Protección de Datos

Utilización de OfficeScan Prevención de pérdida de datos (DLP) para proteger los agentes del
riesgo de pérdida o fuga de datos. DLP ofrece las siguientes características:

• Control de activos digitales

• Control del dispositivo

Las funcionalidades DLP se pueden clasificar de acuerdo con lo siguiente:

TABLA 26. Funcionalidad DLP

**Crear y administrar políticas de DLP

Manejar el estado de la licencia

Detectar violación de política

Crear e informar registro de violación**

En los casos en que se debe enviar archivos confidenciales a través de la red corporativa,
OfficeScan brinda integración con Trend Micro Endpoint Encryption (TMEE). De esta manera,
los datos confidenciales pueden ser encriptados antes de ser transmitidos. En el flujo de
trabajo de protección de datos, Oficinas puede bloquear la transmisión de archivos
confidenciales a menos que hayan sido encriptados con TMEE.
Esta capacidad solo se admite para agentes con la versión 11.0 o posterior de OfficeScan.

Las cargas web no son compatibles con esta función de encriptación, por lo tanto, si cualquier
carga en la web contiene datos confidenciales, se bloqueará inmediatamente OfficeScan. Otras
transmisiones, incluido USB, se bloquearán si TMEE no está instalado o si el usuario no ha
iniciado sesión en TMEE.

OfficeScan Data Protection está instalado y activado a través del Administrador de

complementos. El complemento DLP se instala a través del administrador de complementos y
se implementa en los agentes tan pronto como se habilitan las configuraciones de DLP.

8.1 Arquitectura A continuación se ilustran los componentes utilizados en OfficeScan para

realizar funciones DLP.
El servidor de OfficeScan administra la configuración, lo que evita que los agentes filtren
información privada o confidencial. Además, todo el tráfico es necesario para evitar que las
tareas relacionadas con DLP y los intercambios se cifren con SSL.

El módulo DLP en OfficeScan usa dos formatos XML para almacenar su configuración. Estos
XML se utilizan para implementar políticas de Control de activos digitales y Control de
dispositivos.

El servidor de OfficeScan utiliza el agente de actualización para implementar el paquete DLP y

la configuración relacionada. El agente, a través de ISAPI, obtiene datos granularmente del
servidor para implementar la configuración en el Agente de DLP.

El agente de OfficeScan se integra con DLP SDK para comunicarse con el agente de DLP. Una
función de devolución de llamada se usa para recibir registros de violación del servidor. El
agente de DLP usa SQLlite para almacenar registros. El agente de OfficeScan utiliza ISAPI para
formatear, enviar y recibir paquetes hacia y desde el servidor de OfficeScan o el agente de DLP.
El servidor de OfficeScan activa el proceso de DLP enviando un mensaje de notificación al
agente de OfficeScan a través de CGI tradicionales. OfficeScan utiliza cgiShowClientAdm.exe
para leer y guardar configuraciones de configuración.

El servicio de exploración en tiempo real realiza (o inicia) las siguientes tareas:

• Implementar políticas en los puntos finales

• Entregar registros de violación en tiempo real al servidor

• Actualizar las políticas de DLP a través del agente de actualización

Cuando el servidor y los agentes están en línea, el servidor notifica al agente de OfficeScan
acerca de los cambios de configuración, que luego inicializa la comunicación con el agente de
DLP. Cuando se inicia la exploración en tiempo real, carga todas las configuraciones de la base
de datos. Cuando el agente de DLP se conecta al servicio de exploración en tiempo real,
compara las sumas de comprobación de configuración proporcionadas por el agente con las
sumas de comprobación reales e inicia las operaciones de actualización de configuración
requeridas.

Las configuraciones relacionadas con DLP que se almacenan en la base de datos del servidor de
OfficeScan incluyen:

• DlpCfg - Almacena la configuración de DLP

• DlpLog - Almacena registros DLP

8.2 Agente de DLP

El agente de DLP es el componente que se ejecuta en estaciones de trabajo compatibles y es

responsable de la supervisión y detección de activos digitales en el punto final. Realiza las
siguientes funciones principales:

• Registro

• Monitoreo y protección

• Descubrimiento de datos

• Control del dispositivo

• Actualización del programa del agente

• Reportar violaciones

El agente de DLP es un paquete de software instalado en máquinas de punto final para

comunicarse con el servidor de OfficeScan y adquiere la definición de activos digitales,
plantillas de cumplimiento, políticas de la empresa, tareas de descubrimiento de datos y otras
configuraciones de sistema. Al usar estas definiciones, el agente puede monitorear y proteger
activos digitales en el punto final. Si se detecta información confidencial, entonces realiza las
acciones especificadas en las políticas y notifica al servidor sobre la infracción.

El proceso principal del agente es dsagent.exe, que inicia el servicio DSASvc.

Realiza las siguientes tareas:

• Mantiene la conexión del agente de DLP con el servidor

• Descarga las políticas de la compañía usando ActiveUpdate

• Escanea los datos transferidos y toma medidas sobre estos datos según las políticas de la
empresa.

• Reporta violaciones de seguridad al servidor

Mantiene una conexión con el servidor y realiza la supervisión y protección de los activos
digitales en función de las políticas recibidas del servidor de OfficeScan.
El archivo de configuración principal del agente de DLP, dsa.pro, se almacena en ... \ OfficeScan
Client \ dlplite \ System32 \. Contiene la configuración de configuración específica de la
implementación para el agente. El servidor transfiere los siguientes datos y configuraciones de
configuración al agente de DLP:

• Una parte de la configuración del sistema que afecta al Agente, como los límites de
exploración, se almacena en dsa.cfg (archivo de base de datos SQLite3) en el directorio ... \
OfficeScan Client \ dlplite \ System32 \ dgagent

• Las políticas de la empresa y otras configuraciones de activos digitales se almacenan en

dsa.pol (archivo de base de datos SQLite3) en el directorio ... \ OfficeScan Client \ dlplite \
System32 \ dgagent

8.3 Instalación de protección de datos

La prevención de pérdida de datos y el control de dispositivos son funciones nativas de

OfficeScan pero tienen licencia por separado. Después de instalar el servidor de OfficeScan,
estas características están disponibles pero no son funcionales y no se pueden implementar en
los agentes. La instalación de Data Protection significa descargar un archivo del servidor de
ActiveUpdate o una fuente de actualización personalizada, si se ha configurado uno. Cuando el
archivo se haya incorporado al servidor de OfficeScan, puede activar la licencia de Protección
de datos para habilitar la funcionalidad completa de sus funciones.

La instalación y activación de OfficeScan Data Protection se realizan desde el Administrador de

complementos. El complemento se instala a través del administrador de complementos y se
implementa en los agentes tan pronto como se habilitan las configuraciones de DLP.

Consulte la Guía de administración para obtener más información sobre cómo instalar,
implementar y configurar el complemento de protección de datos.

OfficeScan utiliza el Framework Manager de Plug-in para implementar DLP. La instalación de

Data Protection invoca los siguientes procesos:

• Llamar al servicio Plug-in Manager desde el servidor de OfficeScan

• Conectando y luego descargando el correspondiente paquete de servicio de complemento

de DLP desde el servidor de ActiveUpdate o un origen de actualización personalizado. El
paquete está en un formato comprimido (* .zip).

• Si el Administrador de complementos no puede descargar el archivo, se vuelve a intentar

automáticamente después de 24 horas. Para activar manualmente la descarga, reinicie el
servicio Administrador de complementos de OfficeScan desde Microsoft Management
Console.

• Validar el código de activación antes de instalar DLP.

8.3.1 Despliegue de agentes DLP a agentes de OfficeScan

Cuando se selecciona un nodo del Árbol de agentes y se verifica la Configuración de DLP,

OfficeScan comprueba los siguientes criterios antes de implementar el Agente de DLP:

• El objetivo debe ser un agente de OfficeScan versión 10.6 o posterior

• Indicador de estado de DLP = 1 (lo que significa que DLP está activado en el servidor de
OfficeScan)
El archivo de registro C: \ SDK_INSTALL.log. <Computer-name> .log se genera cuando se instala
el agente de DLP.

Después de la instalación, el agente de DLP envía información de registro al servidor (la

información incluye el nombre de la computadora, el nombre de dominio, el juego de
caracteres, etc.) a través del parámetro dlpstatus.

El agente de DLP confía en el servicio de exploración en tiempo real del agente de OfficeScan
para mantener su conexión con el servidor. Cuando se inicia el servicio de exploración en
tiempo real NT, se activa el hilo DLP. El subproceso DLP controla el inicio y el apagado del
agente DLP.

8.4 La funcionalidad de control del dispositivo Device Control en DLP proporciona una forma
de:

• Limite el acceso de un punto final o un grupo de puntos finales a dispositivos específicos

• Definir una lista de excepciones (Dispositivos aprobados) para dispositivos USB a través de
soporte granular USB. La configuración para esta función se almacena en el Servidor de
OfficeScan en ofcscan.ini y la base de datos. La configuración de esta función se almacena en el
Agente en ... \ OfficeScan Client \ dlplite \ dc.xml, dc_in.xml y dc_out.xml.

Los dispositivos que son compatibles se muestran a continuación. Para obtener una lista
completa y actualizada de modelos de dispositivos compatibles, puede consultar:
http://docs.trendmicro.com/all/ent/dp-ref/v5.0/en-us/dp_5.0_lists.pdf.

TABLA 27. Dispositivos compatibles

***Tipo de dispositivo

Descripción

CD / DVD

OfficeScan supervisa los datos grabados en dispositivos de CD / DVD físicos y virtuales (por
ejemplo, Daemon Tools, PowerISO)

Puertos

COM y LPT, incluidos todos los dispositivos en la categoría Puertos en el Administrador de

dispositivos

Controladores de disquetes

Controlador de disquete de la máquina virtual. Controladores de disco (generalmente, para

unidades A / B)

Unidades de disco extraíbles

Discos extraíbles, como unidades USB, unidades flash, tarjetas de almacenamiento,

concentradores, etc. NOTA: Esta opción tiene una lista de excepciones que se explica a
continuación.
Controladores de host de bus IEEE 1394

Interfaz IEEE 1394 en dispositivos CONSEJO: también conocido como Firewire, es un bus de
entrada / salida serial de alta velocidad para periféricos de computadora y productos
electrónicos de consumo, capaz de velocidades de transferencia de hasta 400 megabits por
segundo.

Dispositivos de imagen

Cámara, escáneres

Dispositivos infrarrojos

Dispositivos que pueden enviar y recibir datos de infrarrojos, como transceptores de

infrarrojos y adaptadores

Módems

Interfaz de red

Adaptadores PCMCIA

Interfaz periférica para computadoras portátiles CONSEJO: PCMCIA significa Asociación

Internacional de Tarjetas de Memoria para Computadoras Personales

Imprimir clave de pantalla

PrtSc o tecla Imprimir pantalla en el teclado

NIC inalámbricas

Tarjetas de red inalámbricas de dispositivos móviles probados TrendMicro

Bluetooth

Adaptadores Bluetooth***

8.4.1 USBExceptionList Como se mencionó anteriormente, las unidades de disco extraíbles

admiten excepciones. Para definir las unidades de disco USB, el administrador debe
proporcionar lo siguiente:

Proveedor: nombre del proveedor de la unidad de disco

Modelo: cuatro bits de longitud, número de producto

Número de serie: Otro descriptor de dispositivo (generalmente en dispositivos de

almacenamiento masivo), sin longitud fija en formato HEX.

Obtener estos detalles no siempre es un proceso sencillo. Algunos fabricantes incluso tienen su
propia forma de mostrar esta información.

Para solucionar este problema, la función Device Control proporciona una forma más fácil de
obtener los detalles del dispositivo a través de la herramienta de detección automática de
asistencia (listDeviceInfo.exe).
La herramienta listDeviceInfo.exe busca en el sistema local todos los discos USB conectados y
enumera el proveedor, el modelo y el número de serie de cada dispositivo, como se muestra
en el siguiente ejemplo. El administrador puede referirse a esta salida para determinar la
información que debe proporcionarse en la lista de excepciones. Se puede eximir un máximo
de 200 discos USB.

Aquí hay un ejemplo de salida ejecutando listDeviceInfo.exe:

8.4.2 Control del dispositivo de red

Network Device Control se usa para restringir el acceso de la carpeta compartida a máquinas
de punto final que no tienen instalado el Agente de DLP. Esta función proporciona un control
de acceso especial que no es específico de los datos confidenciales, sino de todos los datos que
se comparten entre las computadoras.

De forma predeterminada, el Control del dispositivo de red está deshabilitado. Esto significa
que se permite el uso compartido de archivos de red desde el punto final (excepto aquellos
que infringen las políticas de la empresa).

Cuando esta característica está habilitada, todo el uso compartido de archivos de red se
denega automáticamente. Las únicas operaciones permitidas de uso compartido de archivos
de red son aquellas que involucran a las máquinas cuyas direcciones IP se han definido en la
lista de excepciones.

Las reglas de control del dispositivo de red son las siguientes:

• Cuando está habilitado, las máquinas protegidas solo pueden acceder a las carpetas
compartidas de otras máquinas protegidas y las máquinas desprotegidas no pueden acceder a
las carpetas compartidas de las máquinas protegidas

• Agregar un rango de IP o IP (a través del botón Agregar) crea una lista de excepciones que
anula la configuración de Control de dispositivo de red

• Esta función solo comprueba el puerto 139 y 445 ya que son utilizados por el protocolo SMB
de Microsoft

• Esta función solo es efectiva para las conexiones nuevas que se establecen después de
implementar el Control de dispositivo de red

8.4.3 Detección de dispositivos

Device Control se implementa mediante la enumeración de dispositivos, una función del
sistema operativo que identifica todos los dispositivos conectados a una computadora e
inicializa los controladores necesarios para habilitar los dispositivos. Los siguientes eventos
activan Device Control para hacer una enumeración:

• DSASvc reiniciar

• Cambios en el dispositivo (por ejemplo, si un nuevo dispositivo está conectado a la

computadora)

• Cambios de configuración (desencadenados por el servidor de OfficeScan)

Para los canales de CD / DVD, el filtrado se implementa mediante la comprobación de archivos

que están siendo leídos por procesos supervisados (por ejemplo, nero.exe). Este proceso
objetivo se verifica primero en la lista blanca de la aplicación. Es importante tener en cuenta
que las aplicaciones de CD / DVD en la lista se refieren a los procesos que deben ser
monitoreados. Es decir, estos procesos se bloquean inicialmente y no pueden realizar ningún
archivo de lectura en el sistema. Debe esperar el resultado de la coincidencia con las políticas
definidas antes de poder continuar con dicha operación (es decir, si no se ha producido
ninguna infracción).

El filtrado se desencadena mediante un comando de grabación asociado al proceso de destino.

Cuando se inicia el comando, los archivos que abre el proceso de destino se comparan con las
políticas de la empresa definidas. Si algún archivo infringe una política, el Agente de DLP
tomará la acción correspondiente.

Las siguientes reglas se aplican a las operaciones de filtrado de CD / DVD: • El proceso de

destino debe incluirse en la lista de excepciones.

• Para reducir los falsos positivos, el proceso de filtrado de CD / DVD omite los siguientes tipos
de archivos: dll, ttf, lnk, ico, gpd, bud e ini, gif, jpg, xml, htm, url y sys.

• Los archivos de las siguientes fuentes se omiten:

*: \ autoexec.bat

*: \ Windows

.. \ WINNT

..\Archivos de programa

.. \ ProgramData

\Galletas

..\Configuraciones locales

.. \ Users \ * \ AppData

..\Datos de la aplicación

• Las imágenes ISO creadas por las aplicaciones de grabación de CD / DVD no se filtran.
Se omiten dos tipos de archivos específicos de Roxio para aumentar el rendimiento del filtro: *
.png y * .skn

Cuando se bloquea un proceso de grabación de CD / DVD, no será posible grabar otros

archivos en los medios, incluso si no son sensibles. Esto se debe a que el agente de DLP está
bloqueando el proceso. La misma razón también puede evitar que los medios sean expulsados.
El usuario solo necesita reiniciar el software de grabación de CD / DVD para lanzar el proceso.

Con el fin de interceptar los datos para el análisis, el agente DLP utiliza varios filtros
responsables de las operaciones de enganche y monitoreo en los canales admitidos.

La tabla a continuación resume los filtros disponibles, así como los canales manejados por cada
uno:

8.4.4 Lista de excepciones

Durante el inicio del servicio, se agregan varias aplicaciones a la lista de excepciones de los
controladores del kernel.

Para los filtros de archivos y redes, estas aplicaciones incluidas en la lista blanca (y algunos
puertos) son omitidas automáticamente por los filtros. Sin embargo, esto es diferente con el
filtro de CD / DVD porque su lista blanca contiene las aplicaciones que deben verificarse.

Las aplicaciones incluidas en la lista blanca predeterminada están codificadas en el producto.

Al inicio del servicio, primero se cargan las aplicaciones codificadas y luego se definen las
aplicaciones en la lista.
 AEGIS
(TMBMSRV.exe) y DLP funcionan en conjunto para proporcionar funciones de control del
dispositivo en OfficeScan. Por ejemplo, AEGIS controla el permiso del archivo (por ejemplo,
Acceso total, Modificar, Leer y Ejecutar, Leer, Mostrar solo contenido del dispositivo, etc.),
mientras que DLP solo puede Permitir o Bloquear un dispositivo compatible.

El permiso Mostrar contenido del dispositivo solo está seleccionado para dispositivos de
almacenamiento USB.

Los clientes pueden ver dichos dispositivos en la computadora, pero no podrán leer ni
modificar archivos.

Generalmente, Device Control desactiva los dispositivos silenciosamente. La única excepción a

esto es para los dispositivos USB que activan una alerta de seguridad como se muestra:
Para los otros dispositivos, el único indicador es que su estado indicado en el Administrador de
dispositivos se muestra deshabilitado.

8.5 Control de activos digitales

Los activos digitales son datos y archivos que una organización debe proteger contra
transmisiones no autorizadas. Ejemplos de activos digitales son:

• Documentos confidenciales

• Información privada de los clientes

La siguiente tabla describe cómo reacciona DLP a los activos digitales que fluyen hacia / desde
el servidor de OfficeScan y los clientes:
8.5.1 Identificadores de datos Los administradores definen activos digitales a través de:

• Expresiones

• Atributos de archivo

• Listas de palabras clave

Expresiones

Datos que tienen una cierta estructura. Por ejemplo, los números de tarjetas de crédito que
generalmente tienen 16 dígitos y aparecen en el formato "nnnn-nnnn-nnnn-nnnn", son
adecuados para las detecciones basadas en expresiones.

Otras expresiones pueden ser el número de SWIFT o IBAN, los números de la seguridad social
(por país), las direcciones de correo electrónico, los códigos postales, etc. Los administradores
pueden usar expresiones predefinidas y personalizadas.

Atributos de archivo

Estas son propiedades del archivo como el tipo de archivo y el tamaño del archivo. Por sí
mismos, los atributos de archivo son identificadores pobres de archivos confidenciales. Por lo
tanto, Trend Micro recomienda combinar atributos de archivo con otros identificadores de
datos DLP para una detección más específica de archivos confidenciales. Puede encontrar
información adicional que enumera todos los tipos de archivos admitidos aquí:
http://docs.trendmicro.com/ all / ent / dp-ref / v5.0 / es-us / dp_5.0_lists.pdf.
Listas de palabras clave

Estas son listas de palabras o frases especiales. Puede agregar palabras clave relacionadas a
una lista de palabras clave para identificar tipos específicos de datos. Por ejemplo,
"pronóstico", "tipo de sangre", "vacunación" y "médico" son palabras clave que pueden
aparecer en un certificado médico. Si desea evitar la transmisión de archivos de certificados
médicos, puede utilizar estas palabras clave en una política de DLP y luego configurar la
prevención de pérdida de datos para bloquear los archivos que contienen estas palabras clave.

Las palabras de uso común se pueden combinar para formar palabras clave significativas. Por
ejemplo, "end", "read", "if" y "at" se pueden combinar para formar palabras clave que se
encuentran en los códigos fuente, como "END-IF", "END-READ" y "AT END".

Se pueden usar listas de palabras clave predefinidas y personalizadas.

A partir de OfficeScan XG al configurar listas de palabras clave, los administradores pueden

configurar y filtrar las palabras clave confidenciales que están en los metadatos como se ilustra
a continuación en esta configuración de muestra.
Dada la configuración anterior, se activará una infracción cuando un usuario intente cargar un
archivo que contenga la palabra clave "SuperLab" en los metadatos "Asunto" de un
documento.
8.5.2 Plantillas de prevención de pérdida de datos

Una política de control de activos digitales puede contener una o varias plantillas. Una plantilla
DLP combina identificadores de datos DLP y operadores lógicos (Y, O, Excepto) para formar
declaraciones de condición. Solo los archivos o datos que satisfacen una determinada
declaración de condición estarán sujetos a una política de DLP.

Por ejemplo, un archivo debe ser un archivo de Microsoft Word (atributo de archivo) Y debe
contener ciertos términos legales (palabras clave) Y debe contener números de identificación
(expresiones) para que esté sujeto a la política de "Contratos de trabajo". Esta política permite
que el personal de Recursos Humanos transmita el archivo a través de la impresión para que el
empleado pueda firmar la copia impresa. La transmisión a través de todos los otros canales
posibles, como el correo electrónico, está bloqueada. Si un archivo o datos coinciden con la
definición en más de una plantilla, se aplica la plantilla de mayor prioridad.

Plantilla de muestra:

Puede crear sus propias plantillas si ha configurado identificadores de datos DLP. También
puede usar plantillas predefinidas.

• Plantillas predefinidas: la prevención de pérdida de datos viene con el siguiente conjunto de

plantillas predefinidas que puede usar para cumplir con varios estándares regulatorios.

Estas plantillas no pueden ser modificadas o eliminadas.

• GLBA: Ley Gramm-Leach-Billey

• HIPAA: Ley de Portabilidad y Responsabilidad de Seguros Médicos

• PCI-DSS: Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago

• SB-1386: Ley del Senado de los EE. UU. 1386

• PII de EE. UU .: Información de Identificación Personal de los Estados Unidos

• Plantillas personalizadas: también puede crear sus propias plantillas si ha configurado
identificadores de datos. Una plantilla combina identificadores de datos y operadores lógicos
(Y, O, Excepto) para formar declaraciones de condición.

8.5.3 Políticas de DLP

Los administradores, a través del módulo DLP de OfficeScan, pueden limitar o evitar la
transmisión de activos digitales mediante la creación de políticas, también conocidas como
políticas de control de activos digitales (DACP).

OfficeScan evalúa un archivo o datos contra las reglas definidas en las políticas DLP. Las
políticas determinan los archivos o datos que requieren protección contra la transmisión no
autorizada y la acción que realiza OfficeScan después de detectar una transmisión.

Los administradores pueden configurar políticas para agentes de OfficeScan internos y

externos. Por lo general, una política más estricta se configura para agentes externos.

Las políticas pueden aplicarse para grupos de agentes específicos o agentes individuales. Las
políticas se crean configurando y seleccionando lo siguiente:

- Plantilla: combina expresiones de datos, palabras clave y atributos de archivo (como se

describió anteriormente). - Canal: los canales son entidades que transmiten información
sensible. DLP admite canales de transmisión populares, como correo electrónico, FTP, HTTP /
S, aplicaciones de mensajería instantánea, protocolo SMB, webmail, etc.

- Acción: DLP realiza una o varias acciones cuando detecta un intento de transmitir
información sensible a través de cualquiera de los canales. Se pueden seleccionar diferentes
acciones cuando hay una coincidencia, como bloquear el archivo o registrar el evento. Se
pueden configurar ajustes adicionales, como mostrar un mensaje de notificación al usuario o
registrar los datos (hace una copia del archivo para fines forenses / de auditoría).

- Excepción: las excepciones actúan como anulaciones de las reglas de DLP configuradas.
NOTA: la información confidencial grabada puede consumir grandes cantidades de espacio en
el disco duro. Se recomienda encarecidamente que solo elija esta opción para obtener
información altamente confidencial. Los pasos de configuración de política incluyen:

Paso 1. Selecciona las plantillas para aplicar a la política.

Paso 2. Selecciona el canal que será monitoreado por la política.

Paso 3. Seleccione la acción que se desencadenará por la política.

Cuando ocurre una violación de política, DLP guarda la siguiente información en dbclient:

• Marca de tiempo

• UID

• Modelo

• Acción
• Canal

• Descripción

8.5.4 Detección de activos digitales

El agente DLP crea una expresión booleana basada en el contenido de la política sin formato.
Policy Engine también reorganiza las reglas de condición (definidas mediante plantillas de
cumplimiento) y crea un árbol de expresiones booleanas para la condición. Los datos que se
analizan se comparan con esta expresión utilizando los diferentes motores de coincidencia.

Esto significa que una política solo coincide si su objetivo, canal y condición están satisfechos.
De lo contrario, no se aplica ninguna acción sobre los datos.

Al definir una condición de política mediante patrones, el administrador debe definir una
puntuación de coincidencia en función del número de visitas para cada patrón en una política.

El siguiente algoritmo se usa para calcular la puntuación de coincidencia del patrón:

• Para cada regla de coincidencia, cuente el número de ocurrencias de patrones en el

contenido escaneado. Debe ser menor que el número de visitas definidas para cada patrón. De
lo contrario, el contenido escaneado se etiqueta como confidencial

• Si la regla de coincidencia usa el operador AND, se considera el número de ocurrencias para

todos los patrones incluidos

Además de usar puntajes, el Administrador también puede definir otras tres condiciones de
coincidencia de la siguiente manera:

• Empareje todo

• Empareje cualquiera

• Empareje todo en un rango de X caracteres

Las dos primeras condiciones son sencillas y utilizan un algoritmo que busca las palabras clave
en todo el documento.

Para "Coincidencia de todas las palabras clave dentro de un número X de caracteres", el

algoritmo comprueba las posiciones de la (s) palabra (s) secundaria (s) dentro del archivo. Si
todas las subpalabras clave se encuentran dentro del rango de caracteres dado, entonces se
cumple la condición. El objetivo de esta condición es reducir los falsos positivos en la detección
de palabras clave.

8.6 Registro de DLP

Cuando se detecta una infracción, el servicio de exploración en tiempo real analiza y escribe en
el registro de violación. Muestra del contenido del registro de violación:

La siguiente tabla enumera los campos relevantes:

TABLA 29. Campos de registro de violación

**Categoría

Descripción

Hora

Convención de la zona horaria UTC: Año-Mes-Día THour: Minuto: Segundos.Milisegundos + 00:

00 Por ejemplo: 2014-01-13T05: 22: 38.75 + 00: 00

Computadora

Nombre de host donde se ha detectado una infracción

Dominio de la computadora

Nombre de dominio de la computadora

Usuario

Nombre de usuario que lanzó la violación

Dominio del usuario

Nombre de dominio del usuario

Actividad

Nombre del canal de los datos filtrados / violación

Destinationfilepath

El destino del archivo que violó una política

Sourcefilepath

La fuente del archivo que violó una política

Clase de archivo

Clase de texto o binario

Tipo de contenido

Tipo de contenido del archivo

Contenido

Un máximo de 100 bytes que contienen el primer patrón / palabra clave coincidente

Política coincidente

Coincidencia de nombres de política y plantilla

Acción

La acción correspondiente establecida en la política de coincidencia***

8.7 Depuración de la protección de datos Para habilitar el registro de depuración para DLP en
el agente:

1. Obtenga una copia del archivo cdt_DlpLogger.cfg.

NOTA: cdt_DlpLogger.cfg no se puede modificar y no tiene nivel de registro de depuración.

2. Agregue la siguiente configuración en HKEY_LOCAL_MACHINE \ SOFTWARE \ TrendMicro \

PC- cillinNTCorp \ DlpLite:

• Tipo: cadena

• Nombre: debugcfg

• Valor: C: \ cdt_DlpLogger.cfg

3. Copie cdt_DlpLogger.cfg a c: \.

4. Reinicie el servicio DLP.

Para deshabilitar el registro de depuración para DLP:

1. Eliminar debugcfg en el registro.

2. Reinicia la computadora.

8.8 Integración de Control Manager con DLP

La integración de Control Manager con Data Loss Prevention permite a los administradores
administrar e implementar DLP a través de la administración de políticas desde la consola web
en Control Manager. Esta función está diseñada para proteger cualquier información
confidencial y confidencial (activos digitales) contra la divulgación accidental o el robo de
datos.

DLP permite al administrador: • Identificar los activos digitales para proteger

• Crear políticas que limiten o impidan la transmisión de activos digitales a través de canales
comunes, como correo electrónico y dispositivos externos.
• Hacer cumplir las normas de privacidad establecidas 8.8.1 Control Manager DLP
Management para OfficeScan

Prevención de pérdida de datos

La integración con Control Manager y OfficeScan protege los datos que están "en
movimiento", lo que significa que los datos se supervisan a medida que el usuario interactúa
con ellos. Por ejemplo, puede identificar y bloquear cuando intenta transferir un documento
sensible a una unidad USB o a un archivo adjunto de correo web.

Descubrimiento de datos

DLP también puede proteger datos que están "en reposo". Esto permite que Control Manager
explore las áreas de almacenamiento de archivos para identificar dónde se encuentra el
contenido confidencial. Por ejemplo, se puede usar para escanear puntos finales e identificar
documentos que contienen información de números de tarjetas de crédito. La política puede
dictar que si el punto final no está autorizado a almacenar este tipo de datos, el archivo debe
estar encriptado.

8.8.2 Resumen de características de DLP

El diseño de funciones de DLP permite a los administradores implementar políticas de

descubrimiento de datos desde la consola de Control Manager. Cualquier archivo DLP o
registros de dispositivos se cargarán en el Administrador de control a través del Servidor de
OfficeScan, y se podrán ver a través de los registros, widgets e informes de Control Manager.

Las tareas de Data Discovery se pueden configurar y programar para que se ejecuten en los
agentes de OfficeScan. La información de programación se establece como parte de la
configuración de la política. Además, los archivos confidenciales se pueden cifrar con una
contraseña o clave de usuario / grupo si Trend Micro File Encryption está instalado. (Esta
configuración se revisará más adelante). También debe tenerse en cuenta que una tarea de
Data Discovery puede reanudarse si el servicio de exploración se detuvo antes de que la tarea
se completara y si la política no se modifica, la tarea de descubrimiento de datos puede
realizar un escaneo incremental.

8.8.3 Configuración de políticas de descubrimiento de datos Esta sección contiene información

sobre la configuración de una política de descubrimiento de datos de OfficeScan.

• Especifique la ubicación de escaneo para los archivos en Ruta de archivo y cualquier

excepción de escaneo en Excepciones de tipo de archivo. Data Discovery admite los siguientes
caracteres comodín:

- *: sustituye cualquiera y todos los caracteres antes o después del * -?: Sustituye un carácter
individual o un carácter de doble byte individual Puede separar múltiples entradas con
tuberías (|) con el siguiente formato: - Para archivos: *. <extensión de archivo> (por ejemplo: *
.exe | * .doc) - Para carpetas: especifique una ruta de archivo (por ejemplo: * \ Test \ * | C: \
My-Docs \)

• Configure la configuración de la plantilla.

• Especifique las acciones:

- Monitor: las detecciones se registran para el análisis

- Encripte con lo siguiente: los archivos confidenciales se codifican utilizando uno de los
siguientes métodos, como se muestra en la imagen de la pantalla a continuación:

• Configure un horario para el escaneo.

NOTA: realizar un escaneo completo de una unidad o directorio de punto final puede causar
una importante desaceleración del sistema para los usuarios finales.

8.8.4 Investigación de incidentes de DLP Los incidentes de DLP pueden ser revisados y
actualizados por los oficiales de cumplimiento de DLP y los revisores de incidentes.

Para habilitar el proceso de revisión de incidentes, los administradores de Control Manager

deben completar algunas tareas de requisitos previos. Las tareas requeridas se resumen a
continuación:

• Configurar la información del administrador en Active Directory

• Configurar la integración de Active Directory para obtener información del usuario

• Crear cuentas de usuario específicas para la investigación de incidentes DLP. Asignar roles de
DLP Officer Officer o DLP Incident Reviewer a los usuarios que investigan incidentes de DLP.
(Recuerde que los roles de DLP Compliance Officer y DLP Incident Reviewer están disponibles
solo para usuarios de Active Directory).

• Configurar el resumen del incidente programado y las notificaciones actualizadas de los

detalles del incidente.

• Exportar los registros del DLP para fines de auditoría.

Para conocer los pasos detallados al completar las tareas anteriores, consulte la Guía del
administrador de Control Manager.

8.8.5 Consulta de registro ad hoc de DLP

En la siguiente sección, examinaremos cómo usar una consulta ad hoc para obtener registros
en la información de detección de prevención de pérdida de datos de Data Discovery.

La Vista de datos en Ad Hoc Query se divide en tres categorías principales: Información del
producto, Información sobre amenazas de seguridad e Información de protección de datos.
1. En la lista Categorías, expanda todas las subsecciones en Información de protección de
datos y active la opción Detección de prevención de pérdida de datos de Data
Discovery como se muestra a continuación.

2. En la pantalla siguiente, especifique los criterios de coincidencia para la consulta.

3. La consulta arroja los siguientes resultados:

4. A continuación, desplácese hacia abajo para ver los resultados de un punto final específico
haciendo clic en los enlaces provistos bajo

Punto final Por ejemplo, al hacer clic en el punto final NJ-EDWIN-LI se proporciona la siguiente
información:

8.8.6 Widgets de descubrimiento de datos

Los widgets Data Discovery muestran el cumplimiento de la prevención de pérdida de datos

con una política empresarial que los administradores pueden usar para realizar acciones
correctivas en su red.

Hay cuatro widgets Data Discovery que se pueden usar de la siguiente manera: