait partie de (OU)).

3 Sous l'onglet Réaction, définissez la valeur Action sur Bloquer.




Cas d'utilisation : empêcher de graver des informationsconfidentielles sur le disqueLes règles de protection de l'accès aux fichiers d'application peuvent être utilisées pour bloquerl'utilisation de graveurs de CD et de DVD pour la copie d'informations confidentielles.

Avant de commencerCréez une classification pour identifier le contenu confidentiel. Utilisez des paramètrespertinents pour votre environnement : mots clés, modèles de texte, information sur lefichier, et ainsi de suite.



2 Sous l'onglet Jeux de règles, sélectionnez un jeu de règle actuel ou sélectionnez Actions | Nouveau jeu derègles et définissez un jeu de règles.

3 Sous l'onglet Protection des données, sélectionnez Actions | Nouvelle règle | Protection de l'accès aux fichiersd'application.

4 (Facultatif) Entrez un nom dans le champ Nom de la règle (obligatoire). Sélectionnez les options pourles champs Etat et Gravité.

5 Sous l'onglet Condition, dans le champ Classification, sélectionnez la classification que vous avez crééepour votre contenu confidentiel.

6 Dans le champ Utilisateur final, sélectionnez les groupes d'utilisateurs (facultatif).

L'ajout d'utilisateurs ou de groupes à la règle limite la règle à des utilisateurs spécifiques.

7 Dans le champ Applications, sélectionnez Media Burner Application [intégré] dans la liste des définitionsd'applications disponibles.

Vous pouvez créer votre propre définition de graveur multimédia en modifiant la définition intégrée.La modification d'une définition intégrée crée automatiquement une copie de la définition originale.

8 (Facultatif) Sous l'onglet Exceptions, créez des exceptions à la règle.

Les définitions d'exceptions peuvent inclure n'importe quel champ qui se trouve dans une définitionde condition. Vous pouvez définir plusieurs exceptions à utiliser dans différentes situations. Parexemple, vous pouvez définir des « utilisateurs privilégiés » auxquels la règle ne s'appliquera pas.

9 Sous l'onglet Réaction, définissez la valeur Action sur Bloquer. Sélectionnez une notification utilisateur(facultatif). Cliquez sur Enregistrer, puis sur Fermer.

D'autres options permettent de modifier l'action de génération de rapport sur les incidents et deprévention définie par défaut lorsque l'ordinateur est déconnecté du réseau.

10 Sous l'onglet Affectation de stratégie, affectez le jeu de règles à une ou plusieurs stratégies :

a Sélectionnez Actions | Affecter un jeu de règles à des stratégies.

b Sélectionnez le jeu de règles de votre choix dans la liste déroulante.

c Sélectionnez la ou les stratégies auxquelles l'affecter.

11 Sélectionnez Actions | Appliquer les stratégies sélectionnées. Sélectionnez les stratégies à appliquer à labase de données McAfee ePO, puis cliquez sur OK.



Scénario d'utilisation - Bloquer les messages sortants quicomportent du contenu confidentiel, sauf s'ils sont envoyés àun domaine spécifiéLes messages sortants sont bloqués s'ils contiennent le mot Confidentiel, sauf si le destinataire estexempté de la règle.

Suivez les étapes générales suivantes :

• Créez une définition de liste d'adresses e-mail.

• Créer un jeu de règles et une règle qui s'applique aux messages qui contiennent le motConfidentiel.

• Spécifier les destinataires qui sont exemptés de la règle.

• Spécifier la réaction aux messages qui contiennent Confidentiel.

Tableau 7-10 Comportement attendu

Contenu del'e-mail

Destinataire Résultat attendu

Corps : Confidentiel [email protected] Le message est bloqué car il contient lemot « Confidentiel ».

Corps : Confidentiel [email protected] Le message n'est pas bloqué, car lesparamètres d'exception indiquent que lesdocuments confidentiels peuvent êtreenvoyés à exemple.com

Corps :Pièce jointe :Confidentiel

[email protected][email protected]

Le message est bloqué parce que l'un desdestinataires n'est pas autorisé à lerecevoir.


1 Créez une définition de liste d'adresses e-mail pour un domaine exempté de la règle.

a Dans la section Protection de données de McAfee ePO, sélectionnez Gestionnaire de stratégies DLP etcliquez sur Définitions.

b Sélectionnez la définition Liste des adresses e-mail et créez une copie de Domaine e-mail de mon entreprise(intégré).

c Sélectionnez la définition d'adresse e-mail que vous avez créée et cliquez sur Modifier.

d Dans Opérateur, sélectionnez Le nom de domaine est et définissez la valeur sur exemple.com.


2 Créez un jeu de règles avec une règle de protection de la messagerie.

a Cliquez sur Jeux de règles, puis sélectionnez Actions | Nouveau jeu de règles.

b Nommez le jeu de règles Blocage Confidentiel dans les e-mails.

c Créez une copie de la classification intégrée Confidentiel.

Une copie modifiable de la classification s'affiche.

d Cliquez sur Actions | Nouvelle règle | Règle de protection de la messagerie.



e Nommez la nouvelle règle Blocage Confidentiel et activez-la.

f Appliquez la règle sur DLP Endpoint pour Windows et DLP Prevent.

g Sélectionnez la classification que vous avez créée et ajoutez-la à la règle.

h Définissez le destinataire sur n'importe quel destinataire (TOUS).

Gardez les valeurs par défaut pour les autres paramètres de l'onglet Condition.

3 Ajoutez des exceptions à la règle.

a Cliquez sur Exceptions, puis sélectionnez Actions | Ajouter une exception à la règle.

b Attribuez un nom à l'exception et activez-la.

c Définissez la classification sur Confidentiel.

d Définissez l'option Destinataire sur au moins un destinataire appartient à tous les groupes (ET), puissélectionnez la définition de liste d'adresses e-mail que vous avez créée.

4 Configurez la réaction aux messages qui contiennent le mot Confidentiel.

a Cliquez sur Réaction.

b Dans DLP Endpoint, configurez l'action sur Bloquer pour les ordinateurs connectés ou non au réseaude l'entreprise.

c Dans DLP Prevent, sélectionnez l'option Ajouter l'en-tête X-RCIS-Action, puis cliquez sur la valeur Bloquer.

5 Enregistrez et appliquez la stratégie.

Scénario d'utilisation - Autoriser un groupe d'utilisateurs donnéà envoyer des informations bancairesAutorisez les membres du groupe d'utilisateurs des ressources humaines à envoyer des messages quicontiennent des informations bancaires en obtenant des informations à partir d'Active Directory.

Avant de commencerEnregistrez un serveur Active Directory sur McAfee ePO. Utilisez les fonctionnalitésServeurs enregistrés de McAfee ePO pour ajouter les détails du serveur. Pour plusd'informations sur l'enregistrement de serveurs, reportez-vous au Guide produit McAfeeePolicy Orchestrator.

Suivez ces étapes générales pour :

1 (Facultatif pour McAfee DLP Prevent uniquement) Sélectionnez un serveur LDAP auprès duquelobtenir le groupe d'utilisateurs.

2 Créer une classification pour les informations bancaires personnelles.

3 Créer un jeu de règles et une qui règle utilise cette nouvelle classification.

4 Exempter le groupe d'utilisateurs des ressources humaines de l'application de la règle.

5 Bloquer les messages qui contiennent des informations bancaires personnelles.

6 Appliquer la stratégie.

Meilleure pratique : pour faire en sorte que vos règles détectent les incidents de fuite de donnéespotentiels avec le moins de faux positifs possible, créez vos règles à l'aide du paramètre Aucune action.Contrôlez le Gestionnaire d'incidents DLP jusqu'à ce que vous estimiez que la règle détecte les incidents defaçon satisfaisante, puis définissez le paramètre Action sur Bloquer.




1 Sélectionnez le serveur LDAP auprès duquel vous souhaitez obtenir le groupe d'utilisateurs.

a Dans, McAfee ePO, ouvrez le catalogue de stratégies.

b Sélectionnez la stratégie Serveur McAfee DLP Prevent.

c Ouvrez la catégorie Utilisateurs et groupes et ouvrez la stratégie que vous souhaitez modifier.

d Sélectionnez les serveurs Active Directory que vous souhaitez utiliser.


2 Dans le menu McAfee ePO, sélectionnez Classification et créez un double de la classification PCI.

3 Créez le jeu de règles et ses exceptions.

a Ouvrez le Gestionnaire de stratégies DLP.

b Dans Jeux de règles, créez un jeu de règles appelé Bloquer PCI pour DLP Prevent etEndpoint.

c Ouvrez le jeu de règles que vous avez créé, sélectionnez Action | Nouvelle règle | Protection de lamessagerie et attribuez un nom à la règle.

d Dans Appliquer sur, sélectionnez DLP Endpoint pour Windows et DLP Prevent.

e Dans Classification de, sélectionnez la classification que vous avez créée.

f Laissez les valeurs par défaut pour les paramètres Expéditeur, Enveloppe d'e-mail et Destinataire.

4 Spécifiez le groupe d'utilisateurs que vous souhaitez exclure de la règle.

a Sélectionnez Exceptions, cliquez sur Actions | Ajouter une exception à la règle et nommez l'exceptionException groupe RH.

b Définissez la valeur Etat sur Activé.

c Dans Classification de, sélectionnez contient n'importe quelle donnée (TOUS).

d Dans Expéditeur sélectionnez appartient à l'un des groupes d'utilisateurs finaux (OU)

e Sélectionnez Nouvel élément et créez un groupe d'utilisateurs finaux appelé RH.

f Cliquez sur Ajouter des groupes, sélectionnez le groupe et cliquez sur OK.

5 Définissez l'action à appliquer si la règle se déclenche.

a Sélectionnez le groupe que vous avez créé et cliquez sur OK.

b Sélectionnez l'onglet Réaction.

c Dans la section DLP Endpoint, définissez Action sur Bloquer.

Si DLP Endpoint est sélectionné, vous devez définir une réaction.

d Dans la section DLP Prevent, définissez la valeur d'en-tête X-RCIS-Action sur Bloquer.

Si vous souhaitez tester la règle, vous pouvez laisser le paramètre Action défini sur Aucune actionjusqu'à ce qu'elle se déclenche comme vous le souhaitez.



e Sélectionnez Signaler l'incident.

f Enregistrez la règle, puis cliquez sur Fermer.

6 Appliquez la règle.

a Dans le Gestionnaire de stratégies DLP, sélectionnez Affectation de stratégie.

Modifications en attente indique Oui.

b Sélectionnez Actions | Affecter des jeux de règles à une stratégie.

c Sélectionnez le jeu de règles que vous avez créé.

d Sélectionnez Actions | Appliquer les stratégies sélectionnées.

e Cliquez sur Appliquer la stratégie.

Modifications en attente indique Non.

Scénario d'utilisation : classification des pièces jointes dans lacatégorie PARTAGE-REQUIS en fonction de leur destinationCréez des classifications qui autorisent l'envoi des pièces jointes PARTAGE-REQUIS aux employéssitués aux Etats-Unis, en Allemagne et en Israël.

Avant de commencer1 Utilisez les fonctionnalités Serveurs enregistrés de McAfee ePO pour ajouter les détails des

serveurs LDAP. Pour plus d'informations sur ce composant, reportez-vous au Guideproduit McAfee ePolicy Orchestrator.

2 Utilisez la fonctionnalité Paramètres LDAP dans la catégorie de stratégies Utilisateurs et groupespour envoyer en mode Push des informations sur les groupes à l'appliance McAfee DLPPrevent.

Suivez les étapes générales ci-dessous :

• Créez une classification PARTAGE-REQUIS.

• Créez une classification Etats-Unis.

• Créez une classification Israël.

• Créez des définitions de liste d'adresses e-mail.

• Création d'un jeu de règles et d'une règle qui classe les pièces jointes dans la catégoriePARTAGE-REQUIS.

• Configuration d'exceptions à la règle.

Les exemples de classification fournis dans le tableau indiquent le comportement des classificationsavec différents déclencheurs et destinataires.



Tableau 7-11 Comportement attendu

Classification Destinataire Résultat attendu

PJ1 : PARTAGE-REQUIS, Israël(.il) et Etats-Unis (.us)PJ2 : PARTAGE-REQUIS, Israël(.il) et Allemagne (.de)

[email protected] Autoriser : exemple1.com estautorisé à recevoir toutes lespièces jointesPARTAGE-REQUIS


[email protected] Autoriser : exemple2.com estautorisé à recevoir toutes lespièces jointesPARTAGE-REQUIS


[email protected]@exemple1.com

Autoriser : exemple1.com etexemple2.com sont autorisésà recevoir les deux piècesjointes


[email protected] Autoriser : gov.il est autorisépour les deux pièces jointes


[email protected] Bloquer : exempleutilisateur4n'est pas autorisé à recevoirla deuxième pièce jointe


[email protected]@gov.us

Bloquer : exempleutilisateur4n'est pas autorisé à recevoirla deuxième pièce jointe


[email protected]@gov.us

Bloquer : exempleutilisateur4n'est pas autorisé à recevoirla deuxième pièce jointe



Autoriser :exempleutilisateur1 etexempleutilisateur3 sontautorisées à recevoir les deuxpièces jointes



[email protected]

Bloquer : exempleutilisateur4ne peut pas recevoir ladeuxième pièce jointe


1 Créez une définition de liste d'adresses e-mail pour les domaines exemptés de la règle.

a Dans la section Protection de données de McAfee ePO, sélectionnez Gestionnaire de stratégies DLP etcliquez sur Définitions.

b Sélectionnez la définition Liste des adresses e-mail et créez une copie de Domaine e-mail de mon entreprise(intégré).



c Sélectionnez la définition d'adresse e-mail que vous avez créée et cliquez sur Modifier.

d Dans Opérateur, sélectionnez Le nom de domaine est et définissez la valeur sur exemple1.com.

e Créez une entrée pour exemple2.com.

f Cliquez sur Enregistrer.

g Répétez ces étapes pour créer une définition pour gov.il.

h Répétez les étapes à nouveau pour créer une définition pour gov.us.

2 Créez un jeu de règles comprenant une règle de protection de la messagerie.

a Cliquez sur Jeux de règles, puis sélectionnez Actions | Nouveau jeu de règles.

b Nommez le jeu de règles Autoriser les e-mails PARTAGE-REQUIS vers Israël et lesEtats-Unis.

3 Créez une règle et ajouter le critère de classification PARTAGE-REQUIS.

a Cliquez sur Actions | Nouvelle règle | Règle de protection de la messagerie.

b Nommez la règle PARTAGE-REQUIS, activez-la et appliquez-la sur DLP Endpoint pour Windows et DLPPrevent.

c Définissez Classification de sur l'une des pièces jointes (*).

d Sélectionnez contient l'un de (OU) et le critère de classification PARTAGE-REQUIS.

e Définissez le destinataire sur n'importe quel destinataire (TOUS).

f Gardez les valeurs par défaut pour les autres paramètres de l'onglet Condition.

4 Ajoutez des exceptions à la règle et activez chaque exception.

• Exception 1

1 Définissez Classification de sur pièce jointe correspondante.

2 Sélectionnez contient l'un de (OU) et le critère de classification PARTAGE-REQUIS.

3 Définissez Destinataire sur le destinataire correspondant appartient à l'un des groupes (OU), puis sélectionnezla définition d'adresse e-mail que vous avez créée qui inclut exemple.com et exemple2.com.

• Exception 2


2 Sélectionnez contient tous les (ET) et les critères de classification PARTAGE-REQUIS et .il (Israël).

3 Définissez Destinataire sur le destinataire correspondant appartient à l'un des groupes (OU), puis sélectionnezgov.il.

• Exception 3


2 Sélectionnez contient tous les (ET) et les critères de classification PARTAGE-REQUIS et .us (Etats-Unis).

3 Définissez Destinataire sur le destinataire correspondant appartient à l'un des groupes (OU), puis sélectionnezgov.us.



5 Définissez la réaction à appliquer si la règle se déclenche.

a Dans DLP Endpoint, définissez Action sur Bloquer.

b Dans DLP Prevent, définissez Action sur Ajouter l'en-tête X-RCIS-Action, puis sélectionnez la valeurBLOCAGE.


7 Appliquez la stratégie.



8 Analyse de données avec la découverteMcAfee DLP Endpoint

La fonction de découverte est un robot qui s'exécute sur les ordinateurs client. Il effectue desrecherches dans les fichiers du stockage des e-mails et du système de fichiers local, et applique desrègles pour protéger le contenu confidentiel.

Sommaire Protection des fichiers avec des règles de découverte Comment l'analyse de découverte fonctionne-t-elle ? Recherche de contenu avec le robot de découverte de terminaux

Protection des fichiers avec des règles de découverteLes règles de découverte définissent le contenu que McAfee DLP recherche lors de l'analyse desréférentiels et déterminent les mesures à prendre lorsque du contenu correspondant est détecté. Lesrègles de découverte peuvent être définies pour la découverte McAfee DLP Discover ou McAfee DLPEndpoint.

Selon le type de règle, les fichiers détectés lors d'une analyse peuvent être copiés, déplacés, classés,chiffrés ou mis en quarantaine. Ils peuvent aussi faire l'objet d'une stratégie de gestion des droits ouleur contenu peut être identifié par empreinte. Toutes les conditions de règle de découvertecomportent une classification.

Lorsque vous utilisez des règles de découverte du stockage des e-mails avec l'action de préventionMettre en quarantaine, vérifiez que le complément pour Outlook est activé (Catalogue de stratégies |Data Loss Prevention 10 | Configuration client | Mode de fonctionnement et modules). Vous ne pouvezpas libérer d'e-mails de la quarantaine lorsque le complément pour Outlook est désactivé.

Tableau 8-1 Règles de découverte disponibles

Type de règle Produit Contrôle les fichiers découverts par...

Système de fichiers local McAfee DLP Endpoint Les analyses du système de fichiers local.

E-mail local (OST, PST) McAfee DLP Endpoint Les analyses des systèmes de stockage dese-mails.

Protection des serveurs defichiers (CIFS)

McAfee DLP Discover Les analyses des serveurs de fichiers.

Protection de SharePoint McAfee DLP Discover Les analyses des serveurs SharePoint.

Les règles McAfee DLP Discover requièrent également un référentiel. Pour plus d'informations sur laconfiguration des règles et des analyses, consultez le chapitre Analyse des données avec McAfee DLPDiscover.

8


Analyses lancées par l'utilisateur finalQuand ces analyses sont activées dans la configuration de l'analyse du système de fichiers local pourles stratégies DLP, les utilisateurs finaux peuvent les exécuter et afficher des actions d'auto-correction.Chaque analyse doit être programmée et est lancée en fonction de cette programmation, quel'utilisateur décide ou non d'exécuter une analyse. Toutefois, lorsque l'option d'interaction del'utilisateur est activée, les utilisateurs finaux peuvent également exécuter des analyses quand ils lesouhaitent. Si l'option d'auto-correction est également sélectionnée, les utilisateurs finaux peuventégalement effectuer des actions de correction.

Classification automatique du système de fichiers localLorsque l'action Classer le fichier est sélectionnée pour les règles de découverte du système de fichierslocal, la règle applique la classification automatique et intègre l'ID du marqueur de classification dansle format des fichiers. L'ID est ajouté à tous les fichiers Microsoft Office et PDF, ainsi qu'aux formats defichier audio, vidéo et image. L'ID de classification peut être détecté par tous les produits McAfee DLPet tiers.

Limitation :

Dans la version 10.0.100 de McAfee DLP, seuls McAfee DLP Discover et McAfee DLP Endpoint pourWindows peuvent détecter automatiquement la classification intégrée.

Voir aussi Composants du module Classification, page 113

Comment l'analyse de découverte fonctionne-t-elle ?Les analyses de découverte Endpoint permettent de localiser le système de fichiers local ou les fichiersde stockage des e-mails contenant des données confidentielles, et de les marquer ou de les mettre enquarantaine.La fonction de découverte de McAfee DLP Endpoint est un robot qui s'exécute sur les ordinateursclients. Lorsqu'il détecte du contenu prédéfini, il peut surveiller, mettre en quarantaine, marquer ouchiffrer les fichiers comportant ce contenu, ou encore leur appliquer une stratégie de gestion desdroits. La découverte Endpoint peut analyser les fichiers d'ordinateur ou les fichiers de stockage dese-mails (PST, PST mappé et OST). Les fichiers de stockage des e-mails sont mis en cache pour chaqueutilisateur.

Pour utiliser la découverte Endpoint, vous devez activer les modules de découverte sur la pageCatalogue de stratégies | Configuration client | Mode de fonctionnement et modules.

A la fin de chaque analyse de découverte, le client McAfee DLP Endpoint envoie un événement desynthèse de découverte à la console Gestionnaire d'incidents DLP dans McAfee ePO pour consigner lesdétails de l'analyse. L'événement comporte un fichier de preuve qui répertorie les fichiers qui n'ont paspu être analysés. La raison pour laquelle ils n'ont pas pu être analysés est indiquée pour chaquefichier. Il existe aussi un fichier de preuve indiquant les fichiers correspondant à la classification et àl'action effectuée.

Dans McAfee DLP Endpoint 9.4.0, l'événement de synthèse était un événement opérationnel. Pourmettre à jour les anciens événements de synthèse dans le Gestionnaire d'incidents DLP, utilisez la tâcheserveur McAfee ePO Migrer des événements d'incident DLP de 9.4 vers 9.4.1.

Quand effectuer les recherches ?Pour planifier des analyses de découverte, accédez à la page Catalogue de stratégies | Stratégie DLP |Découverte Endpoint. Vous pouvez lancer une analyse à une heure précise chaque jour ou uniquementles jours de la semaine ou du mois que vous aurez spécifiés. Vous pouvez préciser les dates de départ

8 Analyse de données avec la découverte McAfee DLP EndpointComment l'analyse de découverte fonctionne-t-elle ?


et d'arrêt, ou exécuter une analyse lorsque la configuration McAfee DLP Endpoint est mise en œuvre.Vous pouvez suspendre une analyse lorsque le processeur ou la mémoire RAM de l'ordinateurdépassent une limite définie.

Si vous modifiez la stratégie de découverte lorsqu'une analyse Endpoint est en cours, les règles et lesparamètres de planification seront modifiés immédiatement. Les modifications liées à l'activation ou àla désactivation de paramètres seront appliquées au cours de la prochaine analyse. Si vousredémarrez l'ordinateur lorsqu'une analyse est en cours, l'analyse reprend à l'endroit où elle a étéinterrompue.

Quel type de contenu peut être détecté ?

Vous définissez des règles de découverte avec une classification. Les propriétés de fichier ouconditions de données pouvant être ajoutées aux critères de classification peuvent être utilisées pourdécouvrir du contenu.

Qu'advient-il des fichiers détectés qui présentent du contenu confidentiel ?

Vous pouvez mettre des fichiers d'e-mails en quarantaine ou les marquer. Vous pouvez chiffrer, mettreen quarantaine et marquer des fichiers du système de fichiers local, ou encore leur appliquer unestratégie de gestion des droits. Vous pouvez stocker des preuves pour les deux types de fichier.

Recherche de contenu avec le robot de découverte determinaux

Quatre étapes sont nécessaires à l'exécution du robot de découverte.

1 Créez et définissez des classifications pour identifier le contenu confidentiel.

2 Créez et définissez une règle de découverte. La classification est comprise dans la définition de larègle de découverte.

3 Créez une définition de planification.

4 Configurez les paramètres d'analyse. La définition d'analyse inclut la planification parmi sesparamètres.

Procédures

• Création et définition d'une règle de découverte, page 182Les règles de découverte définissent le contenu recherché par le robot et déterminent lesactions à effectuer lorsque ce contenu a été trouvé.

• Création d'une définition de planificateur, page 182Le planificateur permet de déterminer la période et la fréquence d'exécution d'une analysede découverte.

• Configuration d'une analyse, page 183Les analyses de découverte analysent le système de fichiers local ou les boîtes aux lettres,à la recherche de contenu confidentiel.

• Scénario d'utilisation : restauration des fichiers ou des e-mails mis en quarantaine,page 184Lorsque la découverte McAfee DLP Endpoint trouve du contenu confidentiel, elle déplace lesfichiers ou les e-mails concernés dans un dossier de quarantaine et les remplace par unespace réservé qui indique aux utilisateurs que leurs fichiers ou e-mails ont été mis enquarantaine. Les fichiers et les e-mails mis en quarantaine sont également chiffrés afind'empêcher toute utilisation non autorisée.

Analyse de données avec la découverte McAfee DLP EndpointRecherche de contenu avec le robot de découverte de terminaux 8


Création et définition d'une règle de découverteLes règles de découverte définissent le contenu recherché par le robot et déterminent les actions àeffectuer lorsque ce contenu a été trouvé.

Les règles de découverte peuvent porter sur les terminaux (messagerie locale, système de fichierslocal) ou le réseau (Box, CIFS, SharePoint).

Les modifications affectant une règle de découverte sont appliquées lorsque la stratégie est déployée.Une nouvelle règle prend effet immédiatement, même lorsqu'une analyse est en cours.

Pour les analyses de stockage des e-mails (PST, PST mappé et OST), le robot analyse les e-mails(corps et pièces jointes), les éléments du calendrier et les tâches. Il n'analyse pas les dossiers publicsou les notes récurrentes.



2 Sur la page Jeux de règles, sélectionnez Actions | Nouveau jeu de règles. Entrez un nom, puis cliquez surOK.

Vous pouvez également ajouter des règles de découverte à un jeu de règles existant.

3 Sous l'onglet Découverte, sélectionnez Actions | Nouvelle règle de découverte Endpoint puis sélectionnez E-maillocal ou Système de fichiers local.

La page correspondante s'affiche.

4 Saisissez le nom de la règle et sélectionnez une classification.

5 Cliquez sur Réaction. Sélectionnez une action dans la liste déroulante.

6 (Facultatif) Sélectionnez les options Signaler l'incident, définissez Etat sur Activé et choisissez unedésignation dans la liste déroulante Gravité.


Création d'une définition de planificateurLe planificateur permet de déterminer la période et la fréquence d'exécution d'une analyse dedécouverte.

Cinq types de planification sont fournis :

• Exécuter immédiatement • Hebdomadaire

• Une fois • Mensuelle

• Tous les jours




8 Analyse de données avec la découverte McAfee DLP EndpointRecherche de contenu avec le robot de découverte de terminaux


3 Dans le volet gauche, cliquez sur Planificateur.

Si McAfee DLP Discover et McAfee DLP Endpoint sont installés, la liste des calendriers existantscomprend les calendriers des deux logiciels.


La page Nouveau planificateur s'affiche.

5 Entrez un nom unique et sélectionnez le type de planification dans la liste déroulante.

Lorsque vous sélectionnez le type de planification, l'affichage change et fournit les champsnécessaires pour ce type particulier.

6 Définissez les options requises, puis cliquez sur Enregistrer.

Configuration d'une analyseLes analyses de découverte analysent le système de fichiers local ou les boîtes aux lettres, à larecherche de contenu confidentiel.

Avant de commencerVérifiez que les jeux de règles à appliquer aux analyses ont été appliqués à la stratégieDLP. Ces informations s'affichent dans l'onglet Stratégie DLP | Jeux de règles.

Les modifications apportées aux paramètres de découverte prennent effet lors de l'analyse suivante.Elles ne s'appliquent pas aux analyses en cours.



2 Sélectionnez Produit | Data Loss Prevention 10, puis sélectionnez la stratégie DLP active.

3 Sous l'onglet Découverte Endpoint, sélectionnez Actions | Nouvelle analyse Endpoint, puis sélectionnez E-maillocal ou Système de fichiers local.

4 Attribuez un nom à l'analyse, puis sélectionnez une planification dans la liste déroulante.

5 Facultatif : modifiez les valeurs par défaut pour Gestion des incidents et Traitement des erreurs. Définissez lavaleur Etat sur Activé.

Le traitement des erreurs est effectué lorsque le texte ne peut pas être extrait.

6 (Facultatif) Pour les analyses du système de fichiers local, sélectionnez la case à cocher dans lechamp Interaction de l'utilisateur pour autoriser l'utilisateur à exécuter les analyses activées avant leurlancement programmé. Vous pouvez également autoriser les utilisateurs à exécuter des actions decorrection à partir de la console client McAfee DLP Endpoint.

7 Sous l'onglet Dossiers, effectuez l'une des actions suivantes :

• Pour analyser un système de fichiers, sélectionnez Actions | Sélectionner les dossiers. Sélectionnezune définition de dossier existante ou cliquez sur Nouvel élément pour en créer une. Définissezl'option Inclure ou Exclure pour le dossier.

• Pour analyser les e-mails, sélectionnez les types de fichier (OST, PST) et les boîtes aux lettres àanalyser.



8 (Facultatif) Sous l'onglet Filtres (analyses de système de fichiers uniquement) sélectionnez Actions |Sélectionner les filtres. Sélectionnez une définition d'informations de fichier ou cliquez sur Nouvel élémentpour en créer une. Définissez l'option Inclure ou Exclure pour le filtre. Cliquez sur OK.

La valeur par défaut est Tous les fichiers. Le fait de définir un filtre rend l'analyse plus efficace.

9 Sous l'onglet Règles, vérifiez les règles qui s'appliquent.

Toutes les règles de découverte issues des jeux de règles appliqués à la stratégie sont exécutées.

Scénario d'utilisation : restauration des fichiers ou des e-mailsmis en quarantaineLorsque la découverte McAfee DLP Endpoint trouve du contenu confidentiel, elle déplace les fichiers oules e-mails concernés dans un dossier de quarantaine et les remplace par un espace réservé quiindique aux utilisateurs que leurs fichiers ou e-mails ont été mis en quarantaine. Les fichiers et lese-mails mis en quarantaine sont également chiffrés afin d'empêcher toute utilisation non autorisée.

Avant de commencerPour afficher l'icône McAfee DLP dans Microsoft Outlook, l'option Afficher les commandes delibération de la quarantaine dans Outlook doit être activée dans Catalogue de stratégies | Stratégie client |Mode de fonctionnement et modules. Lorsqu'elle est désactivée, l'icône et l'option de menucontextuel permettant d'afficher les e-mails mis en quarantaine sont bloquées, et vous nepouvez pas libérer d'e-mails de la quarantaine.

Lorsque vous définissez une règle de découverte du système de fichiers sur Quarantaine et que le robotdécouvre un contenu confidentiel, il déplace les fichiers concernés dans un dossier de quarantaine etles remplace par un espace réservé, qui indique aux utilisateurs que ces fichiers ont été mis enquarantaine. Les fichiers mis en quarantaine sont chiffrés afin d'empêcher toute utilisation nonautorisée.

Concernant les e-mails mis en quarantaine, McAfee DLP Endpoint ajoute un préfixe à l'objet dansOutlook pour indiquer aux utilisateurs que leurs e-mails ont été mis en quarantaine. Le corps del'e-mail et les pièces jointes sont mis en quarantaine.

Le mécanisme a été modifié depuis les versions précédentes de McAfee DLP Endpoint, qui pouvaitchiffrer le corps ou les pièces jointes, pour empêcher la corruption de la signature lors de l'utilisation dusystème de signature d'e-mail.

Les tâches et les éléments du calendrier Microsoft Outlook peuvent également être mis enquarantaine.

Figure 8-1 Exemple d'e-mail mis en quarantaine

Procédure1 Pour restaurer des fichiers mis en quarantaine, procédez comme suit :

a Dans la barre d'état système de l'ordinateur managé, cliquez sur l'icône McAfee Agent etsélectionnez Gérer les fonctions | Console DLP Endpoint.

La console DLP Endpoint s'ouvre.



b Sous l'onglet Tâches, sélectionnez Ouvrir le dossier de quarantaine.

Le dossier de quarantaine s'ouvre.

c Sélectionnez les fichiers à restaurer. Cliquez avec le bouton droit de la souris et sélectionnezLibérer de la quarantaine.

L'option Libérer de la quarantaine du menu contextuel s'affiche uniquement lorsque voussélectionnez des fichiers de type *.dlpenc (fichiers chiffrés par DLP).

La fenêtre pop-up Code d'autorisation s'affiche.

2 Pour restaurer les éléments d'e-mails mis en quarantaine : cliquez sur l'icône McAfee DLP ou cliquezavec le bouton droit de la souris et sélectionnez Libérer de la quarantaine.

a Dans Microsoft Outlook, sélectionnez les e-mails (ou autres éléments) à restaurer.

b Cliquez sur l'icône McAfee DLP.

La fenêtre pop-up Code d'autorisation s'affiche.

3 Copiez le code ID d'authentification indiqué dans la fenêtre pop-up et envoyez-le à l'administrateurDLP.

4 L'administrateur génère un code de réponse et l'envoie à l'utilisateur. (Ceci crée aussi unévénement opérationnel enregistrant tous les détails).

5 L'utilisateur saisit le code d'autorisation dans la fenêtre pop-up Code d'autorisation et clique sur OK.

Les fichiers déchiffrés sont restaurés à leur emplacement d'origine. Si la stratégie de déverrouillagedu code d'autorisation a été activée (sous l'onglet Configuration des agents | Service de notification) et quevous saisissez un code incorrect à trois reprises, la fenêtre pop-up est bloquée pendant 30 minutes(paramètre par défaut).

Pour les fichiers, si le chemin d'accès a été modifié ou supprimé, le chemin d'origine est restauré. Sil'emplacement indiqué contient un fichier portant le même nom, le fichier est restauré sous le nomxxx-copie.abc.



9 Analyse des données avec McAfee DLPDiscover

Configurez les analyses et la stratégie McAfee DLP Discover pour détecter et protéger vos fichiers.

Sommaire Choix du type d'analyse Informations utiles et limites des analyses Référentiels et informations d'identification pour les analyses Utilisation de définitions et de classifications avec des analyses Utilisation de règles avec des analyses Configuration des stratégies pour les analyses Configuration d'une analyse Exécution d'opérations d'analyse Comportement des analyses Analyse des données analysées

Choix du type d'analyseLe type d'analyse que vous configurez détermine le volume d'informations récupérées et les mesuresprises lors d'une analyse, ainsi que la configuration requise.

• Les analyses d'inventaire récupèrent uniquement les métadonnées, sur la base desquelles vouspouvez ensuite configurer des analyses de classification et de correction.

• Les analyses de classification récupèrent des métadonnées, effectuent une analyse des fichiers etcorrespondent aux classifications de stratégie que vous définissez.

• Les analyses de correction incluent une analyse de classification et peuvent prendre des mesuressur les fichiers qui correspondent aux règles configurées.

Les composants de stratégie à configurer dépendent du type d'analyse.

Tableau 9-1 Composants de stratégie requis

Type d'analyse Définitions Classifications Règles

Inventaire X

Classification X X

Correction X X X

Les résultats d'analyse sont affichés dans l'onglet Analyse des données. L'onglet Inventaire des données affichel'inventaire des fichiers traités par les analyses pour lesquelles l'option Liste des fichiers est activée.

9


Fonctionnement des analyses d'inventaireLes analyses d'inventaire sont les analyses les plus rapides, car elles récupèrent uniquement lesmétadonnées. Ainsi, une analyse d'inventaire est un bon point de départ pour planifier une stratégiede prévention des fuites de données.Les analyses d'inventaire permettent également d'automatiser des tâches informatiques telles que larecherche de fichiers vides ou de fichiers qui n'ont pas été modifiés depuis longtemps.

Une analyse d'inventaire effectue les tâches suivantes :

• Collecte les métadonnées, mais ne télécharge aucun fichier

• Renvoie des compteurs de traitement analytique en ligne (OLAP) et l'inventaire des données (listedes fichiers analysés)

• Restaure la date/l'heure du dernier accès aux fichiers analysés

Toutes les analyses collectent des métadonnées telles que le type, la taille, la date de création et ladate de la dernière modification des fichiers. Le type de métadonnées disponibles varie selon le typede référentiel. Par exemple, les analyses Box récupèrent les métadonnées de partage, de collaborationet de nom de compte.

Les résultats des analyses d'inventaire sont affichés dans les onglets Inventaire des données et Analyse desdonnées.

Fonctionnement des analyses de classificationVous pouvez utiliser les résultats des analyses d'inventaire pour créer des analyses de classification.Une analyse de classification effectue les tâches suivantes :

• Recueille les mêmes métadonnées qu'une analyse d'inventaire

• Analyse le type de fichier vrai en se fondant sur le contenu du fichier plutôt que sur l'extension

• Collecte des données sur les fichiers qui correspondent à la classification configurée

• Restaure la date/l'heure du dernier accès aux fichiers analysés

Les analyses de classification sont plus lentes que les analyses d'inventaire, car l'extracteur de textedoit accéder aux fichiers, en faire une analyse syntaxique, puis effectuer une nouvelle analyse afin dedéterminer les définitions de classification spécifiées auxquelles ils correspondent. Les classificationssont composées de définitions qui peuvent inclure des mots clés, des dictionnaires, des modèles detexte et des propriétés de document. Ces définitions permettent d'identifier d'éventuels contenusconfidentiels pouvant nécessiter une protection supplémentaire. Les outils OLAP vous permettentd'afficher les modèles multidimensionnels de ces paramètres et ainsi de créer des analyses decorrection optimisées.

Les résultats des analyses de classification sont affichés dans les onglets Inventaire des données et Analysedes données.

Détection de fichiers chiffrésLes analyses de classification détectent les fichiers avec ces types de chiffrement :

• Chiffrement Microsoft Rights Management

• Chiffrement Seclore Rights Management

• Types de chiffrement non pris en charge ou protection par mot de passe

• Non chiffré

Prenez en compte les points suivants lors de l'analyse de fichiers chiffrés :

9 Analyse des données avec McAfee DLP DiscoverChoix du type d'analyse


• McAfee DLP Discover peut extraire et analyser des fichiers chiffrés avec Microsoft RMS à conditionque les informations d'identification de McAfee DLP Discover soient configurées. D'autres fichierschiffrés ne peuvent pas être extraits, analysés ou détectés sur la base de classifications.

• Les fichiers chiffrés avec la gestion des droits numériques Adobe Primetime et McAfee® File andRemovable Media Protection (FRP) sont détectés comme Non chiffrés.

• McAfee DLP Discover prend en charge les options des critères de classification pour ChiffrementMicrosoft Rights Management et Non chiffré.

Fonctionnement des analyses de correctionVous pouvez utiliser les résultats des analyses d'inventaire et de classification pour créer des analysesde correction.Les analyses de correction appliquent des règles pour protéger le contenu confidentiel du référentielanalysé. Quand un fichier correspond à une classification définie pour une analyse de correction,McAfee DLP Discover peut effectuer les actions suivantes :

• Générer un incident

• Stocker le fichier original dans le partage de preuve

• Copier le fichier

• Déplacer le fichier

Les analyses Box et SharePoint prennent en charge le déplacement de fichiers vers des partagesCIFS uniquement.

• Appliquer une stratégie de gestion des droits au fichier

• (Analyses Box uniquement) Modifier le partage anonyme sur la connexion requise

McAfee DLP Discover ne peut pas empêcher les utilisateurs Box de réactiver le partage externe surleurs fichiers.

• Ne prendre aucune mesure

Le déplacement des fichiers et l'application de stratégies de gestion des droits ne sont pas pris encharge pour les listes SharePoint. Ces actions sont prises en charge pour les fichiers joints à des listesSharePoint ou stockés dans des bibliothèques de documents. Certains types de fichier utilisés pour lacréation de pages SharePoint (.aspx ou .js, par exemple) ne peuvent pas être déplacés ni supprimés.

Une analyse de correction effectue les mêmes tâches que les analyses d'inventaire et de classification.Les analyses de correction requièrent des classifications et des règles pour déterminer l'action àentreprendre sur les fichiers détectés.

Les résultats des analyses de correction sont affichés dans les onglets Inventaire des données et Analyse desdonnées. Les analyses de correction peuvent également générer des incidents, qui sont affichés dans leGestionnaire d'incidents.

Informations utiles et limites des analysesLors de la planification et de la configuration de vos analyses, tenez compte des éléments suivants.

Exclusion de répertoiresPour éviter tout effet négatif sur les performances, excluez les processus et les répertoires McAfee DLPDiscover des applications suivantes :

Analyse des données avec McAfee DLP DiscoverInformations utiles et limites des analyses 9


• Logiciels antivirus, y compris McAfee® VirusScan® Enterprise

• McAfee® Host Intrusion Prevention et autres logiciels McAfee

• Pare-feux

• Logiciels de protection d'accès

• Analyse à l'accès

Tableau 9-2 Eléments McAfee DLP Discover à exclure

Type Exclure

Processus • dscrawler.exe • dssvc.exe

• dstex.exe • dsrms.exe

• dseng.exe • dsmbroker.exe

• dsreport.exe

Répertoires • c:\programdata\mcafee\discoverserver

• c:\program files\mcafee\discoverserver

Clés de Registre • HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\McAfee\DiscoverServer

• HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\DiscoverServer

• HKEY_LOCAL_MACHINE\SOFTWARE\ODBC.INI\McAfeeDSPostgres

Définitions de référentielLa configuration d'emplacements de référentiel dans McAfee ePO présente les limitations suivantes.

• Les intervalles d'adresses IP sont uniquement pris en charge pour les adresses de classe C.

• Les intervalles d'adresses IP ne peuvent pas inclure d'adresses se terminant par 0 ou 255.

Vous pouvez définir une adresse IP individuelle se terminant par 0 ou 255.

• IPv6 n'est pas pris en charge.

Analyses de SharePointLes analyses de SharePoint ne portent pas sur les catalogues système, les listes masquées ou leslistes signalées comme NoCrawl. Les listes SharePoint étant hautement personnalisables, d'autres listespeuvent ne pas être analysées.

La plupart des listes prêtes à l'emploi disponibles dans SharePoint 2010 ou 2013 peuvent êtreanalysées, notamment :

• Annonces • Suivi des problèmes

• Contacts • Liens

• Forums de discussion • Réunions

• Evénements • Tâches

• Liste générique

Les éléments individuels d'une même liste sont combinés et regroupés dans une structure XML, puisanalysés comme un seul fichier XML. Les fichiers joints à des éléments de liste sont analysés telsquels.

9 Analyse des données avec McAfee DLP DiscoverInformations utiles et limites des analyses


Analyses Box

La configuration du même référentiel Box sur plusieurs serveurs Discover n'est pas prise en charge.

L'étendue des options d'analyse varie en fonction du compte utilisé. Pour analyser d'autres comptes,contactez le support technique de Box afin d'activer les fonctionnalités en tant qu'utilisateur.

• Le compte administrateur peut analyser tous les comptes.

• Un compte co-administrateur peut analyser son propre compte et les comptes utilisateurs.

• Un compte utilisateur peut uniquement analyser son propre compte.

Réglage de la bande passante pour une analyse

Les analyses importantes peuvent mobiliser une grande quantité de bande passante, en particulier surles réseaux disposant de faibles capacités de transmission. Par défaut, McAfee DLP Discover ne limitepas la bande passante lors des analyses.

Lorsque la limitation de la bande passante est activée, McAfee DLP Discover l'applique à des fichiersindividuels en cours de récupération plutôt qu'à l'ensemble de l'analyse, comme une moyenne. Mêmesi une analyse peut être largement au-dessus ou en dessous de la limitation configurée, le débitmoyen mesuré sur l'ensemble de cette analyse reste malgré tout très proche de cette limite. Lorsquecette option est activée, la valeur de limitation par défaut est de 2 000 ko/s.

Référentiels et informations d'identification pour les analysesMcAfee DLP Discover prend en charge les référentiels Box, CIFS et SharePoint.

Référentiels CIFS et SharePoint

Lorsque vous définissez un référentiel CIFS, le chemin d'accès UNC peut être le nom de domainecomplet (FQDN) (\\monserveur1.mondomaine.com) ou le nom de l'ordinateur local (\\monserveur1).Vous pouvez ajouter les deux conventions à une même définition.

Lorsque vous définissez un référentiel SharePoint, le nom d'hôte est l'URL du serveur sauf si lemappage des accès de substitution (AAM) est configuré sur le serveur. Pour plus d'informations surl'AAM, reportez-vous à la documentation Microsoft relative à SharePoint.

Chaque définition d'informations d'identification est propre à une définition de référentiel CIFS ouSharePoint. Dans la définition d'informations d'identification, si l'utilisateur est un utilisateur dedomaine, indiquez le nom de domaine complet dans le champ Nom de domaine. Si l'utilisateur est unutilisateur de groupe de travail, utilisez le nom de l'ordinateur local. Si la définition de référentiel necontient qu'un seul format de chemin UNC, par exemple le nom de domaine complet, vous devezutiliser ce format dans la définition d'informations d'identification.

Pour les référentiels de domaine AD, utilisez l'option Tester les informations d'identification pour vérifier le nomd'utilisateur et le mot de passe. L'utilisation d'informations d'identification incorrectes génère unévénement indiquant le motif de l'échec de l'analyse. Pour plus de détails, affichez l'événement dansla page Liste des événements opérationnels.

Référentiels Box

Lorsque vous définissez un référentiel Box, obtenez l'ID client et la clé secrète client à partir du siteweb Box. Utilisez le site web Box pour configurer l'application McAfee DLP Discover, l'option de gestiond'entreprise et la fonctionnalité utilisateur. Si vous n'utilisez pas de compte administrateur, contactezle support technique Box pour plus d'informations sur la configuration de cette fonctionnalité.

Analyse des données avec McAfee DLP DiscoverRéférentiels et informations d'identification pour les analyses 9


Utilisation de définitions et de classifications avec des analysesLes définitions et les classifications permettent de configurer des règles, des critères de classificationet des analyses. Tous les types d'analyse requièrent des définitions.

Deux types de définition sont utilisés dans McAfee DLP Discover.

• Les définitions utilisées dans les analyses permettent d'indiquer des planifications, des référentielset des informations d'identification pour les référentiels.

• Les définitions utilisées dans les classifications permettent d'indiquer les éléments pour lesquelsrechercher des correspondances lors de l'analyse des fichiers, comme les propriétés ou les donnéesd'un fichier.

Tableau 9-3 Définitions disponibles par fonction

Définition Utilisé pour

Modèle avancé* Classifications

Dictionnaire*

Propriétés de documents

Type de fichier vrai*

Extension de fichier* Classifications et analyses

Informations sur le fichier

Informations d'identification Analyses

Planificateur

Box

Serveur de fichiers (CIFS)

SharePoint

* Indique que des définitions prédéfinies (intégrées) sont disponibles

Les analyses de classification et de correction utilisent des classifications pour identifier les données etles fichiers confidentiels.

Les classifications utilisent une ou plusieurs définitions pour faire correspondre les propriétés desfichiers et du contenu dans un fichier. Les analyses de classification permettent d'analyser les modèlesde données des fichiers. Les résultats des analyses de classification permettent d'affiner vosclassifications, qui peuvent ensuite être utilisées dans des analyses de correction.

Les documents enregistrés et les critères d'identification de contenu par empreinte ne sont pas utilisésdans McAfee DLP Discover. Les analyses de classification et de correction peuvent détecter les fichiersclassés manuellement, mais McAfee DLP Discover ne peut pas appliquer de classifications manuellesaux fichiers.

McAfee DLP Discover peut détecter et identifier des classifications automatiques définies par McAfeeDLP Endpoint sur les fichiers. Vous pouvez afficher les classifications automatiques dans les détailsrelatifs à l'incident ou dans l'onglet Inventaire des données.

Voir aussi Utilisation des classifications, page 114Définitions et critères de classification, page 119

9 Analyse des données avec McAfee DLP DiscoverUtilisation de définitions et de classifications avec des analyses


Utilisation de règles avec des analysesLes analyses de correction utilisent des règles pour détecter les fichiers confidentiels et prendre desmesures.

Les fichiers faisant l'objet d'une analyse de correction sont comparés à des règles de découverteactives. Si le fichier correspond au référentiel et aux classifications définies dans une règle, McAfeeDLP Discover peut prendre des mesures adaptées. Les options disponibles sont les suivantes :

• Ne prendre aucune mesure

• Créer un incident

• Stocker le fichier d'origine comme preuve

• Copier le fichier

• Déplacer le fichier

• Appliquer une stratégie de gestion des droits au fichier

• (Analyses Box uniquement) Supprimer le partage anonyme pour le fichier

Le déplacement des fichiers et l'application de stratégies de gestion des droits ne sont pas pris encharge pour les listes SharePoint. Ces actions sont prises en charge pour les fichiers joints à des listesSharePoint ou stockés dans des bibliothèques de documents. Certains types de fichier utilisés pour lacréation de pages SharePoint (.aspx ou .js, par exemple) ne peuvent pas être déplacés ni supprimés.

Les analyses Box prennent en charge le déplacement de fichiers vers des partages CIFS uniquement.

Voir aussi Jeux de règles, page 141Règles, page 144

Configuration des stratégies pour les analysesAvant de configurer une analyse, créez des définitions, des classifications et des règles pour votrestratégie McAfee DLP Discover.

Procédures• Création de définitions pour des analyses, page 194

Configurez les informations d'identification, les référentiels et les planificateurs utilisés pourles analyses.

• Création de règles pour les analyses de correction, page 199Utilisez des règles pour définir l'action à effectuer lorsqu'une analyse de correction détectedes fichiers qui correspondent à des classifications.

Voir aussi Création et configuration de classifications, page 128Création de définitions de classification, page 134

Analyse des données avec McAfee DLP DiscoverUtilisation de règles avec des analyses 9


Création de définitions pour des analysesConfigurez les informations d'identification, les référentiels et les planificateurs utilisés pour lesanalyses.

Procédures• Création de définitions d'analyse, page 194

Toutes les analyses requièrent une définition pour spécifier le référentiel, les informationsd'identification et la planification.

• Création d'une définition d'informations d'identification, page 195Des informations d'identification sont nécessaires pour pouvoir lire et modifier des fichiersdans la plupart des référentiels. Si ces informations d'identification sont les mêmes pourplusieurs de vos référentiels, vous pouvez utiliser la même définition d'informationsd'identification pour ces référentiels.

• Création d'une définition de référentiel CIFS ou SharePoint, page 196Configurer un référentiel CIFS ou SharePoint pour l'analyse.

• Création d'une définition de référentiel Box, page 197Configurez un référentiel Box pour l'analyse.

• Exportation ou importation de définitions de référentiel, page 198Si vous avez un grand nombre de référentiels, il peut être plus facile de les gérer commeun fichier XML plutôt que de les ajouter et les modifier un par un dans McAfee ePO.

• Création d'une définition de planificateur, page 198Le planificateur d'analyse permet de déterminer la période et la fréquence d'exécutiond'une analyse.

Création de définitions d'analyseToutes les analyses requièrent une définition pour spécifier le référentiel, les informationsd'identification et la planification.

Avant de commencerVous devez disposer du nom utilisateur, du mot de passe et du chemin d'accès pour leréférentiel.


1 Dans McAfee ePO, sélectionnez Menu | Protection des données | DLP Discover.


3 Créez une définition d'informations d'identification.

Pour les analyses de correction, les informations d'identification doivent disposer d'autorisations enlecture et écriture. Pour les analyses de correction qui appliquent une stratégie de gestion des droitsou qui déplacent des fichiers, des autorisations complètes sont requises.

a Dans le volet gauche, sélectionnez Autres | Informations d'identification.

b Sélectionnez Actions | Nouveau et remplacez le nom par défaut par un nom unique pour ladéfinition.

c Renseignez les paramètres des informations d'identification. Cliquez sur Enregistrer.

9 Analyse des données avec McAfee DLP DiscoverConfiguration des stratégies pour les analyses


4 Créez une définition de référentiel.

a Dans le volet gauche, sous Référentiels, sélectionnez le type du référentiel à créer.

b Sélectionnez Actions | Nouveau, entrez un nom de référentiel unique dans le champ Nom etrenseignez le reste des informations de type et de définitions.

Les paramètres Exclure sont facultatifs. Il est obligatoire d'indiquer au moins une définitiond'inclusion.

5 Créez une définition de planificateur.

a Dans le volet gauche, sélectionnez Autres | Planificateur DLP.

b Sélectionnez Actions | Nouveau et renseignez les paramètres du planificateur. Cliquez sur Enregistrer.

Les options disponibles pour le paramètre dépendent du type de planification que vous avezsélectionné.

6 Créez une définition d'informations sur le fichier.

Les définitions d'informations sur le fichier permettent de définir des filtres d'analyse. Ces filtresvous permettent d'analyser des référentiels de façon plus précise en définissant les fichiers à inclureet les fichiers à exclure. Les définitions d'informations sur le fichier sont facultatives maisrecommandées.

a Dans le volet gauche, sélectionnez Données | Informations sur le fichier.

b Sélectionnez Actions | Nouveau et remplacez le nom par défaut par un nom unique pour ladéfinition.

c Sélectionnez les propriétés à utiliser comme filtres et indiquez les informations de comparaison etde valeur. Cliquez sur Enregistrer.

Création d'une définition d'informations d'identificationDes informations d'identification sont nécessaires pour pouvoir lire et modifier des fichiers dans laplupart des référentiels. Si ces informations d'identification sont les mêmes pour plusieurs de vosréférentiels, vous pouvez utiliser la même définition d'informations d'identification pour cesréférentiels.




3 Dans le volet gauche, cliquez sur Informations d'identification.


Analyse des données avec McAfee DLP DiscoverConfiguration des stratégies pour les analyses 9


5 Attribuez un nom unique à la définition. Les champs Description et Nom de domaine sont facultatifs. Tousles autres champs sont obligatoires.

Si l'utilisateur est un utilisateur de domaine, indiquez le suffixe du domaine dans le champ Nom dedomaine. Si l'utilisateur est un utilisateur de groupe de travail, utilisez le nom de l'ordinateur local.

Pour analyser toutes les collections de sites d'une application web SharePoint, utilisez desinformations d'identification disposant d'un accès complet en lecture sur l'ensemble de l'applicationweb.

6 Pour les référentiels de domaine Windows, cliquez sur Tester les informations d'identification pour vérifier lenom d'utilisateur et le mot de passe auprès de McAfee ePO.

Les informations d'identification ne sont pas testées auprès du serveur Discover.

Il n'existe aucune vérification pour les informations d'identification qui n'appartiennent pas à undomaine Windows. En cas d'échec de l'analyse en raison d'informations d'identification incorrectes,un événement est créé sur la page Liste des événements opérationnels.

Création d'une définition de référentiel CIFS ou SharePointConfigurer un référentiel CIFS ou SharePoint pour l'analyse.

Lorsque vous définissez des paramètres d'inclusion ou d'exclusion pour des dossiers, vous pouvezutiliser des expressions régulières reposant sur la syntaxe Perl au lieu d'indiquer un chemin d'accèscomplet spécifique.

• Pour les entrées d'inclusion, indiquez le préfixe du chemin d'accès, tel que \\server ou \\server\share\folder. L'expression régulière doit correspondre exactement au suffixe du chemin d'accès.

• Pour les entrées d'exclusion, les dossiers correspondant au chemin d'accès seront entièrementignorés lors de l'analyse.




3 Dans le volet gauche, sous Référentiels, sélectionnez le type de référentiel.


5 Entrez un nom, sélectionnez les informations d'identification à utiliser et configurez au moins unedéfinition d'inclusion (Inclure).

6 (Référentiels CIFS) Configurez au moins une entrée d'inclusion (Inclure).

a Sélectionnez le type de préfixe.

b Dans le champ Préfixe, entrez le chemin d'accès UNC, une adresse IP ou un intervalled'adresses IP.

Le chemin d'accès UNC peut être le nom de domaine complet (FQDN) (\\monserveur1.mondomaine.com) ou le nom de l'ordinateur local (\\monserveur1). Vous pouvezajouter les deux versions à une même définition. Si plusieurs valeurs sont entrées, elles sontanalysées avec l'opérateur logique OU.



c (Facultatif) Saisissez une expression régulière pour les dossiers à analyser pour la détection decorrespondances.

d Cliquez sur Ajouter.

7 (Référentiels SharePoint) Configurez au moins une entrée d'inclusion (Inclure).

a Sélectionnez le type d'inclusion.

b Configurez une ou plusieurs URL.

L'option Serveur SharePoint n'utilise qu'une seule URL. Le nom d'hôte est le nom NetBIOS du serveursauf si le mappage des accès de substitution (AAM) est configuré sur le serveur. Pour plusd'informations sur l'AAM, voir la documentation Microsoft relative à SharePoint.

• Pour définir un site : insérez une barre oblique à la fin de l'URL (http://SPServer/sites/DLP/).

• Pour définir un sous-site : utilisez l'URL du sous-site, en insérant une barre oblique à lafin (http://SPServer/sites/DLP/Discover/).

• Pour définir une application web : indiquez uniquement le nom et le port de l'applicationweb dans l'URL (http://SPServer:port).

• Pour définir une liste ou une bibliothèque de documents : utilisez l'URL complètejusqu'à la vue par défaut de la liste (http://SPServer/sites/DLP/Share%20Documents/Default.aspx).

Vous pouvez rechercher l'URL de la vue par défaut sur la page des paramètres de la liste oude la bibliothèque. Si vous ne disposez pas de privilèges suffisants pour l'afficher, contactezvotre administrateur SharePoint.

c Si vous avez configuré une URL de liste de sites, cliquez sur Ajouter.

8 (Facultatif) Configurez des paramètres d'exclusion (Exclure) pour indiquer les dossiers à exclure del'analyse.


Création d'une définition de référentiel BoxConfigurez un référentiel Box pour l'analyse.




3 Dans le volet gauche, sous Référentiels, sélectionnez Box.


5 Indiquez un nom et une description facultative.



6 Cliquez sur le lien vers le site web Box. Suivez les instructions sur le site web pour définirl'application Box et obtenir l'ID client et la clé secrète client.

• Lors de la définition de l'application, sélectionnez l'option de gestion d'entreprise.

• Pour l'URI de redirection, saisissez l'adresse IP du serveur McAfee ePO.

• Pour analyser d'autres comptes, contactez le support technique de Box afin d'activer lesfonctionnalités en tant qu'utilisateur.

7 Saisissez l'ID client et la clé secrète client, puis cliquez sur Obtenir le jeton.

8 Lorsque vous y êtes invité sur le site web Box, accordez l'accès au serveur Discover.

9 Indiquez si vous souhaitez analyser tous les comptes utilisateur ou des comptes utilisateurspécifiques.


Exportation ou importation de définitions de référentielSi vous avez un grand nombre de référentiels, il peut être plus facile de les gérer comme un fichierXML plutôt que de les ajouter et les modifier un par un dans McAfee ePO.

Utilisez la fonction d'exportation pour enregistrer les définitions de référentiel existantes et lesinformations d'identification associées dans un fichier XML. Utilisez ce fichier comme base de référencepour ajouter et configurer vos référentiels au format XML.

Lors de l'importation d'un fichier XML, les définitions et les informations d'identification du référentielsont validées et ajoutées à la liste des entrées. Si une définition de référentiel existe dans McAfee ePOet le fichier XML, la définition est remplacée par les informations contenues dans le fichier XML. Lesdéfinitions sont identifiés de manière unique par l'identifiant dans le fichier XML.




3 Sélectionnez Serveur de fichiers (CIFS) ou SharePoint.

4 Effectuez l'une des tâches suivantes :

• Pour exporter des référentiels, procédez comme suit :

1 Sélectionnez Actions | Exporter.

2 Indiquez si vous souhaitez ouvrir ou enregistrer le fichier, puis cliquez sur OK.

• Pour importer des référentiels, procédez comme suit :

1 Sélectionnez Actions | Importer.

2 Recherchez le fichier, puis cliquez sur OK.

Création d'une définition de planificateurLe planificateur d'analyse permet de déterminer la période et la fréquence d'exécution d'une analyse.

Les types de planification proposés sont exécutés à la fréquence suivante :



• Exécuter immédiatement • Hebdomadaire

• Une fois • Mensuelle

• Tous les jours




3 Dans le volet gauche, cliquez sur Planificateur.


5 Entrez un nom unique et sélectionnez le type de planification.

Lorsque vous sélectionnez le type de planification, l'affichage change et fournit les champsnécessaires pour ce type particulier.

6 Définissez les options requises, puis cliquez sur Enregistrer.

Création de règles pour les analyses de correctionUtilisez des règles pour définir l'action à effectuer lorsqu'une analyse de correction détecte des fichiersqui correspondent à des classifications.




3 Si aucun jeu de règles n'est configuré, créez-en un.

a Sélectionnez Actions | Nouveau jeu de règles.

b Entrez le nom et éventuellement une remarque, puis cliquez sur OK.

4 Cliquez sur le nom du jeu de règles puis, le cas échéant, cliquez sur l'onglet Découverte.

5 Sélectionnez Actions | Nouvelle règle de découverte réseau puis sélectionnez le type de règle.

6 Sous l'onglet Condition, configurez des classifications et des référentiels.

• Créer un élément : cliquez sur ...

• Ajouter des critères supplémentaires : cliquez sur +.

• Supprimer des critères : cliquez sur -.

7 (Facultatif) Sous l'onglet Exceptions, précisez les éléments à exclure du déclenchement de la règle.



8 Sous l'onglet Réaction, configurez la réaction.

Les réactions disponibles dépendent du type de référentiel.


Configuration d'une analyseLa quantité et le type de données collectées par McAfee DLP Discover dépend du type d'analyse quevous configurez.

Procédures• Configuration d'une analyse d'inventaire, page 200

Les analyses d'inventaire collectent uniquement des métadonnées. Il s'agit des analyses lesplus rapides et elles constituent donc le point de départ habituel pour déterminer quellesanalyses sont nécessaires.

• Configuration d'une analyse de classification, page 201Les analyses de classification collectent des données de fichiers en fonction declassifications définies. Elles permettent d'analyser des systèmes de fichiers afin d'enprotéger les données confidentielles à l'aide d'une analyse de correction.

• Configuration d'une analyse de correction, page 202Les analyses de correction appliquent des règles pour protéger le contenu confidentiel duréférentiel analysé.

Configuration d'une analyse d'inventaireLes analyses d'inventaire collectent uniquement des métadonnées. Il s'agit des analyses les plusrapides et elles constituent donc le point de départ habituel pour déterminer quelles analyses sontnécessaires.

Les analyses d'inventaire permettent de planifier votre stratégie de protection des données. Vouspouvez créer des analyses ou modifier et réutiliser des analyses existantes selon vos besoins.



2 Dans l'onglet Serveurs de découverte, sélectionnez Actions | Détecter les serveurs pour actualiser la liste.

Si cette liste est trop longue, vous pouvez définir un filtre pour la réduire.

3 Dans l'onglet Opérations d'analyse, sélectionnez Actions | Nouvelle analyse et sélectionnez le type duréférentiel.

4 Entrez un nom unique et sélectionnez Type d'analyse : Inventaire. Sélectionnez une plate-forme deserveur et une planification.

Les serveurs de découverte doivent être prédéfinis. Vous pouvez sélectionner un calendrier défini ouen créer un.

5 (Facultatif) Définissez des valeurs pour Liste des fichiers ou Traitement des erreurs à la place des valeurspar défaut.

9 Analyse des données avec McAfee DLP DiscoverConfiguration d'une analyse


6 Sélectionnez les référentiels à analyser.

a Dans l'onglet Référentiels, cliquez sur Actions | Sélectionner les référentiels.

b Si nécessaire, indiquez les informations d'identification de chaque référentiel de la listedéroulante.

Les informations d'identification sont définies par défaut sur les valeurs configurées pour ceréférentiel.

Si nécessaire, vous pouvez créer des définitions de référentiel et d'informations d'identificationdans la fenêtre de sélection.

7 (Facultatif) Dans l'onglet Filtres, sélectionnez Actions | Sélectionner les filtres pour indiquer les fichiers àinclure ou exclure.

Par défaut, tous les fichiers sont analysés.



Configuration d'une analyse de classificationLes analyses de classification collectent des données de fichiers en fonction de classifications définies.Elles permettent d'analyser des systèmes de fichiers afin d'en protéger les données confidentielles àl'aide d'une analyse de correction.

Avant de commencer• Exécutez une analyse d'inventaire. Définissez des classifications à l'aide des données

d'inventaire.

• Créez les définitions de classification nécessaires avant de configurer une analyse declassification. La configuration des analyses ne comporte aucune option permettant decréer une classification.






4 Entrez un nom unique et sélectionnez Type d'analyse : Classification. Sélectionnez une plate-forme deserveur et une planification.


5 (Facultatif) Définissez des valeurs pour Limitation, Liste des fichiers ou Traitement des erreurs à la place desvaleurs par défaut.

Analyse des données avec McAfee DLP DiscoverConfiguration d'une analyse 9









8 Sélectionnez les classifications pour l'analyse.

a Dans l'onglet Classifications, cliquez sur Actions | Sélectionner les classifications

b Sélectionnez une ou plusieurs classifications dans la liste.



Configuration d'une analyse de correctionLes analyses de correction appliquent des règles pour protéger le contenu confidentiel du référentielanalysé.

Avant de commencer• Si l'analyse est configurée pour appliquer des stratégies de gestion des droits ou

déplacer des fichiers, les informations d'identification du référentiel doivent disposerd'une autorisation d'accès total.

• Créez les classifications et les règles pour l'analyse.






4 Entrez un nom unique et sélectionnez Type d'analyse : Correction. Sélectionnez une plate-forme deserveur et une planification.


5 (Facultatif) Définissez des valeurs pour Limitation, Liste des fichiers, Gestion des incidents ou Traitement deserreurs à la place des valeurs par défaut.

9 Analyse des données avec McAfee DLP DiscoverConfiguration d'une analyse









8 Sélectionnez les règles pour l'analyse.

a Dans l'onglet Règles, cliquez sur Actions | Sélectionner les jeux de règles.

b Sélectionnez un ou plusieurs jeux de règles dans la liste.



Exécution d'opérations d'analyseGérez et affichez les informations relatives aux analyses configurées.

L'application de la stratégie déclenche toutes les analyses programmées pour s'exécuterimmédiatement. Les analyses en cours ne sont pas touchées.



2 Cliquez sur l'onglet Opérations d'analyse.

L'onglet affiche les informations relatives aux analyses configurées (nom, type, état et vued'ensemble des résultats, par exemple).

3 Pour mettre à jour la configuration de toutes les analyses, cliquez sur Appliquer la stratégie.

4 Pour appliquer un filtre à la liste des analyses, sélectionnez-le dans la liste déroulante Filtre.

5 Pour activer ou désactiver une analyse, procédez comme suit :

a Activez la case à cocher correspondant aux analyses que vous souhaitez activer ou désactiver.

L'icône dans la colonne Etat indique si l'analyse est activée ou désactivée.

• Icône en bleu uni : activée

• Icône en bleu et blanc : désactivée

b Sélectionnez Actions | Changer l'état, puis sélectionnez Activé ou Désactivé.

c Cliquez sur Appliquer la stratégie.

Analyse des données avec McAfee DLP DiscoverExécution d'opérations d'analyse 9


6 Pour changer l'état d'exécution de l'analyse, cliquez sur les boutons de démarrage, de suspensionou d'arrêt dans la colonne Commandes.

La disponibilité de ces options dépend de l'état de l'analyse et du fait qu'elle soit en coursd'exécution ou inactive.

7 Pour cloner, supprimer ou modifier une analyse, procédez comme suit :

a Cochez la case correspondant à l'analyse.

b Sélectionnez Actions, puis Cloner les analyses, Supprimer l'analyse ou Modifier l'analyse.

Pour modifier le serveur Discover affecté à l'analyse, vous devez désactiver cette dernière. Vousne pouvez pas modifier le type d'une analyse. Pour changer le type d'une analyse, vous devez lacloner.

8 Pour actualiser l'onglet, sélectionnez Actions | Synchroniser des données.

Comportement des analysesLe fait de changer les propriétés d'une analyse en cours peut avoir une influence sur soncomportement.

Tableau 9-4 Effet du changement des propriétés pendant une analyse

Modification Effet

Désactivation de l'analyse L'analyse est interrompue

Supprimer l'analyse L'analyse est interrompue et est supprimée

Modification du nom de l'analyse Concerne uniquement les journaux lors del'exécution de l'analyse suivante

Modification de la planification Concerne uniquement l'exécution de l'analysesuivante

Modification de la limitation Concerne uniquement l'exécution de l'analysesuivante*

Modification de la liste de fichiers Concerne uniquement l'exécution de l'analysesuivante*

Modification du référentiel Concerne uniquement l'exécution de l'analysesuivante

Modification des filtres Concerne uniquement l'exécution de l'analysesuivante

Modification des règles Concerne uniquement l'exécution de l'analysesuivante*

Modification de la classification Concerne uniquement l'exécution de l'analysesuivante*

Modification du partage de preuve Concerne l'analyse en cours*

Modification des informations d'identification del'utilisateur de la preuve

Concerne l'analyse en cours*

Modification des informations d'identification del'utilisateur de la correction

Concerne uniquement l'exécution de l'analysesuivante*

9 Analyse des données avec McAfee DLP DiscoverComportement des analyses


Tableau 9-4 Effet du changement des propriétés pendant une analyse (suite)

Modification Effet

Mise à niveau ou désinstallation du serveurDiscover

L'analyse s'arrête

* L'effet a lieu lorsqu'un intervalle de communication agent-serveur (ASCI) est écoulé.

Analyse des données analyséesVous pouvez analyser des informations collectées à partir de données analysées de plusieurs façons.

L'analyse d'inventaire de base (collecte de métadonnées) est incluse dans tous les types d'analyse. Lesanalyses de classification analysent également des données en fonction de classifications définies.L'extracteur de texte analyse le contenu du fichier, en ajoutant des informations supplémentaires auxmétadonnées stockées.

Utilisation d'OLAP dans McAfee DLP DiscoverMcAfee DLP Discover utilise le traitement analytique en ligne (OLAP, Online Analytical Processing), unmodèle de données qui permet un traitement rapide des métadonnées à partir de différents points devue.

Utilisez les outils OLAP de McAfee DLP Discover pour visualiser les relations multidimensionnelles entreles données collectées lors d'analyses. Ces relations sont appelées hypercubes ou cubes OLAP.

Vous pouvez trier et organiser les résultats des analyses en fonction de conditions telles que laclassification, le type de fichier, le référentiel et plus encore. En utilisant les modèles de données pourdétecter d'éventuelles violations, vous pouvez optimiser les analyses de classification et de correctionde façon à identifier et à protéger les données plus rapidement et plus efficacement.

Affichage des résultats d'analyseLes onglets Analyse des données et Inventaire des données affichent les résultats d'analyse.

Ces onglets affichent les résultats recueillis depuis la dernière exécution de l'analyse.

Analyse des données avec McAfee DLP DiscoverAnalyse des données analysées 9


Onglet Analyse des données

L'onglet Analyse des données vous permet d'analyser les fichiers des analyses. L'onglet utilise un modèlede données OLAP pour afficher jusqu'à trois catégories et mettre en évidence des modèles de donnéesmultidimensionnels. Vous pouvez utiliser ces modèles pour optimiser vos analyses de correction et declassification.

Figure 9-1 Configuration de l'analyse des données

1 Nom d'analyse : la liste déroulante affiche les analyses disponibles pour tous les types. L'explorationanalytique ne peut être effectuée que sur une seule analyse.

2 Type analytique : sélectionnez Fichiers ou Classifications. Pour les analyses d'inventaire, seule l'optionFichiers est disponible. Le type analytique détermine les catégories disponibles.

3 Afficher : détermine le nombre d'entrées affichées.

4 Développer la table/Réduire la table : développe la page entière. Vous pouvez aussi développer ou réduiredes groupes individuels.

5 Sélecteur de catégorie : la liste déroulante affiche toutes les catégories disponibles. Vous pouvezsélectionner une catégorie parmi celles disponibles dans les deux autres listes de sélection afin decréer une analyse tridimensionnelle des modèles de données.

6 Développer un élément : l'icône en forme de flèche permet de développer/réduire des groupesindividuels pour que l'affichage soit plus clair.

7 Nombre : nombre de fichiers (ou de classifications) dans chaque groupe. Cliquez sur le nombrepour accéder à l'onglet Inventaire des données et afficher les détails sur ce groupe.

Si Type analytique est défini sur Classifications et que des fichiers sont associés à plusieurs classifications,ce nombre peut être supérieur au nombre total de fichiers.

9 Analyse des données avec McAfee DLP DiscoverAnalyse des données analysées


Onglet Inventaire des données

L'onglet Inventaire des données affiche l'inventaire des fichiers traités par les analyses pour lesquellesl'option Liste des fichiers est activée. Vous pouvez définir et utiliser des filtres pour ajuster lesinformations affichées, ce qui pourrait révéler des modèles ou des violations possibles des stratégies.

La classification et le type de fichier ne sont pas disponibles pour les analyses d'inventaire.

Voir aussi Fonctionnement des analyses d'inventaire, page 188

Etude des résultats de l'analyseUtilisez le modèle de données OLAP pour organiser et visualiser les relations entre des fichiersd'analyses.



2 Cliquez sur l'onglet Analyse des données.

3 Dans la liste déroulante Nom d'analyse, sélectionnez l'analyse à étudier.

4 Dans la liste déroulante Type analytique, sélectionnez Fichier ou Classification.

5 Dans la liste déroulante Afficher, sélectionnez le nombre d'entrées principales à afficher.

6 Utilisez les listes déroulantes de catégorie pour afficher les fichiers de trois catégories différentesau maximum.

7 Utilisez les options Développer la table et Réduire la table pour développer ou réduire la quantitéd'informations affichées.

8 Pour afficher les résultats de l'inventaire des fichiers appartenant à une catégorie, cliquez sur le lienindiquant le nombre de fichiers entre parenthèses.

Ce lien n'est disponible que si vous avez sélectionné l'option Liste des fichiers lors de la configuration del'analyse. Le lien affiche la page Inventaire des données.

Affichage des résultats d'inventaireAffichez l'inventaire des fichiers pour tous les types d'analyse.



2 Cliquez sur l'onglet Inventaire des données.

Analyse des données avec McAfee DLP DiscoverAnalyse des données analysées 9



• Pour afficher les résultats d'une analyse particulière, sélectionnez l'analyse dans la listedéroulante Analyse.

• Pour filtrer les fichiers affichés, sélectionnez un filtre dans la liste déroulante Filtre.

Cliquez sur Modifier pour modifier et créer des filtres.

• Pour regrouper des fichiers sur la base d'une propriété donnée :

1 Dans la liste déroulante Grouper par, sélectionnez une catégorie.

Les propriétés disponibles s'affichent dans le volet gauche.

2 Sélectionnez la propriété pour regrouper les fichiers.

• Pour configurer les colonnes affichées :

1 Sélectionnez Actions | Choisir les colonnes.

2 Dans la liste Colonnes disponibles, cliquez sur une option pour la déplacer vers la zone Colonnessélectionnées.

3 Dans la zone Colonnes sélectionnées, organisez et supprimez des colonnes selon vos besoins.

• Pour supprimer une colonne, cliquez sur x.

• Pour déplacer une colonne, cliquez sur les boutons fléchés ou faites-la glisser.

4 Cliquez sur Mettre à jour l'affichage.

9 Analyse des données avec McAfee DLP DiscoverAnalyse des données analysées


Surveillance et génération derapportsVous pouvez utiliser les composants d'extension McAfee DLP pour suivre etcontrôler les violations de stratégie (Gestionnaire d'incidents DLP) et poureffectuer un suivi des événements d'administration (Opérations DLP).

Chapitre 10 Incidents et événements opérationnelsChapitre 11 Collecte et gestion des donnéesChapitre 12 Journalisation et surveillance McAfee DLP Prevent


Surveillance et génération de rapports


10 Incidents et événements opérationnels

McAfee DLP offre différents outils pour afficher des incidents et des événements opérationnels.

• Incidents : la page Gestionnaire d'incidents DLP affiche les incidents générés par des règles.

• Evénements opérationnels : la page Opérations DLP affiche des erreurs et des informationsd'administration.

• Cas : la page Gestion des cas DLP contient les cas qui ont été créés pour grouper et gérer les incidentsliés.

Lorsque plusieurs produits McAfee DLP sont installés, les consoles affichent les événements et lesincidents de tous les produits.

L'affichage pour Gestionnaire d'incidents DLP et Opérations DLP peut inclure des informations sur l'ordinateuret sur l'utilisateur connecté à l'origine de l'incident/événement, la version client, le systèmed'exploitation et d'autres informations.

Sommaire Surveillance et rapports d'événements Gestionnaire d'incidents DLP Affichage des incidents Gestion des incidents Utilisation des cas Gérer les cas

Surveillance et rapports d'événementsMcAfee DLP sépare les événements en deux classes : les incidents (c'est-à-dire les violations destratégies) et les événements d'administration. Ces événements sont affichés dans les deux consoles,Gestionnaire d'incidents DLP et Opérations DLP.

Lorsque McAfee DLP détecte une violation de stratégie, il génère un événement qu'il envoie àl'analyseur d'événements McAfee ePO. Ces événements sont visualisés, filtrés et triés sur la consoleGestionnaire d'incidents DLP, ce qui permet aux administrateurs ou aux responsables de la sécurité deconsulter ces événements et de réagir dans les plus brefs délais. Le cas échéant, le contenu suspectest joint à l'événement en tant que preuve.

McAfee DLP jouant un rôle majeur dans les mesures prises par une entreprise pour respecter sesobligations réglementaires et la législation en matière de confidentialité, le Gestionnaire d'incidents DLPprésente les informations relatives à la transmission des données confidentielles de la façon la plussouple et précise possible. Les auditeurs, les directeurs, les responsables de la confidentialité etd'autres employés essentiels peuvent utiliser le Gestionnaire d'incidents DLP pour identifier les activitéssuspectes ou non autorisées, afin d'agir conformément à la politique de confidentialité de l'entrepriseet aux autres réglementations et législations en vigueur.

10


L'administrateur système ou le responsable de la sécurité dispose d'un suivi des événementsd'administration concernant les agents et l'état de la distribution des stratégies.

Selon les produits McAfee DLP que vous utilisez, la console Opérations DLP peut afficher les erreurs, lesmodifications apportées aux stratégies, les contrôles prioritaires sur l'agent et d'autres événementsd'administration.

Vous pouvez configurer l'envoi d'une notification par e-mail à des adresses spécifiées en cas de mise àjour d'incidents, de cas et d'événements opérationnels.

Gestionnaire d'incidents DLPLa page Gestionnaire d'incidents DLP de McAfee ePO permet d'afficher les événements de sécuritégénérés par des violations de stratégie.

Le gestionnaire d'incidents contient trois sections à onglets :

• Liste des incidents : liste en cours des événements de violation de stratégie.

• Tâches relatives aux incidents : liste des actions que vous pouvez effectuer sur la liste ou sur des partiessélectionnées de la liste. Ces tâches comprennent l'affectation de réviseurs à des incidents, laconfiguration de notifications par e-mail automatiques et la purge de la totalité ou d'une partie dela liste.

• Historique des incidents : liste contenant l'ensemble des incidents historiques. La purge de la liste desincidents n'a aucun effet sur l'historique.

Utilisez le module Opérations DLP pour afficher des événements d'administration tels que lesdéploiements d'agents. Le module est organisé de façon identique, avec trois pages à onglets : Listedes événements opérationnels, Tâches d'événements opérationnels et Historique des événementsopérationnels.

Fonctionnement du gestionnaire d'incidentsL'onglet Liste des incidents du Gestionnaire d'incidents DLP contient toutes les fonctionnalités nécessaires à larévision des incidents de violation de stratégie. Vous pouvez afficher les détails d'un événement donnéen cliquant dessus. Vous pouvez créer et enregistrer des filtres pour modifier l'affichage, ou utiliserdes filtres prédéfinis dans le volet gauche. Vous pouvez aussi modifier l'affichage en sélectionnant eten organisant des colonnes. Les icônes de couleur et les évaluations numériques de gravitépermettent de passer en revue les événements de façon simple et rapide.

L'onglet Liste des incidents s'appuie sur la fonctionnalité Requêtes et rapports de McAfee ePO pour créer desrapports McAfee DLP Endpoint et afficher des données sur les tableaux de bord McAfee ePO.

Vous pouvez utiliser les options suivantes sur les événements :

• Gestion des cas : permet de créer des cas et d'ajouter les incidents sélectionnés à un cas.

• Commentaires : permet d'ajouter des commentaires à des incidents sélectionnés.

• Envoyer les événements par e-mail : permet d'envoyer les événements sélectionnés.

• Exporter les paramètres de l'équipement : permet d'exporter les paramètres de l'équipementvers un fichier CSV (liste des données en utilisation/mouvement uniquement).

• Etiquettes : permet de définir une étiquette pour filtrer par étiquette.

10 Incidents et événements opérationnelsGestionnaire d'incidents DLP


• Rédaction de version : permet de supprimer la rédaction pour afficher les champs protégés(requiert des autorisations adaptées).

• Définir les propriétés : permet de modifier la gravité, l'état ou la résolution ; permet d'affecterun utilisateur ou un groupe pour la révision des incidents.

Figure 10-1 Gestionnaire d'incidents DLP

La page Opérations DLP fonctionne de la même façon que les événements d'administration. Lesévénements contiennent des informations telles que la raison pour laquelle l'événement a été généréet le produit McAfee DLP qui a signalé l'événement. Ils peuvent également inclure des informations surl'utilisateur en lien avec l'événement, comme son nom de connexion, son nom principal(nomutilisateur@xyz), son supérieur, son service ou sa division. Les événements opérationnelspeuvent être filtrés en fonction de chacune de ces informations, ou par d'autres paramètres, tels quela gravité, l'état, la version client, le nom de stratégie et bien plus encore.

Figure 10-2 Opérations DLP

Tâches relatives aux incidents/Tâches d'événements opérationnels

Les onglets Tâches relatives aux incidents et Tâches d'événements opérationnels permettent de définir des critèrespour les tâches planifiées. Les tâches configurées sur les pages utilisent la fonctionnalité Tâchesserveur de McAfee ePO pour planifier des tâches.

Les deux onglets de tâches sont organisés par type de tâche (volet gauche). L'onglet Tâches relatives auxincidents est également organisé par type d'incident. Les données apparaissent donc sous forme dematrice 4 x 3 et les informations affichées dépendent des deux paramètres que vous sélectionnez.

Incidents et événements opérationnelsGestionnaire d'incidents DLP 10


Données enutilisation/mouvement

Donnéesstockéespassivement(Endpoint)

Donnéesstockéespassivement(réseau)

Données enutilisation/mouvement(historique)

Définition duréviseur X X X

Notification pare-mail automatique X X X

Purge desévénements X X X X

Scénario d'utilisation - Définition des propriétésLes propriétés sont des données ajoutées à un incident qui nécessite un suivi. Vous pouvezajouter les propriétés du volet des détails de l'incident ou en sélectionnant Actions | Définir lespropriétés. Les propriétés sont les suivantes :

• Gravité • Révision du groupe

• Etat • Révision de l'utilisateur

• Résolution

Le réviseur peut être n'importe quel utilisateur McAfee ePO. La gravité est modifiable, carsi l'administrateur établit que l'incident est un faux positif, le niveau de gravité d'originen'est plus pertinent.

Scénario d'utilisation - Modification de l'affichageOutre l'utilisation des filtres permettant de modifier l'affichage, vous pouvez aussipersonnaliser les champs et l'ordre de l'affichage. Les affichages personnalisés peuventêtre enregistrés et réutilisés.

La création d'un filtre s'articule autour des tâches suivantes :

1 Pour ouvrir la fenêtre d'édition de la vue, cliquez sur Actions | Afficher | Choisir les colonnes.

2 Pour déplacer des colonnes à gauche ou à droite, utilisez l'icône x pour supprimer descolonnes, et les icônes de flèches.

3 Pour appliquer l'affichage personnalisé, cliquez sur Mettre à jour l'affichage.

4 Pour enregistrer pour une utilisation ultérieure, cliquez sur Actions | Afficher | Enregistrerl'affichage.

Une fois l'affichage enregistré, vous pouvez aussi enregistrer les filtres personnalisés ettemporels. Les affichages enregistrés sont disponibles dans la liste déroulante en hautde la page.

Traitement des incidentsQuand McAfee DLP reçoit des données correspondant à des paramètres définis dans une règle, uneviolation est déclenchée et McAfee DLP génère un incident.

Le Gestionnaire d'incidents de McAfee ePO permet d'afficher, de trier, de grouper et de filtrer lesincidents afin de repérer les violations importantes. Vous pouvez afficher les détails des incidents ousupprimer les incidents inutiles.

10 Incidents et événements opérationnelsGestionnaire d'incidents DLP


Affichage des incidentsLa console Gestionnaire d'incidents DLP affiche tous les incidents signalés par les applications McAfeeDLP. Vous pouvez modifier l'affichage des incidents afin de repérer plus facilement les violationsimportantes.

Le champ Présent du Gestionnaire d'incidents DLP permet d'afficher les incidents en fonction del'application qui les a générés :

• Données en utilisation/mouvement

• McAfee DLP Endpoint

• Device Control


• McAfee DLP Prevent for Mobile Email

• Données stockées passivement (terminal) - Découverte McAfee DLP Endpoint

• Données stockées passivement (réseau) - McAfee DLP Discover

Quand McAfee DLP traite un objet (un e-mail par exemple) qui déclenche plusieurs règles, la consoleGestionnaire d'incidents DLP rassemble les différentes violations et les affiche en tant qu'incidentunique, plutôt que sous forme d'incidents distincts.

Procédures

• Tri et filtrage des incidents, page 215Organisez l'affichage des incidents sur la base d'attributs tels que la date et l'heure,l'emplacement, l'utilisateur ou la gravité.

• Configuration de l'affichage des colonnes, page 216Les options d'affichage permettent d'organiser le type et l'ordre des colonnes disponiblesdans le gestionnaire d'incidents.

• Configuration de filtres d'incidents, page 217Les filtres permettent d'afficher les incidents qui correspondent à des critères spécifiés.

• Affichage des détails relatifs à un incident, page 217Affichez les informations relatives à un incident.

Tri et filtrage des incidentsOrganisez l'affichage des incidents sur la base d'attributs tels que la date et l'heure, l'emplacement,l'utilisateur ou la gravité.


1 Dans McAfee ePO, sélectionnez Gestionnaire d'incidents DLP.

2 Dans la liste déroulante Présent, sélectionnez l'option correspondant à votre produit.


• Pour effectuer un tri par colonne, cliquez sur un en-tête de colonne.

• Pour utiliser une vue personnalisée au lieu de colonnes, sélectionnez une vue personnaliséedans la liste déroulante Afficher.

• Pour filtrer par date et heure, sélectionnez un laps de temps dans la liste déroulante Date et heure.

Incidents et événements opérationnelsAffichage des incidents 10


• Pour appliquer un filtre personnalisé, sélectionnez-en un dans la liste déroulante Filtre.

• Pour regrouper par attribut :

1 Sélectionnez un attribut dans la liste déroulante Grouper par.

La liste des options disponibles s'affiche. La liste contient jusqu'à 250 options parmi les plusfréquemment utilisées.

2 Sélectionnez une option dans la liste. Les incidents correspondant à la sélection s'affichent.

ExempleLorsque vous utilisez des incidents McAfee DLP Endpoint, sélectionnez ID utilisateur pour afficherles noms des utilisateurs ayant déclenché des violations. Sélectionnez le nom d'un utilisateurpour afficher tous les incidents correspondant à cet utilisateur.

Configuration de l'affichage des colonnesLes options d'affichage permettent d'organiser le type et l'ordre des colonnes disponibles dans legestionnaire d'incidents.




3 Dans la liste déroulante Afficher, sélectionnez Par défaut et cliquez sur Modifier.

4 Configurez les colonnes.

a Dans la liste Colonnes disponibles, cliquez sur une option pour la déplacer vers la zone Colonnessélectionnées.

b Dans la zone Colonnes sélectionnées, organisez et supprimez des colonnes selon vos besoins.

• Pour supprimer une colonne, cliquez sur x.

• Pour déplacer une colonne, cliquez sur les boutons fléchés ou faites-la glisser.

c Cliquez sur Mettre à jour l'affichage.

5 Configurez les paramètres d'affichage.

a En regard de la liste déroulante Afficher, cliquez sur Enregistrer.

b Sélectionnez l'une des options suivantes :

• Enregistrer comme nouvel affichage : attribuez un nom à l'affichage.

• Remplacer un affichage existant : sélectionnez l'affichage à enregistrer.

c Indiquez qui peut utiliser l'affichage.

• Public : tous les utilisateurs peuvent utiliser l'affichage.

• Privé : seul l'utilisateur qui a créé l'affichage peut l'utiliser.

10 Incidents et événements opérationnelsAffichage des incidents


d Indiquez si vous souhaitez appliquer les filtres ou les groupements actuels à l'affichage.

e Cliquez sur OK.

Vous pouvez également gérer les affichages dans le gestionnaire d'incidents en sélectionnant Actions |Afficher.

Configuration de filtres d'incidentsLes filtres permettent d'afficher les incidents qui correspondent à des critères spécifiés.

Exemple McAfee DLP Endpoint : vous soupçonnez un utilisateur particulier d'avoir envoyé du contenucomportant des données confidentielles vers un intervalle d'adresses IP externe à la société. Vouspouvez créer un filtre pour afficher les incidents qui correspondent au nom de cet utilisateur et à cetintervalle d'adresses IP.




3 Dans la liste déroulante Filtre, sélectionnez (aucun filtre personnalisé) et cliquez sur Modifier.

4 Configurez les paramètres de filtrage.

a Dans la liste Propriétés disponibles, sélectionnez une propriété.

b Saisissez la valeur de la propriété.

Pour ajouter d'autres valeurs à la même propriété, cliquez sur +.

c Sélectionnez d'autres propriétés selon vos besoins.

Pour supprimer une propriété, cliquez sur <.

d Cliquez sur Mettre à jour le filtre.

5 Configurez les paramètres de filtrage.

a En regard de la liste déroulante Filtre, cliquez sur Enregistrer.

b Sélectionnez l'une des options suivantes :

• Enregistrer comme nouveau filtre : attribuez un nom au filtre.

• Remplacer un filtre existant : sélectionnez le filtre à enregistrer.

c Indiquez qui peut utiliser le filtre.

• Public : tous les utilisateurs peuvent utiliser le filtre.

• Privé : seul l'utilisateur qui a créé le filtre peut l'utiliser.

d Cliquez sur OK.

Vous pouvez également gérer les filtres dans le gestionnaire d'incidents en sélectionnant Actions | Filtre.

Affichage des détails relatifs à un incidentAffichez les informations relatives à un incident.

Incidents et événements opérationnelsAffichage des incidents 10





3 Cliquez sur un ID d'incident.

Pour les incidents McAfee DLP Endpoint et McAfee DLP Prevent, la page affiche des détails générauxet des informations sur la source. Selon le type d'incident, des détails relatifs à la destination ouaux équipements apparaissent. Pour les incidents McAfee DLP Discover, la page affiche des détailsgénéraux sur l'incident.

4 Pour afficher des informations supplémentaires, effectuez l'une des tâches suivantes.

• Pour afficher des informations relatives à un utilisateur pour des incidents McAfee DLP Endpoint,cliquez sur son nom dans la zone Source.

• Pour afficher des fichiers de preuve :

1 Cliquez sur l'onglet Preuves.

2 Cliquez sur le nom d'un fichier pour l'ouvrir avec le programme adapté.

L'onglet Preuves affiche également la chaîne correspondante courte, qui contient jusqu'à troissurlignages de correspondances sous forme de chaîne unique.

• Pour afficher les règles ayant déclenché l'incident, cliquez sur l'onglet Règles.

• Pour afficher des classifications, cliquez sur l'onglet Classifications.

L'onglet Classifications n'apparaît pas pour certains types d'incidents McAfee DLP Endpoint.

• Pour afficher l'historique des incidents, cliquez sur l'onglet Journal d'audit.

• Pour afficher les commentaires ajoutés à l'incident, cliquez sur l'onglet Commentaires.

• Pour envoyer les informations relatives aux incidents par e-mail, y compris les preuvesdéchiffrées et les fichiers avec surlignage de correspondances, sélectionnez Actions | Envoyer lesévénements sélectionnés par e-mail.

• Pour revenir au gestionnaire d'incidents, cliquez sur OK.

Gestion des incidentsLe Gestionnaire d'incidents DLP permet de mettre à jour et de gérer des incidents.

Si vous avez configuré les notifications par e-mail, un e-mail est envoyé chaque fois qu'un incident estmis à jour.

Pour supprimer des incidents, configurez une tâche afin de purger des événements.

10 Incidents et événements opérationnelsGestion des incidents


Procédures

• Mise à jour d'un incident unique, page 219Mettez à jour les informations relatives à un incident, telles que sa gravité, son état et sonréviseur.

• Mise à jour de plusieurs incidents, page 219Mettez à jour plusieurs incidents avec les mêmes informations simultanément.

• Envoyer les événements sélectionnés par e-mail, page 220Les tableaux suivants donnent des détails concernant les options d'envoi par e-mail etd'exportation des événements sélectionnés.

• Gérer les étiquettes, page 221Une étiquette est un attribut personnalisé permettant d'identifier des incidents partageantdes caractéristiques similaires.

Mise à jour d'un incident uniqueMettez à jour les informations relatives à un incident, telles que sa gravité, son état et son réviseur.

L'onglet Journal d'audit signale toutes les mises à jour et les modifications effectuées sur un incident.




3 Cliquez sur un incident.

La fenêtre de détails de l'incident s'ouvre.

4 Dans le volet Informations générales, effectuez l'une des tâches suivantes.

• Pour mettre à jour la gravité, l'état ou la résolution, procédez comme suit :

1 Sélectionnez une option dans la liste déroulante Gravité, Etat ou Résolution.


• Pour mettre à jour le réviseur, procédez comme suit :

1 En regard du champ Réviseur, cliquez sur ...

2 Sélectionnez le groupe ou l'utilisateur et cliquez sur OK.


• Pour ajouter un commentaire, procédez comme suit :

1 Sélectionnez Actions | Ajouter un commentaire.

2 Entrez un commentaire, puis cliquez sur OK.

Mise à jour de plusieurs incidentsMettez à jour plusieurs incidents avec les mêmes informations simultanément.

Exemple : vous avez appliqué un filtre pour afficher tous les incidents associés à une analyse ou unutilisateur particulier et vous souhaitez définir la gravité de ces incidents sur Majeur.

Incidents et événements opérationnelsGestion des incidents 10





3 Cochez les cases correspondant aux incidents à mettre à jour.

Pour mettre à jour tous les incidents affichés avec le filtre actuel, cliquez sur Tout sélectionner dans cettepage.


• Pour ajouter un commentaire, sélectionnez Actions | Ajouter un commentaire, puis saisissez uncommentaire et cliquez sur OK.

• Pour envoyer les incidents dans un e-mail, sélectionnez Actions | Envoyer les événements sélectionnés pare-mail, entrez les informations, puis cliquez sur OK.

Vous pouvez sélectionner un modèle ou créer un modèle en saisissant des informations et encliquant sur Enregistrer.

• Pour exporter les incidents, sélectionnez Actions | Exporter les événements sélectionnés, entrez lesinformations, puis cliquez sur OK.

• Pour libérer la rédaction des incidents, sélectionnez Actions | Rédaction de version, entrez un nomd'utilisateur et un mot de passe, puis cliquez sur OK.

Vous devez disposer d'autorisations de rédaction de données pour pouvoir supprimer larédaction.

• Pour modifier les propriétés, sélectionnez Actions | Définir les propriétés, modifiez les options, puiscliquez sur OK.

Voir aussi Envoyer les événements sélectionnés par e-mail, page 220

Envoyer les événements sélectionnés par e-mailLes tableaux suivants donnent des détails concernant les options d'envoi par e-mail et d'exportationdes événements sélectionnés.

Tableau 10-1 Envoyer les événements sélectionnés par e-mail

Paramètre Valeur

Nombre maximal d'événements à envoyer par e-mail 100

Taille maximale de chaque événement illimitée

Taille maximale du fichier compressé (ZIP) 20 Mo

De limité à 100 caractères

A, Cc limités à 500 caractères

Objet limité à 150 caractères

Corps limité à 1 000 caractères

10 Incidents et événements opérationnelsGestion des incidents


Tableau 10-2 Exporter les événements sélectionnés

Paramètre Valeur

Nombre maximal d'événements à exporter 1000

Taille maximale de chaque événement illimitée

Taille maximale du fichier compressé (ZIP) à exporter illimitée

Gérer les étiquettesUne étiquette est un attribut personnalisé permettant d'identifier des incidents partageant descaractéristiques similaires.

Vous pouvez affecter plusieurs étiquettes à un incident et réutiliser une étiquette pour plusieursincidents.

Exemple : des incidents ont été générés pour plusieurs projets développés par votre entreprise. Vouspouvez créer des étiquettes avec le nom de chaque projet et les affecter aux incidents correspondants.




3 Cochez les cases correspondant à un ou plusieurs incidents.



• Pour ajouter des étiquettes, procédez comme suit :

1 Sélectionnez Actions | Etiquettes | Joindre.

2 Pour ajouter une nouvelle étiquette, entrez un nom et cliquez sur Ajouter.

3 Sélectionnez une ou plusieurs étiquettes.

4 Cliquez sur OK.

• Pour retirer des étiquettes associées à un incident, procédez comme suit :

1 Sélectionnez Actions | Etiquettes | Détacher.

2 Sélectionnez les étiquettes à retirer de l'incident.

3 Cliquez sur OK.

• Pour supprimer des étiquettes, procédez comme suit :

1 Sélectionnez Actions | Etiquettes | Supprimer des étiquettes.

2 Sélectionnez les étiquettes à supprimer.

3 Cliquez sur OK.

Incidents et événements opérationnelsGestion des incidents 10


Utilisation des casLes cas permettent aux administrateurs de collaborer à la résolution des incidents liés.

Dans de nombreuses situations, un seul incident n'est pas un événement isolé. Vous pouvez voirplusieurs incidents dans le Gestionnaire d'incidents DLP qui partagent des propriétés communes ou quisont liés les uns aux autres. Vous pouvez affecter ces incidents liés à un cas. Plusieurs administrateurspeuvent surveiller et gérer un cas en fonction de leurs rôles dans l'organisation.

Scénario McAfee DLP Endpoint : vous remarquez qu'un utilisateur particulier génère souvent plusieursincidents après les heures de bureau. Cela pourrait indiquer que l'utilisateur effectue une activitésuspecte ou que le système de l'utilisateur a été compromis. Attribuez ces incidents à un cas afin degarder une trace du nombre de violations et du moment où elles se produisent.

Scénario McAfee DLP Discover : les incidents générés à partir d'une analyse de correction indiquentque de nombreux fichiers confidentiels ont récemment été ajoutés à un référentiel accessible aupublic. Une autre analyse de correction indique que ces fichiers ont également été ajoutés à unréférentiel public différent.

Selon la nature des violations, vous pourriez avoir besoin d'alerter les équipes RH ou juridiques ausujet de ces incidents. Vous pouvez permettre aux membres de ces équipes de travailler sur le cas,comme ajouter des commentaires, modifier la priorité ou avertir les principales parties prenantes.

Gérer les casCréez et gérez des cas pour la résolution des incidents.

Procédures• Créer des cas, page 222

Créez un cas pour regrouper et examiner les incidents liés.

• Afficher les informations sur les cas, page 223Affichez les journaux d'audit, les commentaires de l'utilisateur et les incidents affectés à uncas.

• Affecter des incidents à un cas, page 223Ajouter des incidents liés à un nouveau cas ou à un cas existant.

• Déplacement ou suppression d'incidents d'un cas, page 224Si un incident ne correspond plus à un cas, vous pouvez le supprimer du cas ou le déplacervers un autre cas.

• Mettre à jour les cas, page 224Mettez à jour les informations de cas comme le changement de propriétaire, l'envoi denotifications ou l'ajout de commentaires.

• Ajouter ou supprimer des étiquettes dans un cas, page 225Utiliser des étiquettes pour distinguer les cas grâce à un attribut personnalisé.

• Supprimer des cas, page 226Supprimez les cas qui ne sont plus nécessaires.

Créer des casCréez un cas pour regrouper et examiner les incidents liés.

10 Incidents et événements opérationnelsUtilisation des cas



1 Dans McAfee ePO, sélectionnez Menu | Protection des données | Gestion des cas DLP.


3 Saisissez un nom de titre et configurez les options.

4 Cliquez sur OK.

Afficher les informations sur les casAffichez les journaux d'audit, les commentaires de l'utilisateur et les incidents affectés à un cas.



2 Cliquez sur un ID de cas.


• Pour afficher les incidents affectés au cas, cliquez sur l'onglet Incidents.

• Pour afficher les commentaires de l'utilisateur, cliquez sur l'onglet Commentaires.

• Pour afficher les journaux d'audit, cliquez sur l'onglet Journal d'audit.

4 Cliquez sur OK.

Affecter des incidents à un casAjouter des incidents liés à un nouveau cas ou à un cas existant.


1 Dans McAfee ePO, sélectionnez Menu | Protection des données | Gestionnaire d'incidents DLP.

2 Sélectionnez le type d'incident dans la liste déroulante Présent. Pour Données stockées passivement (réseau),cliquez sur le lien Analyse pour définir l'analyse si nécessaire.

3 Cochez les cases correspondant à un ou plusieurs incidents.

Utilisez des options telles que Filtre ou Grouper par pour afficher les incidents liés. Pour mettre à jourtous les incidents affichés avec le filtre actuel, cliquez sur Tout sélectionner dans cette page.

Incidents et événements opérationnelsGérer les cas 10


4 Affecter des incidents à un cas.

• Pour ajouter à un nouveau cas, sélectionnez Actions | Gestion des cas | Ajouter à un nouveau cas,saisissez un nom de titre et configurez les options.

• Pour ajouter à un cas existant, sélectionnez Actions | Gestion des cas | Ajouter à un cas existant, filtrezpar ID de cas ou titre, puis sélectionnez le cas.

5 Cliquez sur OK.

Déplacement ou suppression d'incidents d'un casSi un incident ne correspond plus à un cas, vous pouvez le supprimer du cas ou le déplacer vers unautre cas.



2 Cliquez sur l'ID d'un cas.


• Pour déplacer des incidents d'un cas à l'autre, procédez comme suit :

1 Cliquez sur l'onglet Incidents et sélectionnez les incidents.

2 Sélectionnez Actions | Déplacer, puis indiquez si vous souhaitez les déplacer vers un nouveaucas ou un cas existant.

3 Sélectionnez le cas existant ou configurez des options pour un nouveau cas, puis cliquez surOK.

• Pour supprimer des incidents du cas, procédez comme suit :

1 Cliquez sur l'onglet Incidents et sélectionnez les incidents.

2 Sélectionnez Actions | Supprimer, puis cliquez sur Oui.

4 Cliquez sur OK.

Vous pouvez également déplacer ou supprimer un incident de l'onglet Incidents en cliquant sur Déplacer ouSupprimer dans la colonne Actions.

Mettre à jour les casMettez à jour les informations de cas comme le changement de propriétaire, l'envoi de notifications oul'ajout de commentaires.

Les notifications sont envoyées au créateur du cas, au propriétaire du cas et aux utilisateurssélectionnés quand :

• un e-mail est ajouté ou modifié ;

• Des incidents sont ajoutés au cas ou supprimés du cas.

• le titre du cas est modifié ;

• les détails du propriétaire sont modifiés ;

• la priorité est modifiée ;

10 Incidents et événements opérationnelsGérer les cas


• la résolution est modifiée.

• Les commentaires sont ajoutés.

• Une pièce jointe est ajoutée.

Vous pouvez désactiver les notifications automatiques par e-mail au créateur et au propriétaire du casdans Menu | Configuration | Paramètres serveur | Prévention contre la fuite de données.



2 Cliquez sur l'ID d'un cas.


• Pour mettre à jour le nom du cas, saisissez un nouveau nom dans le champ Titre, puis cliquezsur Enregistrer.

• Mise à jour du propriétaire :

1 En regard du champ Propriétaire, cliquez sur ...

2 Sélectionnez le groupe ou l'utilisateur.

3 Cliquez sur OK.


• Pour mettre à jour les options Priorité, Etat ou Résolution, utilisez les listes déroulantes poursélectionner les éléments, puis cliquez sur Enregistrer.

• Envoi de notifications par e-mail :

1 En regard du champ Envoyer des notifications à, cliquez sur ...

2 Sélectionnez les utilisateurs auxquels envoyer des notifications.

Si aucun contact n'est répertorié, vous devez spécifier un serveur de messagerie pour McAfeeePO et ajouter des adresses électroniques pour les utilisateurs. Configurez le serveur demessagerie dans Menu | Configuration | Paramètres serveur | Serveur de messagerie. Configurez desutilisateurs dans Menu | Gestion des utilisateurs | Utilisateurs.


• Ajout d'un commentaire au cas :

1 Cliquez sur l'onglet Commentaires.

2 Saisissez le commentaire dans la zone de texte.

3 Cliquez sur Ajouter un commentaire.

4 Cliquez sur OK.

Ajouter ou supprimer des étiquettes dans un casUtiliser des étiquettes pour distinguer les cas grâce à un attribut personnalisé.

Incidents et événements opérationnelsGérer les cas 10




2 Cochez les cases correspondant à un ou plusieurs cas.



• Pour ajouter des étiquettes aux cas sélectionnés :

1 Sélectionnez Actions | Gérer les étiquettes | Joindre.

2 Pour ajouter une nouvelle étiquette, entrez un nom et cliquez sur Ajouter.

3 Sélectionnez une ou plusieurs étiquettes.

4 Cliquez sur OK.

• Pour supprimer des étiquettes des cas sélectionnés :

1 Sélectionnez Actions | Gérer les étiquettes | Détacher.

2 Sélectionnez les étiquettes à supprimer.

3 Cliquez sur OK.

Supprimer des casSupprimez les cas qui ne sont plus nécessaires.



2 Cochez les cases correspondant à un ou plusieurs cas.

Pour supprimer tous les cas affichés par le filtre actuel, cliquez sur Tout sélectionner dans cette page.

3 Sélectionnez Actions | Supprimer, puis cliquez sur Oui.

10 Incidents et événements opérationnelsGérer les cas


11 Collecte et gestion des données

La surveillance du système consiste à rassembler et à analyser des preuves et des événements, puis àproduire des rapports. Les données relatives aux incidents et aux événements contenues dans lestables DLP de la base de données McAfee ePO sont affichées dans les pages Gestionnaired'incidents DLP et Opérations DLP, ou sont rassemblées dans des rapports et des tableaux de bord.

L'analyse des preuves et des événements enregistrés permet aux administrateurs de déterminer si lesrègles sont trop restrictives, entraînant des retards inutiles, ou au contraire trop imprécises, favorisantla fuite des données.

Sommaire Modification des tâches serveur Surveillance des résultats des tâches Création de rapports

Modification des tâches serveurMcAfee DLP utilise les tâches serveur McAfee ePO pour exécuter des tâches dans McAfee DLP Discover,McAfee DLP Prevent, Gestionnaire d'incidents DLP, Opérations DLP et Gestion des cas DLP.

Chaque tâche relative aux incidents ou aux événements opérationnels est prédéfinie dans la liste destâches serveur. Les seules options disponibles sont celles permettant de les activer ou de lesdésactiver, ou de modifier la planification. Les tâches serveur McAfee DLP disponibles pour lesincidents et les événements sont les suivantes :

• Conversion des événements DLP 9.4 et versions ultérieures

• Migration d'incidents DLP de 9.3.x vers 9.4.1 et versions ultérieures

• Migration d'événements opérationnels DLP de 9.3.x vers 9.4.1 et versions ultérieures

• Conversion de stratégie DLP

• Purger l'historique des incidents et événements opérationnels DLP

• Purger les incidents et événements opérationnels DLP

• Envoyer un e-mail pour les incidents et les événements opérationnels DLP

• Définir le réviseur pour les incidents et les événements opérationnels DLP

Les tâches serveur McAfee DLP pour McAfee DLP Discover et McAfee DLP Prevent sont les suivantes :

• Détecter les serveurs de découverte

• Synchronisation LDAP : synchroniser les utilisateurs de LDAP

11


En outre, vous pouvez utiliser une tâche Données cumulées (serveur ePO local) pour cumuler les incidents,événements opérationnels ou données de découverte de terminaux de McAfee DLP à partir desserveurs McAfee ePO sélectionnés afin de produire un rapport unique.

Si vous effectuez une mise à niveau et que McAfee DLP Endpoint est installé dans McAfee ePO, lestâches suivantes apparaissent également :

• Exécuteur de tâches relatives aux incidents DLP

• Tâche du rapporteur de propriétés MA DLP

• Tâche d'envoi de stratégie DLP en mode Push

Pour plus d'informations sur ces tâches, consultez le Guide produit McAfee Data Loss PreventionEndpoint 9.3.



2 Sélectionnez la tâche à modifier.

Meilleure pratique : entrez DLP dans le champ Recherche rapide pour filtrer la liste.

3 Sélectionnez Actions | Modifier, puis cliquez sur Planification.

4 Modifiez la planification selon vos besoins, puis cliquez sur Enregistrer.

Procédures• Création d'une tâche Purge des événements, page 228

Les tâches de purge des incidents et des événements permettent d'effacer les données quine sont plus nécessaires de la base de données.

• Création d'une tâche Notification par e-mail automatique, page 229Vous pouvez définir l'envoi automatique de notifications par e-mail aux administrateurs,aux gestionnaires ou aux utilisateurs pour leur signaler des incidents ou des événementsopérationnels.

• Création d'une nouvelle tâche de définition du réviseur, page 230Vous pouvez affecter des réviseurs à différents incidents et événements opérationnels afinde diviser la charge de travail dans les grandes organisations.

Voir aussi Création d'une nouvelle tâche de définition du réviseur, page 230Création d'une tâche Notification par e-mail automatique, page 229Création d'une tâche Purge des événements, page 228

Création d'une tâche Purge des événementsLes tâches de purge des incidents et des événements permettent d'effacer les données qui ne sontplus nécessaires de la base de données.

Vous pouvez créer des tâches de purge pour la liste des incidents, pour les incidents relatifs auxdonnées en utilisation de la liste Historique ou pour la liste des événements opérationnels.

11 Collecte et gestion des donnéesModification des tâches serveur



1 Dans McAfee ePO, sélectionnez Menu | Protection des données | Gestionnaire d'incidents DLP ou Menu |Protection des données | Opérations DLP.

2 Cliquez sur l'onglet Tâches relatives aux incidents ou Tâches d'événements opérationnels.

3 Sélectionnez un type d'incident dans la liste déroulante (tâches relatives aux incidentsuniquement), sélectionnez Purge des événements dans le volet Type de tâche, puis cliquez sur Actions |Nouvelle règle.

L'option Données en utilisation/mouvement - Historique permet de purger les événements de l'historique.

4 Entrez un nom et éventuellement une description, puis cliquez sur Suivant.

Les règles sont activées par défaut. Vous pouvez modifier ce paramètre pour retarder l'exécutionde la règle.

5 Cliquez sur > pour ajouter des critères et sur < pour les supprimer. Définissez les paramètresComparaison et Valeur. Lorsque vous avez terminé de définir les critères, cliquez sur Enregistrer.

La tâche est exécutée tous les jours pour les données réelles et tous les vendredis à 22 h 00 pour lesdonnées historiques.

Voir aussi Modification des tâches serveur, page 227

Création d'une tâche Notification par e-mail automatiqueVous pouvez définir l'envoi automatique de notifications par e-mail aux administrateurs, auxgestionnaires ou aux utilisateurs pour leur signaler des incidents ou des événements opérationnels.




3 Sélectionnez un type d'incident dans la liste déroulante (tâches relatives aux incidentsuniquement), sélectionnez Notification par e-mail automatique dans le volet Type de tâche, puis cliquez surActions | Nouvelle règle.



5 Sélectionnez les événements à traiter.

• Traiter tous les incidents/événements (du type d'incident sélectionné).

• Traiter les incidents/événements survenus depuis la dernière exécution de la tâche denotification par e-mail.

Collecte et gestion des donnéesModification des tâches serveur 11


6 Sélectionnez les destinataires.

Ce champ est obligatoire. Au moins un destinataire doit être sélectionné.

7 Saisissez l'objet de l'e-mail.

Ce champ est obligatoire.

Vous pouvez insérer des variables à partir de la liste déroulante selon vos besoins.

8 Saisissez le texte du corps de l'e-mail.

Vous pouvez insérer des variables de la liste déroulante selon vos besoins.

9 (Facultatif) Cochez la case pour pouvoir joindre des informations de preuve à l'e-mail. Cliquez surSuivant.


La tâche s'exécute toutes les heures.


Création d'une nouvelle tâche de définition du réviseurVous pouvez affecter des réviseurs à différents incidents et événements opérationnels afin de diviserla charge de travail dans les grandes organisations.

Avant de commencerDans McAfee ePO Gestion des utilisateurs | Ensembles d'autorisations, créez un réviseur ou désignezun réviseur de groupe. Vous devez pour cela disposer des autorisations Définition duréviseur pour le Gestionnaire d'incidents DLP et Opérations DLP.

La tâche Définition du réviseur affecte un réviseur aux incidents/événements selon les critères derègle. La tâche est uniquement appliquée aux incidents pour lesquels aucun réviseur n'a été affecté.Vous ne pouvez pas l'utiliser pour réaffecter des incidents à un autre réviseur.




3 Sélectionnez un type d'incident dans la liste déroulante (tâches relatives aux incidentsuniquement), sélectionnez Définition du réviseur dans le volet Type de tâche, puis cliquez sur Actions |Nouvelle règle.

11 Collecte et gestion des donnéesModification des tâches serveur


4 Indiquez un nom et éventuellement une description. Sélectionnez un réviseur ou un groupe, puiscliquez sur Suivant.



Meilleure pratique : si plusieurs règles de type Définition du réviseur sont définies, vous pouvezles réordonner dans la liste.

La tâche s'exécute toutes les heures.

Une fois qu'un réviseur est défini, il n'est pas possible de le remplacer avec la tâche Définition duréviseur.


Surveillance des résultats des tâchesSurveillez les résultats des tâches relatives aux incidents et aux événements opérationnels.


1 Dans McAfee ePO, sélectionnez Menu | Automatisation | Journal des tâches serveur.

2 Localisez les tâches McAfee DLP terminées.

Meilleure pratique : entrez DLP dans le champ Recherche rapide ou définissez un filtre personnalisé.

3 Cliquez sur le nom de la tâche.

Les détails de la tâche apparaissent, y compris les erreurs si la tâche a échoué.

Création de rapportsMcAfee DLP utilise les fonctions de génération de rapports de McAfee ePO. Plusieurs rapportspréprogrammés sont disponibles ainsi que l'option de création de rapports personnalisés.

Pour plus d'informations, reportez-vous à la rubrique Exécution de requêtes sur la base de données duguide produit McAfee ePolicy Orchestrator.

Types de rapportsVous pouvez utiliser les fonctionnalités de génération de rapports McAfee ePO pour surveiller lesperformances de McAfee DLP Endpoint.

Quatre types de rapports sont pris en charge dans les tableaux de bord McAfee ePO :

• Synthèse des incidents DLP

• Récapitulatif de la découverte de terminaux DLP

Collecte et gestion des donnéesSurveillance des résultats des tâches 11


• Synthèse de la stratégie DLP

• Synthèse des opérations DLP

Les tableaux de bord fournissent un total de 22 rapports, fondés sur les 28 requêtes disponibles dansla console McAfee ePO sous Menu | Rapports | Requêtes et rapports | Groupes McAfee | Data LossPrevention.

Options de rapportLe logiciel McAfee DLP utilise les rapports McAfee ePO pour la révision des événements. Vous pouvezen outre afficher des informations sur les propriétés du produit via le tableau de bord McAfee ePO.

Rapports McAfee ePO

Le logiciel McAfee DLP Endpoint permet d'intégrer la génération de rapports au service de générationde rapports McAfee ePO. Pour plus d'informations sur l'utilisation du service de génération de rapportsMcAfee ePO, reportez-vous au Guide produit de McAfee ePolicy Orchestrator.

Les requêtes avec données cumulées et les rapports de cumul des données McAfee ePO, quisynthétisent les données provenant de plusieurs bases de données McAfee ePO, sont pris en charge.

Les notifications McAfee ePO sont prises en charge. Pour plus d'informations, reportez-vous à larubrique Envoi de notifications du Guide produit de McAfee ePolicy Orchestrator.

Tableaux de bord ePO

Vous pouvez afficher des informations sur les propriétés du produit McAfee DLP sur la page McAfeeePO Menu | Tableaux de bord. Il existe quatre tableaux de bord prédéfinis :

• Synthèse des incidents DLP

• Récapitulatif de la découverte de terminaux DLP

• Synthèse de la stratégie DLP

• Synthèse des opérations DLP

Il est possible de modifier, de personnaliser et de créer des tableaux de bord. Pour plus d'informations,reportez-vous à la documentation de McAfee ePO.

Les requêtes prédéfinies résumées dans les tableaux de bord sont disponibles en sélectionnant Menu |Requêtes et rapports. Elles apparaissent sous Groupes McAfee.

Tableaux de bord prédéfinisLe tableau ci-dessous décrit les tableaux de bord McAfee DLP prédéfinis.

Tableau 11-1 Tableaux de bord DLP prédéfinis

Catégorie Option Description

DLP : synthèse desincidents

Nombre d'incidents par jour Ces graphiques illustrent le nombre totald'incidents et fournissent plusieurs options derépartition pour analyser plus facilement desproblèmes spécifiques.

Nombre d'incidents par gravité

Nombre d'incidents par type

Nombre d'incidents par jeu derègles

DLP : synthèse desopérations

Nombre d'événementsopérationnels par jour

Affiche tous les événements administratifs.

11 Collecte et gestion des donnéesCréation de rapports


Tableau 11-1 Tableaux de bord DLP prédéfinis (suite)


Version de l'agent Affiche la distribution des terminaux dansl'entreprise. Permet de surveiller la progressiondu déploiement des agents.

Distribution des produits DLP surles ordinateurs clients

Affiche un graphique à secteurs indiquant lenombre de terminaux Mac et Windows, ainsi quele nombre de terminaux sur lesquels aucun clientn'est installé.

Découverte DLP (Terminaux) : étatde l'analyse du système de fichierslocal

Affiche un graphique à secteurs indiquant lenombre de propriétés des analyses dedécouverte du système de fichiers local, ainsique leur état (terminé, en cours d'exécution,indéfini).

Etat de l'agent Affiche tous les agents et leur état.

Mode de fonctionnement de l'agent Affiche un graphique à secteurs des agents parmode de fonctionnement DLP. Les modes defonctionnement sont les suivants :• Mode de contrôle des périphériques

uniquement

• Mode de contrôle des périphériques et deprotection intégrale du contenu

• Mode de contrôle des périphériques et deprotection des périphériques de stockageamovibles selon le contenu

• Inconnu

Découverte DLP (Terminaux) : étatde l'analyse du stockage dese-mails local

Affiche un graphique à secteurs indiquant lenombre de propriétés des analyses dedécouverte du stockage des e-mails local et leurétat (terminé, en cours d'exécution, non défini).

DLP : synthèse de lastratégie

Distribution des stratégies Affiche la distribution des stratégies DLP parversion dans toute l'entreprise. Permet desurveiller la progression du déploiement d'unenouvelle stratégie.

Jeux de règles mis en œuvre parordinateur client

Affiche un graphique à barres indiquant le nomdu jeu de règles et le nombre de stratégies miseen œuvre.

Utilisateurs contournés Affiche le nom du système/nom de l'utilisateur etle nombre de propriétés des sessions utilisateur.

Classes d'équipement non définies(pour les appareils Windows)

Affiche les classes d'équipement non définiespour les équipements Windows.

Utilisateurs avec privilèges Affiche le nom du système/nom de l'utilisateur etle nombre de propriétés des sessions utilisateur.

Distribution de révision de lastratégie

Semblable à Distribution des stratégies, maisaffiche les révisions, c'est-à-dire les mises à jourd'une version existante.

DLP : récapitulatif de ladécouverte de terminaux

Découverte DLP (Terminaux) : Etatle plus récent de l'analyse dusystème de fichiers local

Affiche un graphique à secteurs indiquant l'étatd'exécution de l'analyse du système de fichierslocal.

Découverte DLP (Terminaux) :fichiers sensibles les plus récentsdétectés par l'analyse du systèmede fichiers local

Affiche un graphique à barres indiquant lenombre (par intervalle) de fichiers sensiblestrouvés parmi les fichiers système.

Collecte et gestion des donnéesCréation de rapports 11


Tableau 11-1 Tableaux de bord DLP prédéfinis (suite)


Découverte DLP (Terminaux) :erreurs les plus récentes détectéespar l'analyse du système de fichierslocal

Affiche un graphique à barres indiquant lenombre (par intervalle) d'erreurs détectées dansles dossiers système.

Découverte DLP (Terminaux) :classifications les plus récentesdétectées par l'analyse du systèmede fichiers local

Affiche un graphique à barres indiquant lesclassifications appliquées aux fichiers système.

Découverte DLP (Terminaux) : étatle plus récent de l'analyse de lamessagerie locale

Affiche un graphique à secteurs indiquant l'étatd'exécution de tous les dossiers de messagerielocaux.

Découverte DLP (Terminaux) :e-mails sensibles les plus récentsdétectés par l'analyse de lamessagerie locale

Affiche un graphique à barres indiquant lenombre (par intervalle) d'e-mails sensiblestrouvés dans les dossiers de messagerie locaux.

Découverte DLP (Terminaux) :erreurs les plus récentes détectéespar l'analyse de la messagerielocale

Affiche un graphique à barres indiquant lenombre (par intervalle) d'erreurs détectées dansles dossiers de messagerie locaux.

Découverte DLP (Terminaux) :classifications les plus récentesdétectées par l'analyse de lamessagerie locale

Affiche un graphique à barres indiquant lesclassifications appliquées aux e-mails locaux.

Création d'une tâche serveur Données cumuléesLes tâches de cumul McAfee ePO extraient des données de plusieurs serveurs pour produire un rapportunique. Vous pouvez créer des rapports de cumul pour les incidents et les événements opérationnelsMcAfee DLP.



2 Cliquez sur Nouvelle tâche.

3 Dans le Générateur de tâches serveur, entrez un nom et éventuellement une remarque, puis cliquez surSuivant.

4 Dans la liste déroulante Actions, sélectionnez Cumuler les données.

Le formulaire de cumul de données apparaît.

5 (Facultatif) Sélectionnez des serveurs dans le champ Cumuler les données de.

6 Dans la liste déroulante Type de données, sélectionnez Incidents DLP, Evénements opérationnels DLP ouDécouverte McAfee DLP Endpoint, selon vos besoins.

7 (Facultatif) Configurez les options de purge, de filtre ou de méthode de cumul. Cliquez sur Suivant.

8 Indiquez le type de planification, la date de début, la date de fin et l'heure de planification. Cliquezsur Suivant.

9 Passez en revue les informations de synthèse, puis cliquez sur Enregistrer.

11 Collecte et gestion des donnéesCréation de rapports


12 Journalisation et surveillance McAfeeDLP Prevent

McAfee DLP Prevent inclut des options de journalisation et de surveillance qui fournissent desinformations sur l'intégrité du système, ainsi que des statistiques sur le trafic web et de messagerie,et peut vous aider à résoudre des problèmes.

Sommaire Génération de rapports sur les événements Surveillance de l'état et de l'intégrité du système

Génération de rapports sur les événementsUn certain nombre d'événements McAfee DLP Prevent sont disponibles dans les journaux Evénementsclient et Opérations DLP de McAfee ePO. Des informations complémentaires peuvent être obtenues dans lejournal syslog local et dans un serveur de journalisation à distance si vous en avez activé un.

Le journal Evénements client affiche également les événements de gestion des appliances. Pour plusd'informations sur ces événements, consultez l'aide en ligne de la console Gestion des appliances.

Evénements McAfee DLP PreventMcAfee DLP Prevent envoie des événements au journal Evénements client ou au journal Opérations DLP.

Evénements du journal Evénements de client

Meilleure pratique : purgez régulièrement le journal Evénements client.

IDd'événement

Texted'événementd'UI

Description

15001 Echec de la requêteLDAP

La requête a échoué. Les motifs sont indiqués dans lesdescriptions d'événement.

15007 Synchronisationd'annuaire LDAP

Etat de la synchronisation d'annuaire

210003 L'utilisation desressources a atteint leniveau critique

McAfee DLP Prevent ne peut pas analyser un message car leremplissage du répertoire a atteint un niveau critique

12


IDd'événement

Texted'événementd'UI

Description

220000 Connexion utilisateur Un utilisateur s'est connecté à McAfee DLP Prevent :• 354 — La connexion à l'interface utilisateur graphique a

réussi

• 355 — La connexion à l'interface utilisateur graphique aéchoué

• 424 — La connexion à SSH a réussi

• 425 — La connexion à SSH a échoué

• 426 — La connexion à la console de l'appliance a réussi

• 427 — La connexion à la console de l'appliance a échoué

• 430 — Le changement d'utilisateur a réussi

• 431 — Le changement d'utilisateur a échoué

220001 Déconnexion utilisateur Un utilisateur s'est déconnecté de McAfee DLP Prevent :• 356 — L'utilisateur de l'interface utilisateur graphique s'est

déconnecté

• 357 — La session a expiré

• 428 — L'utilisateur de SSH s'est déconnecté

• 429 — L'utilisateur de la console de l'appliance s'estdéconnecté

• 432 — L'utilisateur s'est déconnecté

220900 Installation du certificat • Certificat installé

• L'installation du certificat a échoué : <motif>

Un certificat peut ne pas s'installer pour l'une des raisonssuivantes :• Phrase secrète incorrecte

• Aucune clé privée

• Erreur de chaîne

• Certificat incorrect

• Certificat expiré

• Pas encore valide

• Signature incorrecte

• Certificat d'autorité de certification incorrect

• Chaîne trop longue

• Objectif incorrect

• Révoqué

• Liste de révocation de certificats (CRL) incorrecte oumanquante

La raison est également indiquée dans le journal syslog. Siaucune des raisons disponibles n'est en cause, l'événementpar défaut, Echec de l'installation du certificat, est indiqué.

12 Journalisation et surveillance McAfee DLP PreventGénération de rapports sur les événements


Evénements du journal Opérations DLP

ID d'événement Texte d'événement d'UI Description

19100 Modification de stratégie La gestion des appliances a envoyé une stratégie àl'appliance en mode Push

19500 Echec de l'envoi de stratégie enmode Push

La console de gestion des appliances n'a pas réussi àenvoyer une stratégie à l'appliance en mode Push

19105 Echec de la réplication de preuves • Un fichier de preuve n'a pas pu être chiffré

• Un fichier de preuve n'a pas pu être copié sur leserveur de preuve

19501 Echec de l'analyse • Possible attaque de type déni de service

• Le contenu n'a pas pu être décomposé pouranalyse

19502 DLP Prevent enregistré L'appliance a été enregistrée auprès de McAfee ePO

Utilisation de syslog avec McAfee DLP PreventMcAfee DLP Prevent envoie des informations de journalisation sur SMTP et le matériel au journalsyslog local, et à un ou plusieurs serveurs de journalisation distants, si vous les avez activés. Desmessages informationnels fournissant des détails sur les événements, tels que l'état de l'installationdu certificat, sont envoyés à /var/log/messages.

Utilisez les paramètres de la catégorie Général de la stratégie Appliance partagée pour configurer les serveursde journalisation distants.

McAfee DLP Prevent envoie des informations au journal syslog au format CEF (Common EventFormat). Le format CEF est une norme ouverte de gestion des journaux qui améliore l'interopérabilitédes informations liées à la sécurité provenant de différentes appliances et applications de sécurité etde réseau. Pour simplifier l'intégration, le format de message syslog est utilisé comme mécanisme detransport. Cela permet d'appliquer un préfixe commun à chaque message contenant la date et le nomd'hôte.

Pour plus d'informations sur les champs de données d'événements McAfee DLP Prevent et le format CEF,consultez le Guide Common Event Format de McAfee DLP Prevent, disponible dans la base deconnaissances McAfee.

Meilleure pratique : sélectionnez le protocole TCP pour envoyer des données d'événements McAfeeDLP Prevent à un serveur de journalisation distant. UDP présente une limite de 1 024 octets par paquetde sorte que les événements qui dépassent cette valeur soient tronqués.

Les entrées du journal syslog contiennent des informations sur l'équipement lui-même (fournisseur,nom du produit et version), la gravité de l'événement et la date de l'événement. Le tableau fournit desinformations sur certains des champs de McAfee DLP Prevent qui apparaissent le plus courammentdans les entrées syslog.

Les événements relatifs aux messages SMTP peuvent inclure l'expéditeur et le destinataire, l'objet, ainsique les adresses IP source et de destination. Toute tentative d'envoi d'un message crée au moins uneentrée dans le journal. Si le message contient du contenu qui viole une stratégie de prévention desfuites de données, une autre entrée est ajoutée au journal. Lorsque deux entrées sont ajoutées aujournal, elles contiennent toutes les deux le numéro McAfeeDLPOriginalMessageID correspondant.

Journalisation et surveillance McAfee DLP PreventGénération de rapports sur les événements 12


Tableau 12-1 Définitions d'entrée de journal syslog

Champ Définition

act Action de McAfee DLP qui a été appliquée suite à l'événement

app Nom du processus qui a généré l'événement

msg Message descriptif sur l'événement, par exemple Le disque RAIDest en cours de reconstruction

dvc Hôte sur lequel l'événement est survenu

dst Adresse IP de destination si la connexion est disponible

dhost Nom d'hôte de destination si la connexion est disponible

src Adresse IP d'origine de l'hôte établissant la connexion

shost Nom d'hôte d'origine de l'hôte établissant la connexion

suser Expéditeur de l'e-mail

duser Liste des adresses e-mail des destinataires

sourceServiceName Nom de la stratégie active

filePath Nom du fichier dans lequel la détection a eu lieu

field ID unique attribué à chaque e-mail

rt Moment de l'événement en temps Unix (en millisecondes)

flexNumber1 ID attribué à la raison de l'événement

McAfeeDLPOriginalSubject Ligne d'objet d'origine dans le message

McAfeeDLPOriginalMessageId Numéro d'ID d'origine attribué au message

McAfeeDLPProduct Nom du produit McAfee DLP qui a détecté l'événement

McAfeeDLPHardwareComponent Nom de l'appliance matérielle McAfee DLP qui a détectél'événement

McAfeeEvidenceCopyError Problème lors de la copie des preuves

McAfeeDLPClassificationText Informations sur les classifications McAfee DLP

Champs cs

Les entrées cs du journal syslog se comportent selon la valeur du champ cs5 :

Valeur Définition

cs1 Si le champ cs5 est défini sur « DP » ou « DPA » : fichier qui a déclenché la règle DLP

Si le champ cs5 est défini sur « AR » : règle antirelais qui a déclenché l'événement

cs2 Si le champ cs5 est défini sur « DP » ou « DPA » : catégories DLP qui ont entraîné ledéclenchement

cs3 Si le champ cs5 est défini sur « DP » : catégories DLP qui ont entraîné le déclenchement

cs4 Pièces jointes à l'e-mail (si disponible)

cs5 Pour un événement de détection, l'analyseur ayant déclenché l'événement 'DL' - Data LossPrevention

cs6 Objet de l'e-mail.

cs1Label Si le champ cs5 est défini sur « DP » ou « DPA » : « dlpfile »

Si le champ cs5 est défini sur « AR » : « antirelay-rule »

12 Journalisation et surveillance McAfee DLP PreventGénération de rapports sur les événements


Valeur Définition

cs2Label Si le champ cs5 est défini sur « DP » ou « DPA » : « dlp-rules »

cs3Label Si le champ cs5 est défini sur « DP » : « dlpclassification »

cs4Label email-attachments

cs5Label master-scan-type

cs6Label email-subject

Surveillance de l'état et de l'intégrité du systèmeUtilisez le tableau de bord Gestion des appliances de McAfee ePO pour gérer vos appliances, afficher l'étatd'intégrité du système et obtenir des informations détaillées sur les alertes.

Tableau de bord Gestion des appliancesLe tableau de bord Gestion des appliances combine l'arborescence Appliances, les cartes Intégrité du système,ainsi que les volets Alertes et Détails.

Le tableau de bord affiche les informations suivantes pour toutes vos appliances managées.

• La liste de vos appliances McAfee DLP Prevent

• Des indicateurs signalant si une appliance requiert votre attention

• Des informations détaillées sur les problèmes détectés

La barre d'information indique le nom de l'appliance, le nombre d'alertes actuellement signalées etd'autres informations propres à l'appliance signalée.

Cartes d'intégrité du systèmeLes cartes d'intégrité du système affichent des états, des alertes et des notifications qui vous aident àgérer toutes les appliances McAfee virtuelles et physiques sur votre réseau.

Les cartes d'intégrité du système des appliances McAfee DLP Prevent présentent les informationssuivantes.

Journalisation et surveillance McAfee DLP PreventSurveillance de l'état et de l'intégrité du système 12


Volet Informations

Intégrité dusystème

• File d'attente de preuves : nombre de fichiers en attente d'être copiés dans le stockage despreuves. La taille de file d'attente est actualisée en temps réel.

• E-mails : nombre de messages remis, rejetés de manière permanente ou temporaire, oun'ayant pas pu être analysés. Les compteurs indiquent les données des 60 dernièressecondes.

• Demandes web : nombre de demandes web reçues et nombre de demandes web n'ayantpas pu être analysées. Les compteurs indiquent les données des 60 dernières secondes.

• Utilisation processeur : utilisation totale du processeur.

• Mémoire : taux d'échange de la mémoire.

• Disque : pourcentage d'utilisation du disque.

• Réseau : interfaces réseau de l'appliance, affiche des informations sur les données reçueset transmises. Les compteurs indiquent les données des 60 dernières secondes.

Alertes Affiche les erreurs ou les avertissements relatifs aux éléments suivants :• Etats d'intégrité du système

• Taille de la file d'attente de preuves

• Mise en œuvre de stratégie

• Communication entre McAfee ePO et McAfee DLP Prevent

Vous pouvez accéder à plus d'informations sur une alerte dans le volet Détails.

Affichage de l'état d'une applianceVous pouvez déterminer si une appliance fonctionne correctement ou requiert votre attention enconsultant les informations de Gestion des appliances.

Procédure1 Connectez-vous à McAfee ePO.

2 Dans le menu, sélectionnez Gestion des appliances dans la section Systèmes.

3 Dans l'arborescence Appliances, développez la liste des appliances jusqu'à ce que vous trouviez celleque vous souhaitez afficher.

Pour plus d'informations sur les états et alertes, vous pouvez consulter l'aide en ligne de Gestiondes appliances.

Téléchargement des fichiers MIB et SMITéléchargez des fichiers MIB et SMI pour afficher les compteurs et les interruptions SNMP disponiblessur l'appliance.

Pour plus d'informations sur le fonctionnement de l'appliance avec SNMP, consultez l'aide en ligne del'extension Gestion des appliances de McAfee.

12 Journalisation et surveillance McAfee DLP PreventSurveillance de l'état et de l'intégrité du système



1 Accédez à https://<APPLIANCE>:10443/mibs.

2 Téléchargez les fichiers MCAFEE-SMI.txt et MCAFEE-DLP-PREVENT-MIB.txt dans la langue danslaquelle vous souhaitez afficher les informations.

3 Importez les fichiers MIB et SMI dans votre logiciel de surveillance du réseau.

Journalisation et surveillance McAfee DLP PreventSurveillance de l'état et de l'intégrité du système 12


12 Journalisation et surveillance McAfee DLP PreventSurveillance de l'état et de l'intégrité du système


Maintenance et dépannageUtilisez l'outil de diagnostic McAfee DLP pour résoudre les problèmes avecMcAfee DLP Endpoint pour les clients Windows. Utilisez la console del'appliance McAfee DLP Prevent pour accéder aux options de maintenance etde dépannage.

Chapitre 13 Diagnostics McAfee DLP EndpointChapitre 14 Maintenance et dépannage de McAfee DLP Prevent


Maintenance et dépannage


13 Diagnostics McAfee DLP Endpoint

Utilisez l'utilitaire Outil de diagnostic McAfee DLP Endpoint pour surveiller l'intégrité du système etrésoudre les problèmes.

Outil de diagnosticL'outil de diagnostic est conçu pour faciliter la résolution des problèmes dans McAfee DLP Endpoint surles ordinateurs clients Microsoft Windows. Il n'est pas pris en charge sur les ordinateurs OS X.

L'outil de diagnostic collecte des informations sur les performances du logiciel client. L'équipeinformatique utilise ces informations pour résoudre les problèmes et configurer les stratégies. En casde problème grave, cet outil permet également à l'équipe de développement McAfee DLP de collecterdes données pour analyse.

L'outil est distribué sous la forme d'un utilitaire à installer sur les ordinateurs à problème. Il secompose de sept pages réparties en onglets, chacune consacré à un aspect particulier dufonctionnement du logiciel McAfee DLP Endpoint.

Sur toutes les pages affichant des informations dans des tableaux (à l'exception de Informationsgénérales et Outils, vous pouvez trier les tableaux en fonction de n'importe quelle colonne en cliquantsur l'en-tête de celle-ci.

Informationsgénérales

Collecte des données pour indiquer, par exemple, si les pilotes et les processus del'agent sont en cours d'exécution, ainsi que pour afficher des informations généralessur les stratégies, l'agent et la journalisation. Lorsqu'une erreur est détectée, lesinformations la concernant sont affichées.

Modules DLPE Affiche la configuration de l'agent (indiquée sur la page Configuration de l'agent |Divers de la console des stratégies McAfee DLP Endpoint). Cet onglet indique leparamètre de configuration et l'état de chaque module, complément et gestionnaire.Le fait de sélectionner un module affiche des informations qui peuvent vous aider àdéterminer les problèmes.

Flux de données Affiche le nombre d'événements sur le client McAfee DLP Endpoint et la mémoirequ'il utilise, ainsi que les détails des événements que vous sélectionnez.

Outils Permet d'effectuer plusieurs tests et d'afficher les résultats. Si nécessaire, un vidagedes données est effectué pour une analyse ultérieure.

Liste de processus Affiche tous les processus en cours d'exécution sur l'ordinateur. Le fait desélectionner un processus affiche les détails, les titres des fenêtres et les définitionsd'applications associés.

13


Equipements Affiche tous les équipements Plug-and-Play et amovibles connectés à l'ordinateur. Lefait de sélectionner un équipement en affiche les détails, ainsi que les définitionsassociées.Affiche toutes les règles de contrôle des équipements actives, ainsi que lesdéfinitions d'équipement appropriées.

Stratégie active Affiche toutes les règles contenues dans la stratégie active, ainsi que les définitionsde stratégie pertinentes. Le fait de sélectionner une règle ou une définition enaffiche les détails.

Vérification de l'état de l'agentUtilisez l'onglet Informations générales pour obtenir un aperçu de l'état de l'agent.

Les informations fournies sous l'onglet Informations générales sont conçues pour confirmer lesattentes des utilisateurs et répondre à des questions de base. Les pilotes et les processus d'agentsont-ils en cours d'exécution ? Quelles sont les versions des produits installées ? Quels sont le modede fonctionnement et la stratégie actuels ?

Pilotes et processus d'agent

L'une des questions les plus importantes pour résoudre les problèmes est la suivante : « Est-ce quetout fonctionne comme prévu ? » Les sections Processus d'agent et Pilotes permettent d'y répondred'un seul coup d'œil. Les cases à cocher indiquent si le processus est activé, tandis que le point decouleur indique s'il est en cours d'exécution. Si le processus ou le pilote ne fonctionne pas, la zone detexte fournit des informations sur le problème.

La mémoire maximale par défaut est de 150 Mo. Une valeur élevée pour ce paramètre peut indiquerdes problèmes.

Tableau 13-1 Processus d'agent

Terme Processus État prévu

Fcag Agent (client) McAfee DLP Endpoint activé ; en cours d'exécution

Fcags Service d'agent McAfee DLP Endpoint activé ; en cours d'exécution

Fcagte Extracteur de texte McAfee DLP Endpoint activé ; en cours d'exécution

Fcagwd Surveillance McAfee DLP Endpoint activé ; en cours d'exécution

Fcagd Agent McAfee DLP Endpoint avec vidageautomatique

activé uniquement pour le dépannage.

Tableau 13-2 Pilotes

Terme Processus État prévu

Hdlpflt Pilote de minifiltre McAfee DLP Endpoint (appliqueles règles pour équipements de stockageamovibles)

activé ; en cours d'exécution

Hdlpevnt événement McAfee DLP Endpoint activé ; en cours d'exécution

Hdlpdbk pilote de filtre d'équipement McAfee DLP Endpoint(applique les règles d'équipement Plug-and-Play)

peut être désactivé dans laconfiguration

Hdlpctrl Contrôle McAfee DLP Endpoint activé ; en cours d'exécution

Hdlhook Pilote d'accrochage McAfee DLP Endpoint activé ; en cours d'exécution

13 Diagnostics McAfee DLP EndpointOutil de diagnostic


Section d'informations sur l'agent

Les valeurs Mode de fonctionnement et Etat de l'agent doivent normalement correspondre. L'indicationde connectivité de l'agent, ainsi que l'adresse EPO peuvent être utiles pour la résolution desproblèmes.

Il existe trois options pour la connectivité de l'agent : en ligne, hors ligne ou connecté par VPN.

Exécution de l'outil de diagnosticL'outil de diagnostic fournit aux équipes informatiques des informations détaillées sur l'état de l'agent.

Avant de commencerL'outil de diagnostic requiert une authentification auprès de McAfee

®

Help Desk.

Procédure1 Double-cliquez sur le fichier hdlpDiag.exe.

Une fenêtre d'authentification s'affiche.

2 Copiez le code d'identification Help Desk dans la zone de texte idoine de la page Générer une clé decontournement du client DLP. Entrez le reste des informations et générez un code d'autorisation.

3 Copiez ce code d'autorisation dans la zone de texte Code de validation de la fenêtre d'authentification,puis cliquez sur OK.

L'outil de diagnostic s'ouvre.

Les onglets Informations générales, Modules DLPE et Liste de processus comportent un boutonActualiser en bas à droite. Les modifications apportées lorsqu'un onglet est ouvert ne mettent pasautomatiquement à jour les informations figurant sous ces onglets. Cliquez sur le bouton Actualiserfréquemment pour vous assurer que vous affichez des données à jour.

Configuration des stratégiesL'outil de diagnostic peut être utilisé pour dépanner ou régler des stratégies.

Scénario d'utilisation : utilisation élevée du processeurLes utilisateurs rencontrent parfois une baisse des performances lors de l'application d'unenouvelle stratégie. L'une des causes peut en être l'utilisation élevée du processeur. Pour levérifier, accédez à l'onglet Liste des processus. Si vous observez un nombre inhabitueld'événements pour un processus, cela peut être l'origine du problème. Par exemple, unevérification détecte que taskmgr.exe est classé dans la catégorie Editeur et qu'il a ledeuxième plus grand nombre total d'événements. Comme il est très peu probable quecette application connaisse une fuite de données, il n'est pas nécessaire que le clientMcAfee DLP Endpoint la surveille de façon très étroite.

Pour tester votre théorie, créez un modèle d'application. Dans le catalogue de stratégies,accédez à Stratégie DLP | Paramètres et remplacez la catégorie de l'application parApprouvée. Appliquez la stratégie et effectuez un test pour vérifier que les performancessont meilleures.

Diagnostics McAfee DLP EndpointOutil de diagnostic 13


Scénario d'utilisation : création de critères efficaces pour la classification ducontenu et l'identification du contenu par empreinteToute stratégie de protection des données repose sur le marquage des donnéesconfidentielles. L'outil de diagnostic affiche des informations qui vous aident à créer descritères efficaces pour la classification du contenu et son identification par empreinte. Lesmarqueurs peuvent être trop restrictifs, ignorer des données qui devraient être marquéesou être trop larges, ce qui génère des faux positifs.

La page Stratégie active fournit une liste de critères efficaces pour la classification ducontenu et son identification par empreinte. La page Flux de données fournit la liste detous les marqueurs appliqués par la stratégie, ainsi que leur nombre. Lorsque ce nombreest plus élevé que prévu, vous pouvez suspecter la présence de faux positifs. Dans un casprécis, un nombre de balises extrêmement élevé a permis de découvrir que la classificationétait déclenchée par le texte d'une clause d'exclusion de responsabilité. L'ajout de cetteclause d'exclusion à la liste blanche a supprimé les faux positifs. Suivant le même principe,un nombre plus faible qu'attendu peut suggérer que la classification est trop stricte.

Si un nouveau fichier est marqué pendant l'exécution de l'outil de diagnostic, le chemind'accès au fichier apparaît dans le volet de détails. Ces informations permettent delocaliser les fichiers à tester.

13 Diagnostics McAfee DLP EndpointOutil de diagnostic


14 Maintenance et dépannage de McAfeeDLP Prevent

Utilisez la console de l'appliance pour réaliser des tâches de maintenance générale telles que lamodification des paramètres réseau et l'application de mises à jour logicielles.

Vous disposez d'options de dépannage, de vérifications d'intégrité et de messages d'erreur pourdéterminer et résoudre des problèmes sur une appliance McAfee DLP Prevent.

Sommaire Gestion à l'aide de la console d'appliance McAfee DLP Prevent Accès à la console de l'appliance Modification des paramètres réseau d'origine Modifier les paramètres de vitesse et de duplex pour les appliances matérielles Gestion des appliances matérielles avec le module RMM Mise à niveau ou réinstallation à partir de l'image d'installation interne Redémarrage de l'appliance Restauration des paramètres d'usine de l'appliance Déconnexion de l'appliance McAfee DLP Prevent n'accepte pas les e-mails Remplacement du certificat par défaut Messages d'erreur Création d'un rapport pour la procédure d'escalade minimale (MER)

Gestion à l'aide de la console d'appliance McAfee DLP PreventUtilisez des informations d'identification administrateur pour ouvrir la console de l'appliance afin demodifier les paramètres réseau saisis dans l'Assistant d'installation et d'effectuer d'autres tâches demaintenance et de dépannage.

Tableau 14-1 Options de menu de la console de l'appliance

Option Définition

Graphical configuration wizard Ouvrez l'Assistant de configuration graphique.

Si vous vous connectez à l'aide de SSH, l'Assistant de configurationgraphique n'est pas disponible.

Shell Ouvrez le shell de l'appliance.

Enable/Disable SSH Activez ou désactivez SSH comme méthode de connexion à l'appliance.

Generate MER Créez un rapport pour la procédure d'escalade minimale (MER) à envoyerau support technique McAfee pour lui permettre de diagnostiquer desproblèmes avec l'appliance.

Power down Arrêtez l'appliance.

14


Tableau 14-1 Options de menu de la console de l'appliance (suite)

Option Définition

Reboot Redémarrez l'appliance.

Rescue Image Créez une image de secours à partir de laquelle l'appliance puisse êtredémarrée.

Reset to factory defaults Restaurez les paramètres par défaut de l'appliance.

Change password Changez le mot de passe du compte administrateur.

Logout Déconnectez-vous de l'appliance principale.

Accès à la console de l'applianceLa console de l'appliance vous permet d'effectuer différentes tâches de maintenance. Il existedifférentes méthodes permettant d'accéder à la console selon le type d'appliance dont vous disposez.

Tableau 14-2 Méthodes d'accès à la console

Méthode Appliance virtuelle Appliance matérielle

SSH X X

Client vSphere X

Module KVM local (clavier, moniteur, souris) X

RMM X

Port série X

Modification des paramètres réseau d'origineVous pouvez utiliser l'Assistant de configuration graphique pour modifier les paramètres réseau quevous avez entrés pendant l'installation.

Procédure1 Connectez-vous à l'appliance avec des informations d'identification d'administrateur.

Si vous vous connectez à l'aide de SSH, l'Assistant de configuration graphique n'est pas disponible.

2 Ouvrez l'Assistant de configuration graphique.

3 Modifiez les paramètres de configuration réseau de base souhaités.

4 Cliquez sur Terminer.

14 Maintenance et dépannage de McAfee DLP PreventAccès à la console de l'appliance


Modifier les paramètres de vitesse et de duplex pour lesappliances matérielles

Par défaut, les interfaces réseau sont configurées pour l'autonégociation. Passez par la ligne decommande pour modifier les paramètres de vitesse et de duplex.

Procédure1 En utilisant une session de ligne de commande, connectez-vous à l'appliance.

2 Dans le menu options, sélectionnez l'option Shell.

3 Affichez l'aide sur la formation de la commande.

$ /opt/NETAwss/mgmt/nic_options -?• Utilisez lan1 pour l'interface du client et mgmt pour l'interface de gestion.

• --(no)autoneg permet d'activer ou de désactiver l'autonégociation. Par défaut, elle est activée.

• --duplex indique le type de duplex : semi- ou intégral. La valeur par défaut est Intégral.

• --speed indique la vitesse du réseau en Mo/s : 0, 100 ou 1 000. La valeur par défaut est 1 000.

• --mtu indique la taille d'unité de transmission maximum (MTU) en octets, comprise entre 576et 1 500. La valeur par défaut est 1500.

4 Entrez la commande pour modifier le paramètre. Exemples :

• Pour désactiver l'autonégociation et définir une vitesse réseau de 100 Mo/s sur l'interface duclient :$ sudo /opt/NETAwss/mgmt/nic_options --noautoneg --speed 100 lan1

• Pour restaurer le comportement par défaut sur le port de gestion :$ sudo /opt/NETAwss/mgmt/nic_options mgmt

Gestion des appliances matérielles avec le module RMMUtilisez le module RMM (également appelé contrôleur de gestion de la carte de base, ou BMC) pourgérer une appliance matérielle à distance. Le module RMM n'est pas disponible sur les appliancesvirtuelles.

La console de l'appliance permet d'activer et de configurer les paramètres de base du module RMM.Après avoir configuré les paramètres réseau du RMM, vous pouvez accéder à la console de l'applianceà l'aide du serveur web intégré. A partir de l'interface web, vous pouvez vérifier l'état du matériel,définir d'autres paramètres et gérer l'appliance à distance. Accédez à :

https://<adresse IP du RMM>

Utilisez les informations d'identification administrateur de l'appliance pour accéder à l'interfaceutilisateur. Vous pouvez configurer le RMM de manière à utiliser le protocole LDAP pourl'authentification au lieu du compte administrateur.

Par défaut, tous les protocoles utilisés pour accéder au module RMM sont activés :

• HTTP/HTTPS

• SSH

Maintenance et dépannage de McAfee DLP PreventModifier les paramètres de vitesse et de duplex pour les appliances matérielles 14


• IPMI sur LAN

• Module KVM distant

Configuration du module RMMConfigurez les paramètres réseau et les protocoles utilisés par le module RMM.

Procédure1 A l'aide de la console, connectez-vous à l'appliance.

2 Dans le menu de la console, sélectionnez Configure the BMC (Configurer le contrôleur de gestion de lacarte de base).


• Pour configurer les informations relatives au réseau :

1 Sélectionnez Configure the address (Configurer l'adresse).

2 Saisissez l'adresse IP, le masque réseau et éventuellement la passerelle. Utilisez les flècheshaut et bas pour naviguer entre les options.

3 Appuyez sur la touche Entrée ou sélectionnez OK pour enregistrer les modifications.

• Pour configurer les protocoles autorisés, procédez comme suit :

1 Sélectionnez Configure remote protocols (Configurer les protocoles distants).

2 Pour activer ou désactiver une option, appuyez sur la barre d'espace. Utilisez les flèches hautet bas pour naviguer entre les options.

3 Appuyez sur la touche Entrée ou sélectionnez OK pour enregistrer les modifications.

Utilisez le compte et le mot de passe administrateur pour vous connecter à l'appliance à l'aide dumodule RMM.

Exécution de l'Assistant d'installation à l'aide du service KVMdistantSi vous n'avez pas accès en local au clavier, au moniteur et à la souris pour exécuter l'Assistantd'installation, vous pouvez le faire via l'interface web du module RMM.

Procédure1 Avec un navigateur web, connectez-vous à https://<adresse IP du RMM>.

2 Cliquez sur l'onglet Remote Control (Contrôle à distance).

3 Cliquez sur Launch Console (Lancer la console).

4 Pour certains navigateurs, il peut être nécessaire de télécharger l'application de console distante.Dans ce cas, téléchargez et ouvrez le fichier jviewer.jnlp.

5 Dans le shell d'administration, sélectionnez Graphical configuration wizard (Assistant de configurationgraphique).

14 Maintenance et dépannage de McAfee DLP PreventGestion des appliances matérielles avec le module RMM


Meilleures pratiques : sécurisation du module RMMSécurisez votre environnement RMM afin d'empêcher les utilisateurs non autorisés d'accéder àl'appliance.

• Vérifiez que le microprogramme RMM est à jour.

• Connectez le port RMM à un VLAN ou à un réseau physique dédié sécurisé.

• Désactivez les protocoles non utilisés. Seuls les protocoles HTTP/HTTPS et le service KVM distantsont nécessaires pour configurer l'appliance à distance.

• Si votre appliance utilise RMM4, assurez-vous qu'elle est configurée de manière à forcer l'utilisationde HTTPS.

La console de l'appliance et l'interface web affichent le type de module RMM utilisé par l'appliance,RMM3 ou RMM4.

Dans l'interface web, cliquez sur l'onglet Configuration, sélectionnez Security Settings (Paramètres desécurité), puis sélectionnez l'option Force HTTPS (Forcer l'utilisation du protocole HTTPS).

• Changez régulièrement le mot de passe administrateur.

Mise à niveau ou réinstallation à partir de l'image d'installationinterne

McAfee DLP Prevent contient une partition avec une image d'installation interne que vous pouvezutiliser pour mettre à niveau ou réinstaller l'appliance.

Utilisez l'option de mise à niveau du menu de la console pour effectuer ces actions.

• Vous pouvez mettre l'appliance à niveau, la faire revenir à une version antérieure ou la réinstaller àpartir de l'image d'installation.

Lorsque vous revenez à une version antérieure les configurations ou les enregistrements auprès deMcAfee ePO ne sont pas conservés.

• Vous pouvez mettre à jour l'image d'installation avec une version antérieure ou ultérieure dulogiciel McAfee DLP Prevent à l'aide d'un support multimédia externe. Ces méthodes sont prises encharge à l'aide du fichier image ISO McAfee DLP Prevent.

• Lecteur USB : créez un lecteur USB amorçable ou copiez le fichier ISO sur le lecteur.

L'utilisation de lecteurs USB au format Windows ou Linux est prise en charge.

Le format de système de fichiers Windows exFAT n'est pas pris en charge.

• CD : gravez un CD amorçable et utilisez un lecteur CD USB. Pour les appliances 4400, vouspouvez utiliser le lecteur CD intégré.

• CD virtuel : liez le fichier ISO au CD virtuel dans un environnement ESX ou utilisez le moduleRMM pour les appliances matérielles.

• SCP : créez une copie sécurisée du fichier ISO et mettez à jour l'image d'installation interne.

• Créer un lecteur USB contenant l'image d'installation actuelle.

La création de l'image USB supprime toutes les données sur le lecteur USB.

• Permet d'afficher la version ou le statut de l'image d'installation.

Maintenance et dépannage de McAfee DLP PreventMise à niveau ou réinstallation à partir de l'image d'installation interne 14


Procédure

1 En utilisant une session de ligne de commande, connectez-vous à l'appliance.

2 Dans le menu de la console, sélectionnez Upgrade (Mettre à niveau).


• Pour effectuer une mise à niveau ou une réinstallation :

1 Sélectionnez Boot from the internal install image (Démarrer à partir de l'image d'installation interne).

2 Sélectionnez l'une des options suivantes :

• Full (Complète) : conserve toute la configuration, y compris les fichiers de preuve et lesurlignage de correspondances en attente d'être copiés dans le partage de stockage depreuves.

• Config (Configuration) : conserve toute la configuration sauf les fichiers de preuve et lesurlignage de correspondances en attente d'être copiés.

• Basic (De base) : conserve uniquement la configuration réseau et l'enregistrement McAfeeePO.

• Reinstall (Réinstallation) : effectue une réinstallation sans conserver aucune configuration ;vous devez utiliser l'Assistant d'installation pour enregistrer l'appliance auprès de McAfeeePO

Si vous installez une version antérieure à celle qui est déjà installée, un message apparaîtpour vous indiquer que vous pouvez uniquement effectuer une réinstallation.

3 Sélectionnez Yes (Oui).

L'appliance redémarre et est réinstallée.

• Pour mettre à jour l'image d'installation à partir d'un CD ou d'un lecteur USB, procédez commesuit :

1 Insérez l'équipement dans l'appliance.

2 Sélectionnez Update the internal install image from an external device (Mettre à jour l'image d'installationinterne à partir d'un équipement externe).

3 Vérifiez que l'équipement externe est correctement identifié dans la liste.

Si plusieurs fichiers ISO sont détectés, tous les fichiers sont affichés comme disponibles pourla sélection.

4 Sélectionnez l'image ISO et l'équipement, puis sélectionnez Oui.

• Pour mettre à jour l'image d'installation à l'aide de SCP, utilisez une session de ligne decommande ou un utilitaire comme WinSCP pour copier le fichier vers /home/admin/upload/iso.

• Pour créer une clé USB contenant l'image d'installation, procédez comme suit :

1 Insérez le lecteur USB dans l'appliance.

2 Sélectionnez Copy the internal install image to a USB flash device (Copier l'image d'installation internevers un équipement flash USB).

3 Sélectionnez Yes (Oui).

• Pour afficher des informations sur la date et l'heure de dernière utilisation de l'imaged'installation et sur la version actuellement chargée vers l'image d'installation, sélectionnez Showthe internal install image details (Afficher les détails de l'image d'installation interne).

14 Maintenance et dépannage de McAfee DLP PreventMise à niveau ou réinstallation à partir de l'image d'installation interne


Redémarrage de l'applianceArrêtez et redémarrez McAfee DLP Prevent.


2 Dans le menu général de la console, sélectionnez Redémarrer.

Restauration des paramètres d'usine de l'applianceRétablissez les paramètres d'origine de l'appliance.Vous devrez reconfigurer les paramètres de configuration réseau.


Le menu général de la console s'ouvre.

2 Dans le menu général de la console, cliquez sur l'option Reset to factory defaults (Rétablir lesparamètres par défaut).

Déconnexion de l'applianceFermez la session de connexion et revenez à l'invite de connexion.



2 Dans le menu général de la console, cliquez sur l'option Se déconnecter.

La session SSH se ferme ou la console revient à l'invite de connexion.

McAfee DLP Prevent n'accepte pas les e-mailsSi aucun hôte actif n'est configuré, McAfee DLP Prevent ne peut pas accepter les e-mails, car il n'anulle part où les envoyer.

McAfee DLP Prevent émet l'erreur 451 System problem: retry later. (No SmartHost has beenconfigured) (451 Problème système : réessayez plus tard. Aucun hôte actif n'a été configuré) et fermela connexion.

Vous pouvez vérifier si McAfee DLP Prevent accepte les e-mails en utilisant telnet. Si l'appliance estcorrectement configurée, vous obtenez un message d'accueil 220 :

220 hôte.domaine.exemple PVA/SMTP Ready (220 hôte.domaine.exemple PVA/SMTP Prêt)

Maintenance et dépannage de McAfee DLP PreventRedémarrage de l'appliance 14



• Pour résoudre un problème de connexion, vous devez :a Installer les extensions requises dans McAfee ePO.

b Enregistrer l'appliance auprès d'un serveur McAfee ePO.

Suivre les étapes de l'aide de l'Assistant d'installation McAfee DLP Prevent.

c Configurer au moins un serveur DNS dans la stratégie Gestion des appliances partagées.

Consultez la section relatives à la configuration des paramètres généraux de l'aide en ligne del'extension Gestion des appliances.

d Configurer un hôte actif dans la catégorie de stratégies Paramètres d'e-mail de McAfee DLP Prevent.

e Appliquer une stratégie McAfee Data Loss Prevention.

Consulter la section relative à l'affectation de stratégies de l'aide en ligne McAfee ePolicyOrchestrator.

Voir aussi Utilisation des stratégies McAfee DLP Prevent, page 80

Remplacement du certificat par défaut Si vos paramètres Email Gateway n'acceptent pas le certificat autosigné par défaut, vous pouvezremplacer le certificat pour TLS par un autre certificat signé.

Les formats de certificats pris en charge pour les certificats signés PKI sont les suivants :

• PKCS#12(.p12/.pfx)

• Certificats de chaîne codés PEM

Pour installer un certificat signé PKI, procédez comme suit.


1 En utilisant une session de ligne de commande, connectez-vous à l'appliance.

2 S'il n'est pas déjà activé, activez SSH.

3 Copiez le certificat sur l'appliance :

• Utilisez un utilitaire tel que WinSCP pour copier un certificat non chiffré dans /home/admin/upload/cert. Le certificat est installé automatiquement.

• Dans le shell de l'appliance, entrez la commande suivante pour installer un certificat chiffré dansun autre emplacement auquel l'utilisateur a accès en écriture (autre que /home/admin/upload/cert).

/opt/NETAwss/mgmt/import_ssl_cert "--file" <certificat chiffré> --passphrase <phrase secrète>

4 Dans McAfee ePO, sélectionnez Catalogue de stratégies | Produit | Serveur DLP Prevent | Paramètres d'e-mail, puisactivez TLS.

14 Maintenance et dépannage de McAfee DLP PreventRemplacement du certificat par défaut


Si l'installation du certificat a échoué, la raison détaillée est fournie dans le journal syslog et unecourte description apparaît dans le journal des événements clients de McAfee ePO.

Voir aussi Evénements McAfee DLP Prevent, page 235Utilisation de syslog avec McAfee DLP Prevent, page 237

Messages d'erreurSi l'appliance n'est pas configurée correctement, elle tente de déterminer le problème et envoie unmessage d'erreur temporaire ou permanente.

Le texte entre parenthèses dans le message d'erreur fournit des informations supplémentaires sur leproblème. Certains messages d'erreur relaient la réponse de l'hôte actif, et la réponse McAfee DLPPrevent contient donc l'adresse IP, qui est indiquée par x.x.x.x.

Par exemple, 442 192.168.0.1 : connexion refusée indique que l'hôte actif avec l'adresse 192.168.0.1n'a pas accepté la connexion SMTP.

Tableau 14-3 Messages d'erreur temporaire

Texte Cause Action recommandée

451 (Le système n'apas a été enregistréavec un serveur ePO)

La configuration initiale n'a pas ététerminée.

Enregistrez l'appliance auprès d'unserveur McAfee ePO à l'aide del'option Assistant de configurationgraphique de la console del'appliance.

451 (Aucun serveurDNS n'a été configuré)

La configuration appliquée à partir deMcAfee ePO ne spécifie aucun serveurDNS.

Configurez au moins un serveurDNS dans la catégorie Général de lastratégie Appliance partagée.

451 (Aucun hôte actifn'a été configuré)

La configuration appliquée à partir deMcAfee ePO ne spécifie aucun hôteactif.

Configurez un hôte actif dans lacatégorie de stratégies Paramètresd'e-mail.

451 (Fichier OPG destratégie introuvable àl'emplacementconfiguré)

La configuration appliquée à partir deMcAfee ePO est incomplète.

• Vérifiez que l'extension Data LossPrevention est installée.

• Configurez une stratégie Data LossPrevention.

• Contactez votre représentant dusupport technique. Le fichier OPGde configuration doit êtreappliqué avec le fichier OPG destratégie.

451 (Fichier OPG deconfigurationintrouvable àl'emplacementconfiguré)

La configuration appliquée à partir deMcAfee ePO est incomplète.

• Vérifiez que l'extension Data LossPrevention est installée.

• Configurez une stratégie Data LossPrevention.

• Contactez votre représentant dusupport technique. Le fichier OPGde configuration doit êtreappliqué avec le fichier OPG destratégie.

Maintenance et dépannage de McAfee DLP PreventMessages d'erreur 14


Tableau 14-3 Messages d'erreur temporaire (suite)

Texte Cause Action recommandée

451 (configuration duserveur LDAPmanquante)

Cette erreur se produit lorsque lesdeux conditions suivantes sontréunies :• McAfee DLP Prevent contient une

règle qui spécifie un expéditeur entant que membre d'un grouped'utilisateurs LDAP.

• McAfee DLP Prevent n'est pasconfiguré pour recevoir desinformations sur les groupes à partirdu serveur LDAP qui contient cegroupe d'utilisateurs.

Vérifiez que le serveur LDAP estsélectionné dans la catégorie destratégies Utilisateurs et groupes.

451 (Erreur lors de larésolution d'unestratégie fondée surl'expéditeur)

Une stratégie contient des conditionsd'expéditeur LDAP, mais ne parvientpas à obtenir les informations à partirdu serveur LDAP pour les raisonssuivantes :• McAfee DLP Prevent et le serveur

LDAP ne sont pas synchronisés.

• Le serveur LDAP ne répond pas.

Vérifiez que le serveur LDAP estdisponible.

x.x.x.x 442 : connexionrefusée

McAfee DLP Prevent ne peut pas seconnecter à l'hôte actif pour envoyerle message ou la connexion à l'hôteactif a été supprimée lors d'uneconversation.

Vérifiez que l'hôte actif peutrecevoir des e-mails.

Tableau 14-4 Messages d'erreur permanente

Erreur Cause Action

550 L'hôte/le domaine n'estpas autorisé

McAfee DLP Prevent a refusé laconnexion à partir du MTA source.

Vérifiez que le MTA se trouvedans la liste des hôtes autorisésde la catégorie de stratégiesParamètres d'e-mail.

550 x.x.x.x: Denied by policy.TLS conversation required(550 : refusé en raison d'unestratégie. Conversation TLSrequise)

L'hôte actif n'a pas accepté unecommande STARTTLS mais McAfeeDLP Prevent est configuré pourtoujours envoyer les e-mails viaune connexion TLS.

Vérifiez la configuration de TLSsur l'hôte.

14 Maintenance et dépannage de McAfee DLP PreventMessages d'erreur


Tableau 14-5 Messages d'erreur ICAP

Erreur Cause Action

500 (configuration duserveur LDAPmanquante)

Cette erreur se produit lorsque les deux conditionssuivantes sont remplies :• McAfee DLP Prevent contient une règle qui spécifie

un expéditeur en tant que membre d'un grouped'utilisateurs LDAP.

• McAfee DLP Prevent n'est pas configuré pourrecevoir des informations sur les groupes à partirdu serveur LDAP qui contient ce grouped'utilisateurs.

Vérifiez que leserveur LDAP estsélectionné dans lacatégorie destratégies Utilisateurs etgroupes.

500 (Erreur lors de larésolution de lastratégie basée surl'utilisateur final)

Une stratégie contient des conditions d'expéditeurLDAP, mais ne parvient pas à obtenir les informationsà partir du serveur LDAP pour les raisons suivantes :• McAfee DLP Prevent et le serveur LDAP ne sont pas

synchronisés.

• Le serveur LDAP ne répond pas.

Vérifiez que leserveur LDAP estdisponible.

Création d'un rapport pour la procédure d'escalade minimale(MER)

Créez un rapport pour la procédure d'escalade minimale afin de fournir au support technique McAfeeles informations nécessaires pour diagnostiquer un problème avec McAfee DLP Prevent.

Le rapport pour la procédure d'escalade minimale est disponible via une URL de serveur McAfee DLPPrevent. Cinq rapports peuvent être disponibles simultanément, chaque rapport étant supprimé aubout de 24 heures. La génération d'un rapport pour la procédure d'escalade minimale peut prendreplusieurs minutes, et le fichier fait plusieurs mégaoctets.

Parfois, la génération d'un rapport peut prendre plus de temps.

Le rapport contient des renseignements tels que les journaux du matériel, les versions logicielles,l'utilisation de la mémoire et du disque, ainsi que des informations sur le réseau et le système, ouconcernant les fichiers ouverts, les processus actifs, la communication inter-processus, les fichiersbinaires, la génération de rapports, les images de secours et les tests système.

Le rapport ne contient pas le détail des preuves ou d'informations de surlignage des correspondances.

Meilleure pratique : lorsque vous créez un rapport pour la procédure d'escalade minimale, spécifiezun mot de passe pour le sécuriser. N'oubliez pas d'inclure le mot de passe lorsque vous envoyez lerapport au support technique McAfee.


1 Connectez-vous à l'appliance avec des informations d'identification d'administrateur.


2 Utilisez la touche Bas pour sélectionner Generate MER.

Maintenance et dépannage de McAfee DLP PreventCréation d'un rapport pour la procédure d'escalade minimale (MER) 14


3 Saisissez un mot de passe que le support technique McAfee peut utiliser pour ouvrir le rapportMER, puis utilisez la touche fléchée pour accéder au champ de confirmation du mot de passe.

4 Appuyez sur Entrée pour lancer la génération du rapport.

Lorsque le rapport est prêt, une notification vous indique l'URL (https://<APPLIANCE>:10443/mer)à partir de laquelle vous pouvez télécharger le rapport.

5 Accédez à l'URL, puis sélectionnez le rapport pour la procédure d'escalade minimale que voussouhaitez télécharger.

Cinq rapports peuvent être disponibles simultanément au maximum. Si un autre rapport estgénéré, le rapport le plus ancien est supprimé.

6 Suivez les instructions du support technique McAfee pour envoyer le rapport.

N'oubliez pas d'inclure le mot de passe si vous en avez défini un.

14 Maintenance et dépannage de McAfee DLP PreventCréation d'un rapport pour la procédure d'escalade minimale (MER)


A Glossaire

Tableau A-1 Terminologie McAfee DLP

Durée Définition Produits

Action Mesure appliquée par une règle lorsque du contenucorrespond à la définition de la règle. Les actions lesplus courantes sont Bloquer, Chiffrer ou Mettre enquarantaine.

Tous

Balayage Récupération de fichiers et d'informations à partir deréférentiels, de systèmes de fichiers et d'e-mails.

• McAfee DLPEndpoint(Discovery)

• McAfee DLPDiscover

Classification Permet de détecter et de contrôler le contenuconfidentiel et les fichiers sensibles. Peut inclure desclassifications de contenu, des empreintesd'identification de contenu, des documentsenregistrés et du texte inclus dans une liste blanche.

Tout

Classification decontenu

Mécanisme permettant de détecter le contenuconfidentiel à l'aide de conditions de données, tellesque des modèles textuels et des dictionnaires, et deconditions de fichiers, telles que des propriétés dedocuments ou des extensions.

Tout

Identification ducontenu parempreinte

Mécanisme de classification et de suivi du contenuconfidentiel. Les critères d'identification de contenupar empreinte permettent de spécifier desapplications ou des sites et peuvent inclure desconditions de données et des fichiers. Les signaturesd'empreinte sont conservées avec le contenuconfidentiel lorsqu'il est copié ou déplacé.


Vecteur de données Définition de l'état ou de l'utilisation du contenu.McAfee DLP protège les données sensibles lorsqu'ellessont stockées (données stockées passivement),utilisées (données utilisées) et transférées (donnéesen mouvement).

Tout

Définition Elément de configuration qui compose uneclassification ou une stratégie d'analyse dans McAfeeDLP Discover.

Tout

Classed'équipement

Ensemble d'équipements partageant descaractéristiques similaires et dont la gestion peut êtreidentique. Les classes d'équipement s'appliquentuniquement aux ordinateurs Windows et peuventavoir l'état Managé, Non managé ou Inclus dans laliste blanche.

• Device Control



Tableau A-1 Terminologie McAfee DLP (suite)


Serveur Discover Serveur Windows sur lequel le logiciel McAfee DLPDiscover est installé.Vous pouvez installer plusieurs serveurs Discover survotre réseau.

McAfee DLP Discover

Informations sur lefichier

Définition pouvant inclure le nom du fichier, sonpropriétaire, sa taille, son extension, ainsi que sa datede création et la date à laquelle il a été modifié ouconsulté pour la dernière fois.Vous pouvez utiliser ces définitions d'informations defichier dans des filtres pour inclure ou exclure desfichiers de l'analyse.

Tous les produits

Identification parempreinte

Procédure d'extraction de texte qui utilise unalgorithme pour établir une correspondance entre undocument et des chaînes de bits ou des signatures.Utilisée pour la création de documents enregistrés etl'identification de contenu par empreinte.



Equipementsmanagés

Etat de classe d'équipement indiquant que leséquipements de cette classe sont managés par DeviceControl.

• Device Control

• McAfee DLPEndpoint

Chaînecorrespondante

Contenu détecté qui répond aux définitions d'unerègle.

Tous les produits

MTA Agent de transfert de messages McAfee DLP Prevent

Chemin d'accès Chemin UNC, adresse IP ou adresse web. • McAfee DLPEndpoint(Discovery)



Stratégie Ensemble de définitions, de classifications et de règlesqui définissent la façon dont le logiciel McAfee DLPprotège les données.

Tous les produits

Réviseur derédaction

Permet de rédiger les informations confidentiellesdans les consoles Gestionnaire d'incidents et Opérations DLPde manière à empêcher toute consultation nonautorisée.

Tous les produits

Documentsenregistrés

Fichiers pré-analysés issus de référentiels spécifiés.Les signatures des fichiers sont distribuées à tous lespostes clients managés et sont utilisées poursurveiller et classer le contenu copié à partir de cesfichiers.



Référentiel Dossier, serveur ou compte contenant des fichierspartagés.Une définition de référentiel comprend les cheminsd'accès et les informations d'identification permettantd'analyser les données.



Règle Définit les mesures prises lors d'une tentative detransfert ou de transmission de donnéesconfidentielles.

Tous les produits

A Glossaire


Tableau A-1 Terminologie McAfee DLP (suite)


Jeux de règles Combinaison de règles. Tous les produits

Planificateur Définition qui détermine les détails d'analyse et letype de planification (quotidienne, hebdomadaire,mensuelle, unique ou immédiate).



Stratégie McAfee DLP Endpoint répartit les applications enquatre catégories, appelées stratégies, quidéterminent le fonctionnement du logiciel pourdifférentes applications. Ces stratégies sont lessuivantes, par ordre de sécurité décroissante :Editeur, Explorateur, Approuvé, et Archiveur.

McAfee DLP Endpoint

Equipements nonmanagés

Etat de classe d'équipement indiquant que leséquipements de cette classe ne sont pas managés parDevice Control. Certains ordinateurs clients utilisentdes équipements qui présentent des problèmes decompatibilité avec les pilotes d'équipement McAfeeDLP Endpoint. Pour éviter tout problème defonctionnement, ces équipements sont définis sur Nonmanagé.

• Device Control


Equipements inclusdans la listeblanche

Etat de classe d'équipement indiquant que DeviceControl ne tente pas de contrôler les équipements decette classe. Il s'agit par exemple des périphériquesbatteries et des processeurs.

Device Control McAfeeDLP Endpoint pourWindows

Glossaire A


A Glossaire


Index

Aaccès aux fichiers

règles, à propos de 104

adresses e-mailcréation 143

analysesclassification 188, 201

correction 189, 202

informations d'identification 195

inventaire 188, 200

planificateur 198

référentiels 196, 197

résultats 205

types de 19

analyses d'inventaireà propos de 188

configuration 200

analyses de classificationà propos de 188

configuration 201

analyses de correctionà propos de 189

configuration 202

analyses lancées par l'utilisateur 179

analyseur d'événements 15

Archivage de DLP Endpointdans McAfee ePO 46

attaque par déni de serviceéviter 81

authentification auprès de Web Protection 84

auto-correction utilisateur 179

Bbande passante 189

Boldon James 138

Boldon James, intégration 137

Box 146

Ccaractères génériques, dans les définitions d'adresse e-mail 147

casà propos de 222

affectation des incidents 223

cas (suite)ajout de commentaires 224

création 222

envoi de notifications 224

étiquettes 225

journaux d'audit 223

mise à jour 224

suppression 226

catalogue de stratégies 60

certificats 256

Chrome, versions prises en charge 150

classes d'équipement 95

classification 113

courrier électronique 138

critères 129

manuelle 124

classification de contenucritères 114

classification de courriers électroniques 138

classification manuelle 126, 132

classification manuelle, persistance de la 114

classification, manuelle 132

classifications 128

à propos de 113

compatibilité avec les versions antérieures 43

composants, Data Loss Prevention (diagramme) 26

configuration client 61

arborescence des systèmes 60

configuration des agentsprise en charge sur Mac OS 63

console client 15–17

console de stratégies DLP, installation 40

contrôle d'accès basé sur les rôles 75

conventions et icônes utilisées dans ce guide 9conversion 45

critères d'empreintes 131

critères d'identification de contenu par empreinte 31

cumul de données 234

Ddécouverte

à propos de 180

configuration 183


découverte (suite)création d'une règle de découverte du système de fichiers

182

découverte de terminaux 179

définition d'applicationsstratégie 118

définitionsdestination web 117

dictionnaires 121

documents enregistrés 127

extension de fichier 122


informations sur le fichier 194

McAfee DLP Discover 192

modèle de texte 122

planificateur 198

pour des analyses 194

propriétés de document 122


réseau 116

définitions d'équipement 97

définitions d'équipementsstockage amovible 100

définitions de propriétés de document 122

définitions de règle 142

définitions de réseauà propos de 116

intervalle d'adresses 142

intervalle de ports 142

définitions, pour les règles 142

demande d'authentification/réponse 184

destinations webà propos de 117

dictionnairesà propos de 121

création 135

importation d'entrées 135

DLP Discover 180

DLP Preventactiver TLS 83

antirelais 82

avec McAfee Web Gateway 90

configurer des MTA supplémentaires 81

et McAfee Email Gateway 88

éviter les attaques par déni de service 81

hôtes autorisés 82

McAfee Logon Collector 84, 87

notifications utilisateurs 157

paramètres d'expiration 81

protection de la messagerie 20

protection web 20

réactions des règles 148

remise par répétition alternée 82

remplacer le certificat par défaut 256

serveurs LDAP 84

DLP Prevent (suite)stratégie

sélectionne un serveur LDAP 86

DLP Prevent for Mobile Email, installation 55

documentationconventions typographiques et icônes 9produit, obtention d'informations 10

public visé par ce guide 9documents enregistrés 31, 127

donnéesclassification 121

données mobiles 117

données DLP, classification 122

données stockées passivement 180

dossier de preuves 71

Dropbox 146

Ee-mail 116

mobile 21

réseau 20

e-mails réseau 20

emplacement, classification par 117

empreintes de contenucritères 114

en-tête X-RCIS-Action 148

ensembles d'autorisations 74

Gestion des appliances 78

McAfee DLP Prevent 78

ensembles d'autorisations, définition 75

ensembles d'autorisations, filtrage de l'Arborescence dessystèmes 73

équipements Plug-and-Playdéfinition incluse dans la liste blanche, création 99

espaces réservés 157

événementssurveillance 211

événements opérationnels 212

exceptions aux règles 162

extensions de fichierdéfinitions 122

extracteur de texte 117

Ffichiers OST 116

fichiers PST 116

filtres 194

définitions de réseau 116

Fonctionnalités de McAfee ePO 92

Ggestion des droits 66, 68

Gestion partagée des appliances 88

gestionnaire d'incidents 212

Index


Gestionnaire d'incidents DLPréponse à des événements 211

Gestionnaire d'incidents DLP 212

gestionnairesprotection du cloud 146

Google Chrome, versions prises en charge 150

GoogleDrive 146

groupes d'affectationdéfinition 32

GUID, voir GUID d'équipement GUID d'équipement 96

guide, présentation 9

Iimage d'installation interne 253

incidentsaffichages 216

détails 217

étiquettes 221

filtrage 215, 217

mise à jour 219

tri 215


installation 46

Jjeux de règles

à propos de 141

création 162

justification métier, personnalisation 157

LLDAP 86

limitation 189

limites 189

listes blanches 32

définitions Plug-and-Play, création 99

listes d'adresses e-mail 147

listes d'URLcréation 137

Mmarquage 113

à propos de 114

marqueurs intégrés 124, 125

McAfee Agent 27

McAfee DLP PreventAssistant d'installation 54, 252

configuration requise pour le serveur MTA 27

console série 53

installation 50

McAfee Email Gatewayavec McAfee DLP Prevent 88

McAfee Logon Collector 84

McAfee ServicePortal, accès 10

McAfee Web Gatewayavec McAfee DLP Prevent 90

meilleures pratiques 31, 41, 45, 73, 97, 99, 168

messagerie mobile 21

migration 45

mise à niveau 47

modèles avancéscréation 136

modèles d'applicationà propos de 123

modèles de texteà propos de 122

MTAajouter d'autres 81

Nnotification utilisateur, personnalisation 157

notifications ePO 232

notifications, ePolicy Orchestrator 232

OOLAP 205

OneDrive 146

Outil de diagnostic 245, 247

Pparamètres antirelais 82

paramètres d'expiration 81

paramètres DLP 41

périphériqueslistes, ajout de définitions Plug-and-Play 99

planificateur 198

port de gestion, connexion 53

ports par défaut 36

Presse-papiersMicrosoft Office 146

preuvestockage pour contenu chiffré 69

preuvesévénements de terminaux 211

prise en charge d'OS X 17

prise en charge de TIE 145

prise en charge JAWS 16

prise en charge OS X 97

programmes de validation 122

propriété d'équipements 101

proximité 114

Qquarantaine

restauration de fichiers ou d'emails à partir de 184

Index


Rrapports de cumul des données 232

rapports ePO 232

réactions 158

réactions des règles 148

Réactiver les agents 49

rédaction 73


règles 144

à propos de 193

Citrix XenApp 104

création 162

exceptions 162

pour analyses de correction 199

protection de la messagerie 147

protection du cloud 146

réactions 158

règles d'équipement 162

règles de classification 30

règles de découverte de terminaux 162

règles de périphériquesà propos de 104

Règles de périphériques Citrix XenApp 104

Règles de périphériques TrueCrypt 104

règles de protection 162

définition 32

Règles de protection contre l'impression 116

règles de protection de la messagerie 147

règles de protection du cloud 146

règles de protection du Presse-papiers 146

règles de protection web 150

règles DLPclassification 30

équipement 32

protection 32

règles pour équipementsdéfinition 32

règles stockant des preuves 70

remise des messages par répétition alternée 82

RMM 251, 252

rôles et autorisations 71

Sserveurs Active Directory 84

serveurs d'authentification 84

serveurs OpenLDAP 84

service de surveillance 61

ServicePortal, obtention de documentation sur le produit 10

sessions utilisateur 104

stockage de preuves 69

stratégie, voir définitions d'applications stratégie de délai d'expiration, publication web 150

stratégie Serveur DLP Prevent 80

stratégie, configuration 193

stratégiesdéfinition 32

DLP Prevent 80

stratégies, réglage 247

Support OS X 93, 104–106, 113, 117, 123, 145, 149

support technique, recherche d'informations sur un produit 10

surlignage de correspondances, événements 70

surveillance 212

surveillance du service du client 61

Syncplicity 146

Ttableaux de bord, options de rapport 232

tâches d'événements opérationnels 227

tâches relatives aux incidents 212, 227

tâches serveur 45, 227

tâches serveur, cumul 234

texte inclus dans la liste blanche 130

Titus, intégration 137

TLSactiver 83

Transport Layer Securityvoir TLS 83

Uutilisation en ligne/hors ligne 15

Vversions de Chrome non prises en charge 145

Index


Révision A Guide Produit - Knowledge Center · 2016-09-19 · Présentation de ce guide .....9...

Documents

Transcript of Révision A Guide Produit - Knowledge Center · 2016-09-19 · Présentation de ce guide .....9...