Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Utilización de OfficeScan Prevención de pérdida de datos (DLP) para proteger los agentes del
riesgo de pérdida o fuga de datos. DLP ofrece las siguientes características:
En los casos en que se debe enviar archivos confidenciales a través de la red corporativa,
OfficeScan brinda integración con Trend Micro Endpoint Encryption (TMEE). De esta manera,
los datos confidenciales pueden ser encriptados antes de ser transmitidos. En el flujo de
trabajo de protección de datos, Oficinas puede bloquear la transmisión de archivos
confidenciales a menos que hayan sido encriptados con TMEE.
Esta capacidad solo se admite para agentes con la versión 11.0 o posterior de OfficeScan.
Las cargas web no son compatibles con esta función de encriptación, por lo tanto, si cualquier
carga en la web contiene datos confidenciales, se bloqueará inmediatamente OfficeScan. Otras
transmisiones, incluido USB, se bloquearán si TMEE no está instalado o si el usuario no ha
iniciado sesión en TMEE.
El módulo DLP en OfficeScan usa dos formatos XML para almacenar su configuración. Estos
XML se utilizan para implementar políticas de Control de activos digitales y Control de
dispositivos.
El agente de OfficeScan se integra con DLP SDK para comunicarse con el agente de DLP. Una
función de devolución de llamada se usa para recibir registros de violación del servidor. El
agente de DLP usa SQLlite para almacenar registros. El agente de OfficeScan utiliza ISAPI para
formatear, enviar y recibir paquetes hacia y desde el servidor de OfficeScan o el agente de DLP.
El servidor de OfficeScan activa el proceso de DLP enviando un mensaje de notificación al
agente de OfficeScan a través de CGI tradicionales. OfficeScan utiliza cgiShowClientAdm.exe
para leer y guardar configuraciones de configuración.
Las configuraciones relacionadas con DLP que se almacenan en la base de datos del servidor de
OfficeScan incluyen:
• Registro
• Monitoreo y protección
• Descubrimiento de datos
• Reportar violaciones
• Escanea los datos transferidos y toma medidas sobre estos datos según las políticas de la
empresa.
Mantiene una conexión con el servidor y realiza la supervisión y protección de los activos
digitales en función de las políticas recibidas del servidor de OfficeScan.
El archivo de configuración principal del agente de DLP, dsa.pro, se almacena en ... \ OfficeScan
Client \ dlplite \ System32 \. Contiene la configuración de configuración específica de la
implementación para el agente. El servidor transfiere los siguientes datos y configuraciones de
configuración al agente de DLP:
• Una parte de la configuración del sistema que afecta al Agente, como los límites de
exploración, se almacena en dsa.cfg (archivo de base de datos SQLite3) en el directorio ... \
OfficeScan Client \ dlplite \ System32 \ dgagent
Consulte la Guía de administración para obtener más información sobre cómo instalar,
implementar y configurar el complemento de protección de datos.
• Indicador de estado de DLP = 1 (lo que significa que DLP está activado en el servidor de
OfficeScan)
El archivo de registro C: \ SDK_INSTALL.log. <Computer-name> .log se genera cuando se instala
el agente de DLP.
El agente de DLP confía en el servicio de exploración en tiempo real del agente de OfficeScan
para mantener su conexión con el servidor. Cuando se inicia el servicio de exploración en
tiempo real NT, se activa el hilo DLP. El subproceso DLP controla el inicio y el apagado del
agente DLP.
8.4 La funcionalidad de control del dispositivo Device Control en DLP proporciona una forma
de:
• Definir una lista de excepciones (Dispositivos aprobados) para dispositivos USB a través de
soporte granular USB. La configuración para esta función se almacena en el Servidor de
OfficeScan en ofcscan.ini y la base de datos. La configuración de esta función se almacena en el
Agente en ... \ OfficeScan Client \ dlplite \ dc.xml, dc_in.xml y dc_out.xml.
Los dispositivos que son compatibles se muestran a continuación. Para obtener una lista
completa y actualizada de modelos de dispositivos compatibles, puede consultar:
http://docs.trendmicro.com/all/ent/dp-ref/v5.0/en-us/dp_5.0_lists.pdf.
Descripción
CD / DVD
OfficeScan supervisa los datos grabados en dispositivos de CD / DVD físicos y virtuales (por
ejemplo, Daemon Tools, PowerISO)
Puertos
Controladores de disquetes
Interfaz IEEE 1394 en dispositivos CONSEJO: también conocido como Firewire, es un bus de
entrada / salida serial de alta velocidad para periféricos de computadora y productos
electrónicos de consumo, capaz de velocidades de transferencia de hasta 400 megabits por
segundo.
Dispositivos de imagen
Cámara, escáneres
Dispositivos infrarrojos
Módems
Interfaz de red
Adaptadores PCMCIA
NIC inalámbricas
Bluetooth
Adaptadores Bluetooth***
Obtener estos detalles no siempre es un proceso sencillo. Algunos fabricantes incluso tienen su
propia forma de mostrar esta información.
Para solucionar este problema, la función Device Control proporciona una forma más fácil de
obtener los detalles del dispositivo a través de la herramienta de detección automática de
asistencia (listDeviceInfo.exe).
La herramienta listDeviceInfo.exe busca en el sistema local todos los discos USB conectados y
enumera el proveedor, el modelo y el número de serie de cada dispositivo, como se muestra
en el siguiente ejemplo. El administrador puede referirse a esta salida para determinar la
información que debe proporcionarse en la lista de excepciones. Se puede eximir un máximo
de 200 discos USB.
Network Device Control se usa para restringir el acceso de la carpeta compartida a máquinas
de punto final que no tienen instalado el Agente de DLP. Esta función proporciona un control
de acceso especial que no es específico de los datos confidenciales, sino de todos los datos que
se comparten entre las computadoras.
De forma predeterminada, el Control del dispositivo de red está deshabilitado. Esto significa
que se permite el uso compartido de archivos de red desde el punto final (excepto aquellos
que infringen las políticas de la empresa).
Cuando esta característica está habilitada, todo el uso compartido de archivos de red se
denega automáticamente. Las únicas operaciones permitidas de uso compartido de archivos
de red son aquellas que involucran a las máquinas cuyas direcciones IP se han definido en la
lista de excepciones.
• Cuando está habilitado, las máquinas protegidas solo pueden acceder a las carpetas
compartidas de otras máquinas protegidas y las máquinas desprotegidas no pueden acceder a
las carpetas compartidas de las máquinas protegidas
• Agregar un rango de IP o IP (a través del botón Agregar) crea una lista de excepciones que
anula la configuración de Control de dispositivo de red
• Esta función solo comprueba el puerto 139 y 445 ya que son utilizados por el protocolo SMB
de Microsoft
• Esta función solo es efectiva para las conexiones nuevas que se establecen después de
implementar el Control de dispositivo de red
• DSASvc reiniciar
• Para reducir los falsos positivos, el proceso de filtrado de CD / DVD omite los siguientes tipos
de archivos: dll, ttf, lnk, ico, gpd, bud e ini, gif, jpg, xml, htm, url y sys.
*: \ autoexec.bat
*: \ Windows
.. \ WINNT
..\Archivos de programa
.. \ ProgramData
\Galletas
..\Configuraciones locales
.. \ Users \ * \ AppData
..\Datos de la aplicación
• Las imágenes ISO creadas por las aplicaciones de grabación de CD / DVD no se filtran.
Se omiten dos tipos de archivos específicos de Roxio para aumentar el rendimiento del filtro: *
.png y * .skn
Con el fin de interceptar los datos para el análisis, el agente DLP utiliza varios filtros
responsables de las operaciones de enganche y monitoreo en los canales admitidos.
La tabla a continuación resume los filtros disponibles, así como los canales manejados por cada
uno:
Durante el inicio del servicio, se agregan varias aplicaciones a la lista de excepciones de los
controladores del kernel.
Para los filtros de archivos y redes, estas aplicaciones incluidas en la lista blanca (y algunos
puertos) son omitidas automáticamente por los filtros. Sin embargo, esto es diferente con el
filtro de CD / DVD porque su lista blanca contiene las aplicaciones que deben verificarse.
El permiso Mostrar contenido del dispositivo solo está seleccionado para dispositivos de
almacenamiento USB.
Los clientes pueden ver dichos dispositivos en la computadora, pero no podrán leer ni
modificar archivos.
Los activos digitales son datos y archivos que una organización debe proteger contra
transmisiones no autorizadas. Ejemplos de activos digitales son:
• Documentos confidenciales
La siguiente tabla describe cómo reacciona DLP a los activos digitales que fluyen hacia / desde
el servidor de OfficeScan y los clientes:
8.5.1 Identificadores de datos Los administradores definen activos digitales a través de:
• Expresiones
• Atributos de archivo
Expresiones
Datos que tienen una cierta estructura. Por ejemplo, los números de tarjetas de crédito que
generalmente tienen 16 dígitos y aparecen en el formato "nnnn-nnnn-nnnn-nnnn", son
adecuados para las detecciones basadas en expresiones.
Otras expresiones pueden ser el número de SWIFT o IBAN, los números de la seguridad social
(por país), las direcciones de correo electrónico, los códigos postales, etc. Los administradores
pueden usar expresiones predefinidas y personalizadas.
Atributos de archivo
Estas son propiedades del archivo como el tipo de archivo y el tamaño del archivo. Por sí
mismos, los atributos de archivo son identificadores pobres de archivos confidenciales. Por lo
tanto, Trend Micro recomienda combinar atributos de archivo con otros identificadores de
datos DLP para una detección más específica de archivos confidenciales. Puede encontrar
información adicional que enumera todos los tipos de archivos admitidos aquí:
http://docs.trendmicro.com/ all / ent / dp-ref / v5.0 / es-us / dp_5.0_lists.pdf.
Listas de palabras clave
Estas son listas de palabras o frases especiales. Puede agregar palabras clave relacionadas a
una lista de palabras clave para identificar tipos específicos de datos. Por ejemplo,
"pronóstico", "tipo de sangre", "vacunación" y "médico" son palabras clave que pueden
aparecer en un certificado médico. Si desea evitar la transmisión de archivos de certificados
médicos, puede utilizar estas palabras clave en una política de DLP y luego configurar la
prevención de pérdida de datos para bloquear los archivos que contienen estas palabras clave.
Las palabras de uso común se pueden combinar para formar palabras clave significativas. Por
ejemplo, "end", "read", "if" y "at" se pueden combinar para formar palabras clave que se
encuentran en los códigos fuente, como "END-IF", "END-READ" y "AT END".
Una política de control de activos digitales puede contener una o varias plantillas. Una plantilla
DLP combina identificadores de datos DLP y operadores lógicos (Y, O, Excepto) para formar
declaraciones de condición. Solo los archivos o datos que satisfacen una determinada
declaración de condición estarán sujetos a una política de DLP.
Por ejemplo, un archivo debe ser un archivo de Microsoft Word (atributo de archivo) Y debe
contener ciertos términos legales (palabras clave) Y debe contener números de identificación
(expresiones) para que esté sujeto a la política de "Contratos de trabajo". Esta política permite
que el personal de Recursos Humanos transmita el archivo a través de la impresión para que el
empleado pueda firmar la copia impresa. La transmisión a través de todos los otros canales
posibles, como el correo electrónico, está bloqueada. Si un archivo o datos coinciden con la
definición en más de una plantilla, se aplica la plantilla de mayor prioridad.
Plantilla de muestra:
Puede crear sus propias plantillas si ha configurado identificadores de datos DLP. También
puede usar plantillas predefinidas.
Los administradores, a través del módulo DLP de OfficeScan, pueden limitar o evitar la
transmisión de activos digitales mediante la creación de políticas, también conocidas como
políticas de control de activos digitales (DACP).
OfficeScan evalúa un archivo o datos contra las reglas definidas en las políticas DLP. Las
políticas determinan los archivos o datos que requieren protección contra la transmisión no
autorizada y la acción que realiza OfficeScan después de detectar una transmisión.
Las políticas pueden aplicarse para grupos de agentes específicos o agentes individuales. Las
políticas se crean configurando y seleccionando lo siguiente:
- Acción: DLP realiza una o varias acciones cuando detecta un intento de transmitir
información sensible a través de cualquiera de los canales. Se pueden seleccionar diferentes
acciones cuando hay una coincidencia, como bloquear el archivo o registrar el evento. Se
pueden configurar ajustes adicionales, como mostrar un mensaje de notificación al usuario o
registrar los datos (hace una copia del archivo para fines forenses / de auditoría).
- Excepción: las excepciones actúan como anulaciones de las reglas de DLP configuradas.
NOTA: la información confidencial grabada puede consumir grandes cantidades de espacio en
el disco duro. Se recomienda encarecidamente que solo elija esta opción para obtener
información altamente confidencial. Los pasos de configuración de política incluyen:
Cuando ocurre una violación de política, DLP guarda la siguiente información en dbclient:
• Marca de tiempo
• UID
• Modelo
• Acción
• Canal
• Descripción
El agente DLP crea una expresión booleana basada en el contenido de la política sin formato.
Policy Engine también reorganiza las reglas de condición (definidas mediante plantillas de
cumplimiento) y crea un árbol de expresiones booleanas para la condición. Los datos que se
analizan se comparan con esta expresión utilizando los diferentes motores de coincidencia.
Esto significa que una política solo coincide si su objetivo, canal y condición están satisfechos.
De lo contrario, no se aplica ninguna acción sobre los datos.
Al definir una condición de política mediante patrones, el administrador debe definir una
puntuación de coincidencia en función del número de visitas para cada patrón en una política.
Además de usar puntajes, el Administrador también puede definir otras tres condiciones de
coincidencia de la siguiente manera:
• Empareje todo
• Empareje cualquiera
Las dos primeras condiciones son sencillas y utilizan un algoritmo que busca las palabras clave
en todo el documento.
Cuando se detecta una infracción, el servicio de exploración en tiempo real analiza y escribe en
el registro de violación. Muestra del contenido del registro de violación:
Descripción
Hora
Computadora
Dominio de la computadora
Usuario
Actividad
Destinationfilepath
Sourcefilepath
Tipo de contenido
Contenido
Un máximo de 100 bytes que contienen el primer patrón / palabra clave coincidente
Política coincidente
Acción
8.7 Depuración de la protección de datos Para habilitar el registro de depuración para DLP en
el agente:
• Tipo: cadena
• Nombre: debugcfg
• Valor: C: \ cdt_DlpLogger.cfg
3. Copie cdt_DlpLogger.cfg a c: \.
2. Reinicia la computadora.
La integración de Control Manager con Data Loss Prevention permite a los administradores
administrar e implementar DLP a través de la administración de políticas desde la consola web
en Control Manager. Esta función está diseñada para proteger cualquier información
confidencial y confidencial (activos digitales) contra la divulgación accidental o el robo de
datos.
• Crear políticas que limiten o impidan la transmisión de activos digitales a través de canales
comunes, como correo electrónico y dispositivos externos.
• Hacer cumplir las normas de privacidad establecidas 8.8.1 Control Manager DLP
Management para OfficeScan
La integración con Control Manager y OfficeScan protege los datos que están "en
movimiento", lo que significa que los datos se supervisan a medida que el usuario interactúa
con ellos. Por ejemplo, puede identificar y bloquear cuando intenta transferir un documento
sensible a una unidad USB o a un archivo adjunto de correo web.
Descubrimiento de datos
DLP también puede proteger datos que están "en reposo". Esto permite que Control Manager
explore las áreas de almacenamiento de archivos para identificar dónde se encuentra el
contenido confidencial. Por ejemplo, se puede usar para escanear puntos finales e identificar
documentos que contienen información de números de tarjetas de crédito. La política puede
dictar que si el punto final no está autorizado a almacenar este tipo de datos, el archivo debe
estar encriptado.
Las tareas de Data Discovery se pueden configurar y programar para que se ejecuten en los
agentes de OfficeScan. La información de programación se establece como parte de la
configuración de la política. Además, los archivos confidenciales se pueden cifrar con una
contraseña o clave de usuario / grupo si Trend Micro File Encryption está instalado. (Esta
configuración se revisará más adelante). También debe tenerse en cuenta que una tarea de
Data Discovery puede reanudarse si el servicio de exploración se detuvo antes de que la tarea
se completara y si la política no se modifica, la tarea de descubrimiento de datos puede
realizar un escaneo incremental.
- *: sustituye cualquiera y todos los caracteres antes o después del * -?: Sustituye un carácter
individual o un carácter de doble byte individual Puede separar múltiples entradas con
tuberías (|) con el siguiente formato: - Para archivos: *. <extensión de archivo> (por ejemplo: *
.exe | * .doc) - Para carpetas: especifique una ruta de archivo (por ejemplo: * \ Test \ * | C: \
My-Docs \)
- Encripte con lo siguiente: los archivos confidenciales se codifican utilizando uno de los
siguientes métodos, como se muestra en la imagen de la pantalla a continuación:
8.8.4 Investigación de incidentes de DLP Los incidentes de DLP pueden ser revisados y
actualizados por los oficiales de cumplimiento de DLP y los revisores de incidentes.
• Crear cuentas de usuario específicas para la investigación de incidentes DLP. Asignar roles de
DLP Officer Officer o DLP Incident Reviewer a los usuarios que investigan incidentes de DLP.
(Recuerde que los roles de DLP Compliance Officer y DLP Incident Reviewer están disponibles
solo para usuarios de Active Directory).
Para conocer los pasos detallados al completar las tareas anteriores, consulte la Guía del
administrador de Control Manager.
En la siguiente sección, examinaremos cómo usar una consulta ad hoc para obtener registros
en la información de detección de prevención de pérdida de datos de Data Discovery.
La Vista de datos en Ad Hoc Query se divide en tres categorías principales: Información del
producto, Información sobre amenazas de seguridad e Información de protección de datos.
1. En la lista Categorías, expanda todas las subsecciones en Información de protección de
datos y active la opción Detección de prevención de pérdida de datos de Data
Discovery como se muestra a continuación.
Punto final Por ejemplo, al hacer clic en el punto final NJ-EDWIN-LI se proporciona la siguiente
información:
Hay cuatro widgets Data Discovery que se pueden usar de la siguiente manera: