Symantec DLP 15.0 Admin Guide

Guía de administración de
Symantec™ Data Loss

Prevention
Versión 15.0
Última actualización: 22 Septiembre

2017
Guía de administración de Symantec Data Loss
Prevention
Versión de la documentación: 15.0
Aviso legal
Copyright © 2017 Symantec Corporation. Todos los derechos reservados.
Symantec, el logotipo de Symantec y el logotipo de la marca de comprobación son marcas

comerciales o marcas comerciales registradas en los Estados Unidos y en otros países por
Symantec Corporation o sus filiales. Los otros nombres pueden ser marcas registradas de
sus propietarios respectivos.
Este producto de Symantec puede contener software de otro fabricante para lo cual se
necesita que Symantec proporcione la atribución al otro fabricante (“Programas de otro
fabricante”). Algunos de los programas de otro fabricante están disponibles con licencias de
software gratuitas o de código abierto. El acuerdo de licencia que acompaña el Software no
altera ningún derecho ni obligación que se pueda tener conforme a esas licencias de código
abierto o gratuitas. Consulte el Apéndice de avisos legales de otros fabricantes incluido con
esta Documentación o el archivo Léame TPIP que se proporciona con este producto de
Symantec para obtener más información sobre los Programas de otros fabricantes.
El producto descrito en este documento se distribuye conforme a las licencias que restringen
su uso, copia, distribución y descompilación/ingeniería inversa. Ninguna pieza de este
documento puede ser reproducida de ninguna forma por ningún medio sin previa autorización
escrita de Symantec Corporation y de sus emisores de licencias, si los hay.
ESTA DOCUMENTACIÓN SE PROPORCIONA “TAL CUAL” Y TODAS LAS CONDICIONES,

MANIFESTACIONES GARANTÍAS EXPLÍCITAS O IMPLÍCITAS, INCLUYENDO CUALQUIER
GARANTÍA IMPLICADA DE COMERCIABILIDAD Y APTITUD PARA UN PROPÓSITO
PARTICULAR O NO VULNERACIÓN DE LAS POLÍTICAS, SE DENIEGAN, EXCEPTO
HASTA EL PUNTO EN QUE TALES RENUNCIAS DE RESPONSABILIDAD SEAN
LEGALMENTE NO VÁLIDAS. SYMANTEC CORPORATION NO SERÁ RESPONSABLE DE
LOS DAÑOS CONSECUENTES O FORTUITOS CON RESPECTO AL SUMINISTRO,
RENDIMIENTO O USO DE ESTA DOCUMENTACIÓN. LA INFORMACIÓN CONTENIDA
EN ESTA DOCUMENTACIÓN ESTÁ SUJETA A CAMBIOS SIN AVISO.
El Software y la Documentación otorgados bajo licencia se consideran “software informático

comercial” según la definición que se recoge en el artículo 12.212 de las Normas Federales
de Adquisición (FAR) y están sujetos a derechos restringidos según la definición que se
recoge en la sección 52.227-19 “Software informático comercial: Derechos restringidos” de
las FAR y en el artículo 227.7202 y siguientes del Suplemento a las FAR del Departamento
de Defensa (DFARS), "Software informático comercial o Documentación de software
informático comercial", según proceda, y cualquier regulación sucesora, ya sea provista por
Symantec en las instalaciones o en los servicios alojados. Cualquier uso, modificación, versión
de reproducción, ejecución, demostración o divulgación que el Gobierno de los Estados
Unidos haga de este Software con licencia y de la Documentación debe realizarse de acuerdo
con los términos incluidos en el presente Acuerdo.
Symantec Corporation
350 Ellis Street
Mountain View, CA 94043
http://www.symantec.com
Contenido
Sección 1 Introducción ................................................................... 68
Capítulo 1 Presentación de Symantec Data Loss

Prevention ...................................................................... 69
Acerca de las actualizaciones de la Guía de administración de

Symantec Data Loss Prevention ................................................ 69
Acerca de Symantec Data Loss Prevention ....................................... 70
Acerca de la plataforma Enforce ...................................................... 72
Acerca de Network Monitor y Prevent ............................................... 73
Acerca de Network Discover/Cloud Storage Discover .......................... 74
Acerca de Network Protect ............................................................. 75
Acerca de Endpoint Discover .......................................................... 76
Acerca de Endpoint Prevent ........................................................... 76
Capítulo 2 Guía de inicio de administración de Symantec Data

Loss Prevention ............................................................. 78
Acerca de la administración de Symantec Data Loss Prevention ............ 78
Acerca de la consola de administración de Enforce Server ................... 79
Cómo iniciar y cerrar sesión en la consola de administración de Enforce
Server .................................................................................. 80
Acerca de la cuenta de administrador ............................................... 81
Ejecución de tareas iniciales de la instalación .................................... 82
Cómo cambiar la contraseña de administrador ................................... 82
Cómo agregar una cuenta de correo electrónico de
administrador ........................................................................ 83
Cómo editar un perfil de usuario ...................................................... 84
Cambio de contraseña .................................................................. 87
Capítulo 3 Utilización de idiomas y configuración

regionales ....................................................................... 89
Acerca de la compatibilidad con los juegos de caracteres, los idiomas

y las configuraciones regionales ................................................ 89
Idiomas admitidos para la detección ................................................. 91
Contenido 5
Utilización de caracteres internacionales ........................................... 93

Acerca de Symantec Data Loss Prevention Paquetes de idiomas ........... 94
Acerca de las configuraciones regionales .......................................... 95
Cómo usar un idioma que no sea inglés en la consola de administración
de Enforce Server .................................................................. 95
Cómo usar la utilidad de paquete de idiomas ..................................... 97
Sección 2 Cómo administrar la plataforma de

Enforce Server ....................................................... 101
Capítulo 4 Cómo administrar los servicios y la configuración
de Enforce Server ........................................................ 102
Acerca de los servicios de Symantec Data Loss Prevention ................ 102
Acerca de iniciar y detener servicios en Windows .............................. 103
Cómo iniciar Enforce Server en Windows .................................. 103
Cómo detener un Enforce Server en Windows ............................ 104
Cómo iniciar un servidor de detección en Windows ...................... 104
Cómo detener un servidor de detección en Windows ................... 105
Cómo iniciar los servicios en las instalaciones de Windows de un
solo nivel ...................................................................... 105
Cómo detener los servicios en instalaciones de Windows de un
solo nivel ...................................................................... 106
Cómo iniciar y detener los servicios en Linux .................................... 106
Cómo iniciar Enforce Server en Linux ....................................... 107
Cómo detener un Enforce Server en Linux ................................. 107
Cómo iniciar un servidor de detección en Linux ........................... 108
Cómo detener un servidor de detección en Linux ........................ 108
Cómo iniciar los servicios en las instalaciones de Linux de un solo
nivel ............................................................................. 109
Cómo detener los servicios en instalaciones de Linux de un solo
nivel ............................................................................. 110
Capítulo 5 Cómo administrar roles y usuarios ................................ 111

Acerca del control de acceso basado en roles .................................. 112
Acerca de cómo configurar roles y usuarios ..................................... 113
Acerca de la recomendación de roles para su organización ................. 113
Roles incluidos con paquetes de soluciones ..................................... 115
Configurar roles .......................................................................... 117
Configurar cuentas de usuario ....................................................... 126
Configuración de los valores de aplicación de contraseña ................... 130
Restablecer la contraseña de administrador ..................................... 131
Contenido 6
Administrar y agregar roles ........................................................... 132

Administración y adición de usuarios .............................................. 133
Acerca de autenticar usuarios ....................................................... 134
Configuración de autenticación de usuario ....................................... 138
Acerca de la autenticación mediante SAML ................................ 138
Configuración de la autenticación ............................................ 138
URL de omisión de administrador ............................................ 140
Configuración del método de autenticación de Spring .................. 140
Configuración de los ajustes de la autenticación mediante
SAML ........................................................................... 142
Generación o descarga de los metadatos de SAML de Enforce
(proveedores de servicios) ............................................... 143
Configure Enforce Server como proveedor de servicios de SAML
con el proveedor de Id. (cree una aplicación en su proveedor
de identidad) ................................................................. 143
Cómo exportar los metadatos del proveedor de Id. a DLP ............. 144
Configuración de la autenticación de Active Directory .................. 144
Configuración de la autenticación basada en formularios .............. 144
Cómo configurar la autenticación de certificado .......................... 144
Integración de Active Directory para la autenticación de usuario ........... 144
Creación de un archivo de configuración para la integración de
Active Directory .............................................................. 146
Verificación de la conexión de Active Directory ........................... 147
Acerca de la configuración de autenticación de certificado .................. 149
Cómo configurar la autenticación de certificado para la consola
de administración de Enforce Server .................................. 151
Cómo agregar certificados de autoridad de certificación (CA) al
almacenamiento de confianza de Tomcat ............................ 153
Asignación de valores de nombre común (CN) a las cuentas de
usuario de Symantec Data Loss Prevention ......................... 157
Acerca de las comprobaciones de revocación del certificado ......... 157
Solución de problemas de autenticación de certificado ................. 165
Deshabilitación de la autenticación de contraseña y el inicio de
sesión basado en formularios ............................................ 166
Capítulo 6 Cómo conectarse a los directorios del grupo .............. 167

Crear las conexiones a los servidores LDAP .................................... 167
Cómo configurar las conexiones al servidor de directorio .................... 168
Programación de la indización del servidor del directorio .................... 171
Contenido 7
Capítulo 7 Cómo administrar credenciales almacenadas ............ 173

Acerca del almacenamiento de credencial ....................................... 173
Cómo agregar nuevas credenciales al almacenamiento de
credenciales ........................................................................ 174
Configuración de credenciales de endpoint ...................................... 175
Cómo administrar las credenciales en el almacenamiento de
credenciales ........................................................................ 175
Cómo administrar credenciales almacenadas ................................... 176
Capítulo 8 Cómo administrar eventos y mensajes del

sistema .......................................................................... 178
Acerca de los eventos del sistema ................................................. 178

Informes de los eventos del sistema ............................................... 179
Utilización de informes guardados del sistema .................................. 183
Detalles de eventos de servidor y detectores .................................... 184
Configurar umbrales y activadores de eventos .................................. 185
Acerca de las respuestas de eventos del sistema .............................. 187
Cómo habilitar un servidor Syslog .................................................. 190
Acerca de alertas del sistema ........................................................ 191
Cómo configurar Enforce Server para enviar alertas de correos
electrónicos ......................................................................... 192
Configuración de alertas del sistema .............................................. 193
Acerca de la revisión del registro ................................................... 195
Códigos y mensajes de eventos del sistema .................................... 196
Capítulo 9 Administrar la base de datos de Symantec Data

Loss Prevention ........................................................... 224
Utilización de las herramientas de diagnóstico de base de datos de
Symantec Data Loss Prevention .............................................. 224
Visualización de asignaciones del archivo de datos y de espacios de
tabla .................................................................................. 225
Ajustar los umbrales de advertencia según el uso del espacio de
tabla en las bases de datos grandes ................................... 226
Generar un informe de base de datos ....................................... 227
Ver tabla de detalles .................................................................... 227
Comprobación de la preparación de actualización de la base de
datos ................................................................................. 229
Ubicación de la herramienta Preparación de la actualización ......... 230
Creación de la cuenta de la base de datos de la herramienta
Preparación de actualización ............................................ 230
Contenido 8
Ejecución de la herramienta Preparación de la actualización para

Symantec Data Loss Prevention versión 14.x ....................... 232
Revisión de los resultados de la preparación de la
actualización ................................................................. 234
Capítulo 10 Utilización de Symantec Information Centric

Encryption ..................................................................... 235
Acerca de Symantec Information Centric Encryption .......................... 235
Acerca de la utilidad Symantec ICE ................................................ 237
Descripción general de la implementación de funciones de Information
Centric Encryption ................................................................ 241
Configuración de Enforce Server para conectarse a la nube de
Symantec ICE ...................................................................... 242
Capítulo 11 Cómo agregar un nuevo módulo del producto ............ 244

Instalación de un nuevo archivo de licencia ...................................... 244
Acerca de las actualizaciones del sistema ....................................... 245
Sección 3 Cómo administrar los servidores de

detección .................................................................. 246
Capítulo 12 Instalación y administración de servidores de
detección y detectores en la nube ........................... 247
Acerca de la administración de los servidores de Symantec Data Loss
Prevention ........................................................................... 248
Cómo habilitar Control de proceso avanzado ................................... 249
Controles del servidor .................................................................. 250
Servidor de configuración básica ................................................... 252
Servidor de Network Monitor: configuración básica ...................... 253
Network Prevent for Email Server: configuración básica ............... 256
Network Prevent for Web Server: configuración básica ................. 259
Servidor Network Discover/Cloud Storage Discover y Network
Protect: configuración básica ............................................ 263
Servidor de endpoints: configuración básica ............................... 264
Supervisor de un solo nivel: configuración básica ........................ 265
Servidor de clasificación: configuración básica ............................ 276
Edición de un detector ................................................................. 277
Configuración avanzada del servidor y del detector ........................... 278
Cómo agregar un servidor de detección .......................................... 279
Adición de un detector en la nube .................................................. 281
Contenido 9
Cómo eliminar un servidor ............................................................ 282

importación de certificados SSL para servidores Discover o
Enforcer .............................................................................. 283
Renovación de certificados de comunicación de la cuadrícula para
servidores de detección ......................................................... 284
Acerca de la pantalla Descripción general ....................................... 286
Configuración de Enforce Server para usar un proxy para conectarse
a los servicios en la nube ....................................................... 287
Descripción general del estado del servidor y del detector ................... 288
Lista de eventos de error y advertencia recientes .............................. 290
Pantalla Detalles del servidor/detector ............................................ 291
Configuración avanzada del servidor .............................................. 293
Configuración avanzada del detector .............................................. 342
Acerca de cómo usar equilibradores de carga en una implementación
de endpoints ........................................................................ 347
Capítulo 13 Cómo administrar los archivos de registro .................. 351

Acerca de los archivos de registro .................................................. 351
Archivos de registro operativos ................................................ 352
Archivos de registro de depuración .......................................... 356
Pantalla de configuración y recopilación de registros .......................... 360
Configuración del comportamiento del registro del servidor ................. 361
Recopilación de archivos de configuración y registros de
servidor .............................................................................. 367
Acerca de los códigos de eventos de registro ................................... 371
Archivos de registro operativos y códigos de eventos de Network
Prevent for Web ............................................................. 372
Network Prevent for Web archivos de registro y campos del
acceso ......................................................................... 374
Archivos de registro de depuración del protocolo de Network
Prevent for Web ............................................................. 376
Niveles de registro de Network Prevent for Email ........................ 376
Códigos de registro operativos de Network Prevent for
Email ........................................................................... 377
Respuestas y códigos originados en Network Prevent for
Email ........................................................................... 380
Capítulo 14 Cómo usar las utilidades de Symantec Data Loss

Prevention ..................................................................... 384
Acerca de las utilidades de Symantec Data Loss Prevention ............... 384
Acerca de utilidades de endpoint ................................................... 385
Acerca de DBPasswordChanger .................................................... 386
Contenido 10
Sintaxis de DBPasswordChanger ............................................. 386

Ejemplo de uso de DBPasswordChanger .................................. 387
Sección 4 Creación de políticas ............................................... 388

Capítulo 15 Introducción a las políticas ............................................. 390
Acerca de las políticas de Data Loss Prevention ............................... 390
Componentes de políticas ............................................................ 392
Plantillas de políticas ................................................................... 393
Paquetes de soluciones ............................................................... 394
Grupos de políticas ..................................................................... 395
Implementación de políticas .......................................................... 396
Gravedad de políticas .................................................................. 397
Privilegios de autoría de políticas ................................................... 398
Perfiles de datos ......................................................................... 399
Grupos de usuarios ..................................................................... 400
Importación y exportación de plantillas de políticas ............................ 400
Flujo de trabajo para implementar las políticas .................................. 402
Visualización, impresión y descarga de detalles de políticas ................ 403
Capítulo 16 Descripción general de la detección de

políticas ......................................................................... 405
Cómo detectar la pérdida de datos ................................................. 405
Contenido que se puede detectar ............................................ 406
Archivos que se pueden detectar ............................................. 406
Protocolos que se pueden supervisar ....................................... 407
Acerca de eventos de endpoint que se pueden detectar ............... 407
Identidades que se pueden detectar ......................................... 407
Idiomas que se pueden detectar .............................................. 408
Detección de las clasificaciones de Symantec Information Centric
Tagging (ICT) ...................................................................... 408
Acerca de Symantec Information Centric Tagging ........................ 408
Acerca de la integración de Information Centric Tagging con Data
Loss Prevention ............................................................. 408
Acerca de la integración de Symantec Information Centric Tagging
con Data Loss Prevention ................................................. 409
Prácticas recomendadas para la integración de ICT con
DLP ............................................................................. 413
Cómo solucionar problemas de integración de ICT con DLP .......... 414
Tecnologías de detección de políticas de Data Loss Prevention ........... 414
Condiciones de coincidencia de política .......................................... 417
Contenido 11
Condiciones de coincidencia de contenido ................................. 418

Condiciones de coincidencia de propiedades de archivo ............... 420
Condición de coincidencia de protocolos para la red .................... 420
Condiciones de coincidencia de endpoint .................................. 421
Condiciones de coincidencia de grupos (identidad) ...................... 421
Mensajes de detección y componentes de mensaje ........................... 423
Condiciones de excepción ............................................................ 424
Condiciones compuestas ............................................................. 426
Ejecución de detección de políticas ................................................ 426
Detección de dos niveles para Agentes DLP .................................... 427
Capítulo 17 Cómo crear las políticas de las plantillas ..................... 430

Cómo crear una política de una plantilla .......................................... 430
Plantillas de políticas de aplicación de regulaciones de los EE.
UU. .................................................................................... 433
Plantillas de políticas de la regulación general de protección de
datos ................................................................................. 435
Plantillas de políticas de aplicación de regulaciones
internacionales ..................................................................... 436
Plantillas de políticas de protección de datos de clientes y
empleados .......................................................................... 437
Plantillas de políticas de protección de datos confidenciales o
clasificados ......................................................................... 439
Plantillas de políticas de aplicación de seguridad de la red .................. 440
Plantillas de la política Aplicación de uso aceptable ........................... 441
Plantilla de políticas de aplicación de regulaciones de datos personales
de Columbia ........................................................................ 442
Selección de un perfil de datos estructurados ................................... 443
Cómo elegir un perfil de documento indizado ................................... 445
Capítulo 18 Configuración de políticas ............................................... 447

Cómo agregar una nueva política o plantilla de políticas ..................... 447
Configuración de políticas ............................................................ 448
Cómo agregar una regla a una política ............................................ 450
Configuración de reglas de políticas ............................................... 453
Definición de gravedad de regla .................................................... 456
Cómo configurar la cantidad de coincidencias .................................. 457
Cómo seleccionar componentes para establecer una
coincidencia ........................................................................ 459
Cómo agregar una excepción a una política ..................................... 460
Cómo configurar excepciones de políticas ....................................... 463
Cómo configurar condiciones compuestas de coincidencia ................. 466
Contenido 12
Límite de caracteres de entrada para la configuración de

políticas .............................................................................. 468
Capítulo 19 Administración de políticas ............................................. 469

Administrar y agregar políticas ...................................................... 470
Administrar y agregar grupos de políticas ........................................ 472
Creación y modificación de grupos de políticas ................................. 473
Importar las políticas ................................................................... 475
Acerca de la importación de políticas ........................................ 475
Acerca de las referencias de políticas ....................................... 476
Exportación de políticas ............................................................... 478
Acerca de la exportación de políticas ........................................ 478
Clonación de políticas .................................................................. 479
Importación de plantillas de políticas ............................................... 480
Exportación de detección de políticas como plantilla .......................... 480
Agregar una regla de respuesta automática a una política ................... 481
Eliminación de políticas y grupos de políticas ................................... 482
Visualización e impresión de detalles de políticas .............................. 483
Descarga de detalles de políticas ................................................... 483
Políticas de solución de problemas ................................................. 484
Cómo actualizar los perfiles de EDM y de IDM a la versión más
reciente .............................................................................. 485
Actualizar las políticas después de actualizar a la versión más
reciente .............................................................................. 486
Capítulo 20 Prácticas recomendadas para crear políticas ............. 489

Prácticas recomendadas para crear políticas .................................... 489
Desarrollo de una estrategia de políticas que admite sus objetivos de
seguridad de datos ............................................................... 491
Use un número limitado de políticas para iniciar ................................ 491
Use las plantillas de la política, pero modifíquelas para cumplir sus
requisitos ............................................................................ 492
Use la condición de coincidencia apropiada para sus objetivos de
prevención de pérdida de datos ............................................... 492
Pruebe y ajuste de políticas para mejorar la exactitud de
coincidencia ........................................................................ 493
Comience con los umbrales de coincidencia alta para reducir los falsos
positivos ............................................................................. 495
Use un número limitado de excepciones para limitar el alcance de
detección ............................................................................ 495
Uso de condiciones compuestas para mejorar la exactitud de
coincidencia ........................................................................ 496
Contenido 13
Creación de políticas para limitar el efecto potencial de detección de

dos niveles .......................................................................... 497
Uso de grupos de políticas para administrar el ciclo de vida de
políticas .............................................................................. 498
Siga las prácticas recomendadas específicas de la detección .............. 499
Capítulo 21 Detección de contenido usando Coincidencia de

datos estructurados (EDM) ....................................... 500
Presentación de la coincidencia de datos estructurados (EDM) ............ 500
Acerca de cómo usar EDM para proteger el contenido ................. 501
Funciones de la política de EDM .............................................. 502
Plantillas de políticas de EDM ................................................. 503
Acerca del índice y el perfil de datos estructurados ...................... 505
Acerca del archivo de origen de datos exacto ............................. 505
Acerca de la limpieza del archivo de origen de datos
estructurados ................................................................. 507
Acerca de cómo usar los campos del sistema para la validación
del origen de datos ......................................................... 507
Acerca de la programación del índice ....................................... 508
Acerca de la condición El contenido coincide con datos
estructurados de ............................................................ 509
Acerca de la excepción de propietario de datos .......................... 509
Acerca de la coincidencia de grupo de directorios perfilada
(DGM) .......................................................................... 510
Acerca de la detección de dos niveles para EDM en el
endpoint ....................................................................... 511
Acerca de actualizar implementaciones de EDM ......................... 511
Configurar los perfiles de datos estructurados .................................. 512
Crear el archivo del origen de datos estructurados para
EDM ............................................................................ 513
Crear el archivo de origen de datos exacto para la excepción del
propietario de los datos .................................................... 514
Creación de archivo de origen de datos estructurados para DGM
perfilada ....................................................................... 515
Preparación del archivo de origen de datos exactos para la
indización ..................................................................... 516
Carga de archivos de origen de datos estructurados a Enforce
Server .......................................................................... 517
Creación y modificación de perfiles de datos estructurados ........... 520
Campos de asignación de perfil de datos estructurados ............... 524
Usar los validadores del patrón proporcionado por el sistema para
perfiles de EDM .............................................................. 527
Contenido 14
Programación de la indización de Perfil de datos

estructurados ................................................................. 528
Administrar y agregar los perfiles de los datos exactos ................. 530
Configurar las políticas de EDM ..................................................... 531
Configuración de la condición de política El contenido coincide
con datos estructurados ................................................... 532
Configurar la excepción de propietario de datos para las
condiciones de la política de EDM ...................................... 535
Configurar la condición de política Remitente/usuario basado en
un directorio perfilado ...................................................... 535
Configurar la condición de política Destinatario basado en un
directorio perfilado .......................................................... 536
Acerca de la configuración del procesamiento de lenguaje natural
para chino, japonés y coreano para políticas de EDM ............ 537
Configuración avanzada del servidor para políticas de EDM .......... 539
Usar coincidencia de varios tokens ................................................ 543
Características de las celdas de varios tokens ............................ 544
Varios tokens con espacios ..................................................... 544
Varios tokens con palabras irrelevantes ..................................... 545
Varios tokens con los caracteres de idioma combinados ............... 546
Varios tokens con puntuación .................................................. 546
Ejemplos adicionales para las celdas de varios tokens con la
puntuación .................................................................... 547
Algunos casos de uso especiales para patrones de datos
reconocidos por el sistema ............................................... 550
Caracteres de puntuación de varios tokens ................................ 552
Ejemplos de la variante de la cantidad de coincidencias ............... 554
Ejemplo de coincidencia de proximidad ..................................... 556
Actualizar los índices de EDM a la última versión .............................. 558
Proceso de actualización usando el indizador de EDM
remoto .......................................................................... 559
Proceso de actualización usando Enforce Server ........................ 561
Códigos de error desactualizados del índice de EDM ................... 562
Requisitos de memoria para EDM .................................................. 563
Acerca de los requisitos de memoria para EDM .......................... 563
Descripción general sobre cómo configurar la memoria y cómo
indizar el origen de datos ................................................. 564
Determinar los requisitos para los indizadores locales y
remotos ........................................................................ 565
Aumentar la memoria para el indizador de EDM de Enforce
Server .......................................................................... 567
Aumentar la memoria para el indizador de EDM remoto ............... 567
Requisitos de memoria del servidor de detección ........................ 568
Contenido 15
Aumentar la memoria para el servidor de detección (lector de

archivos) ....................................................................... 571
Uso de la hoja de cálculo de requisitos de memoria de EDM ......... 572
Indización de EDM remoto ............................................................ 573
Acerca del indizador de EDM remoto ........................................ 573
Acerca del indizador previo de SQL .......................................... 574
Requisitos del sistema para la indización de EDM remota ............. 574
Flujo de trabajo para la indización de EDM remota ...................... 574
Acerca de la instalación y la ejecución del indizador de EDM
remoto y de las utilidades del indizador previo de SQL ........... 576
Cómo crear una plantilla de perfil de EDM para la indización
remota .......................................................................... 577
Descarga y copia del archivo de perfil de EDM a un sistema
remoto .......................................................................... 580
Generar archivos de índice remotos ......................................... 580
Ejemplos de indización remota de direcciones con el archivo de
origen de datos .............................................................. 581
Ejemplos de indización remota de indizador previo de SQL ........... 582
Copiar y cargar archivos de índice remoto en Enforce
Server .......................................................................... 583
Opciones del comando indizador previo de SQL ......................... 584
Opciones de comando del indizador de EDM remoto ................... 586
Cómo solucionar errores previos a la indización .......................... 587
Solución de errores de indización remota .................................. 588
Instalar el indizador de EDM remoto (Windows) .......................... 590
Instalar el indizador de EDM remoto (Linux) ............................... 591
Prácticas recomendadas para usar EDM ......................................... 593
Asegúrese de que el origen de datos tenga por lo menos una
columna para los datos únicos .......................................... 594
Limpie las columnas en blanco y las filas duplicadas del archivo
del origen de datos ......................................................... 595
Elimine los tipos de carácter ambiguos del archivo del origen de
datos ........................................................................... 596
Entienda cómo funciona la coincidencia de celdas de varios
tokens .......................................................................... 596
No utilice el delimitador de coma si el origen de datos tiene
campos de número ......................................................... 597
Asigne la columna de origen de datos a los campos del sistema
para utilizar la validación .................................................. 598
Asegúrese de que el origen de datos está limpio para su
indización ..................................................................... 598
Aprovechamiento de las plantillas de políticas de EDM cuando
es posible ..................................................................... 599
Contenido 16
Incluya los encabezados de columna como la primera fila del

archivo de origen de datos ............................................... 599
Comprobación de las alertas del sistema para ajustar la exactitud
del perfil ........................................................................ 600
Use palabras irrelevantes para excluir las palabras comunes de
la detección ................................................................... 600
Use la indización programada para automatizar las actualizaciones
del perfil ........................................................................ 600
Coincidencia con 3 columnas en una condición de EDM para
aumentar la exactitud de la detección ................................. 601
Use tuplas de excepción para evitar los falsos positivos ............... 603
Use una cláusula WHERE para detectar registros que cumplan
criterios específicos ......................................................... 603
Use el campo de coincidencias mínimas para ajustar las reglas
de EDM ........................................................................ 603
Combine identificadores de datos con las reglas de EDM para
limitar el impacto de la detección de dos niveles ................... 604
Incluya un campo de la dirección de correo electrónico en el perfil
de datos exactos para DGM perfilado ................................. 604
Uso de DGM perfilada para la detección de la identidad mediante
Network Prevent para Web ............................................... 605
Capítulo 22 Detección de contenido usando Coincidencia de

documentos indizados (IDM) .................................... 606
Presentación de coincidencia de documentos indexados (IDM) ............ 606
Acerca del uso de IDM ........................................................... 607
Formas admitidas para coincidencia de IDM .............................. 607
Tipos de detección de IDM ..................................................... 608
Acerca del perfil de documento indizado .................................... 610
Acerca del origen de datos del documento ................................. 611
Acerca del proceso de indización ............................................. 611
Acerca de la indización de documentos remotos ......................... 612
Acerca de los archivos del índice del servidor y los archivos del
índice del agente ............................................................ 613
Acerca de la implementación y el registro de índice ..................... 615
Usar IDM para detectar archivos exactos ................................... 616
Usar IDM para detectar contenido exacto del archivo y contenido
parcial del archivo ........................................................... 618
Acerca del uso de la condición de política El contenido coincide
con la firma del documento ............................................... 620
Acerca de la lista blanca de contenido parcial de archivo .............. 621
Contenido 17
Configuración de los perfiles de IDM y las condiciones de

políticas .............................................................................. 621
Preparación del origen de datos del documento para
indización ..................................................................... 622
Colocación en una lista blanca de contenido de archivo para
excluirlo de la coincidencia parcial ..................................... 624
Administre y agregue los perfiles de documentos indizados ........... 625
Creación y modificación de perfiles de documentos
indizados ...................................................................... 627
Configuración de coincidencia parcial de contenido del
endpoint ....................................................................... 629
Carga de archivos de almacenamiento documentales a Enforce
Server .......................................................................... 631
Consulta de archivos de almacenamiento documentales en
Enforce Server ............................................................... 632
Usar la ruta de local en Enforce Server ..................................... 634
Usar la opción Recurso compartido SMB remoto para indizar
archivos compartidos ...................................................... 634
Usar la opción de recurso compartido remoto SMB para indizar
los documentos de SharePoint .......................................... 635
Filtrado de documentos por nombre del archivo .......................... 639
Filtrado de documentos por tamaño del archivo .......................... 640
Como programar la indización de perfiles de documento .............. 641
Cambio de propiedades predeterminadas del indizador ................ 642
Habilitar IDM del agente ......................................................... 643
Estimar el uso de la memoria de endpoint para la IDM del
agente .......................................................................... 645
Configuración de la condición de política El contenido coincide
con la firma del documento ............................................... 645
Prácticas recomendadas para usar IDM .......................................... 647
Vuelva a indizar los perfiles de IDM después de la actualización
importante ..................................................................... 648
No comprima los archivos en el origen de documento .................. 648
No indice documentos vacíos .................................................. 649
Preferencia de la coincidencia parcial en lugar de la coincidencia
exacta en el Agente DLP .................................................. 650
Comprender limitaciones de coincidencia exacta ........................ 650
Uso de listas blancas para excluir el contenido no confidencial de
las coincidencias parciales ............................................... 651
Filtre los documentos de la indización para reducir los falsos
positivos ....................................................................... 652
Distinga las excepciones de IDM de las listas blancas y el
filtrado .......................................................................... 652
Contenido 18
Cree perfiles aparte para indizar orígenes de documentos

grandes ........................................................................ 653
Utilice WebDAV o CIFS para indizar orígenes de datos remotos
de documento ................................................................ 654
Use la indización programada para mantener los perfiles
actualizados .................................................................. 654
Use las reglas paralelas de IDM para ajustar los umbrales de
coincidencia .................................................................. 655
Indización de IDM remoto ............................................................. 656
Acerca del Indizador de IDM remoto ......................................... 656
Instalar el Indizador de IDM remoto .......................................... 657
Indizar el origen de datos del documento usando la edición de la
GUI (Windows solamente) ................................................ 658
Indizar el origen de datos del documento usando el archivo de
propiedades .................................................................. 661
Indizar el origen de datos del documento usando la CLI ............... 663
Programación de indización remota .......................................... 665
Indización incremental ........................................................... 668
Registro y solución de problemas ............................................. 669
Copiar el archivo de índice previo al host de Enforce Server .......... 669
Cargar el archivo de índice remoto en Enforce Server .................. 669
Capítulo 23 Detección de contenido usando Apr. de máq.

vectorial (VML) ............................................................. 671
Presentación del Aprendizaje de máquina vectorial (VML) .................. 671
Acerca del Perfil de Aprendizaje de máquina vectorial .................. 672
Acerca del contenido que entrena ............................................ 672
Acerca de la exactitud de la base de índices de porcentaje de
aprendizaje ................................................................... 673
Acerca del Umbral de similitud y la Puntuación de similitud ........... 674
Acerca de cómo usar perfiles de VML no aceptados en
políticas ........................................................................ 675
Configurar los perfiles de VML y las condiciones de política ................ 676
Cómo crear nuevos perfiles de VML ......................................... 677
Utilización de las fichas Perfil actual y Espacio de trabajo
temporal ....................................................................... 678
Carga de documentos de ejemplo para entrenar ......................... 679
Perfiles de aprendizaje de VML ............................................... 681
Ajuste de la asignación de memoria ......................................... 683
Cómo administrar documentos del conjunto de aprendizaje .......... 685
Cómo administrar perfiles de VML ............................................ 686
Contenido 19
Cómo cambiar nombres y descripciones para perfiles de

VML ............................................................................. 688
Configuración de la condición Detectar usando un perfil de
Aprendizaje de máquina vectorial ...................................... 688
Configuración de excepciones de políticas de VML ..................... 690
Ajuste del umbral de similitud .................................................. 691
Prueba y ajuste de perfiles de VML .......................................... 691
Propiedades para configurar el entrenamiento ............................ 693
Archivos de registro para solucionar problemas de entrenamiento
de VML y detección de políticas ......................................... 696
Prácticas recomendadas para usar VML ......................................... 697
Cuándo se usa VML .............................................................. 698
Cuándo no usar VML ............................................................ 699
Recomendaciones para la definición del conjunto de
entrenamiento ................................................................ 700
Instrucciones para el tamaño del conjunto de entrenamiento ......... 701
Recomendaciones para cargar los documentos para el
entrenamiento ................................................................ 702
Instrucciones para la definición de tamaño del perfil ..................... 703
Recomendaciones para aceptar o rechazar un perfil .................... 703
Instrucciones para aceptar o rechazar los resultados del
entrenamiento ................................................................ 704
Recomendaciones para implementar perfiles ............................. 706
Capítulo 24 Detección de contenido usando Reconocimiento

de formularios - Reconocimiento de imágenes
para DLP ........................................................................ 707
Acerca de la detección del Reconocimiento de formulario ................... 707
Cómo funciona el Reconocimiento de formulario ......................... 708
Configurar la detección de Reconocimiento de formulario ................... 709
Preparación de un archivo de almacenamiento de galería del
Reconocimiento de formulario ........................................... 710
Configuración de un perfil del Reconocimiento de formulario ......... 711
Configurar la regla de detección Reconocimiento de
formulario ...................................................................... 712
Configurar la regla de excepción de Reconocimiento de
formulario ...................................................................... 713
Administración de perfiles de Reconocimiento de formulario ................ 714
Configuración avanzada del servidor para el Reconocimiento de
formulario ............................................................................ 716
Visualización de un incidente del Reconocimiento de formulario ........... 716
Contenido 20
Capítulo 25 Detección de contenido usando OCR -

Reconocimiento de imágenes ................................... 718
Acerca de la detección de contenido con el reconocimiento de
imágenes confidenciales basado en OCR .................................. 719
Tipos de detección admitidos para la extracción basada en
OCR ............................................................................ 720
Tipos de archivo admitidos para la extracción basada en
OCR ............................................................................ 720
Configurar los servidores de OCR .................................................. 720
Instalación de una licencia de reconocimiento de imágenes confidencial
de OCR .............................................................................. 721
Crear una configuración de OCR ................................................... 722
Uso del motor de OCR ................................................................. 724
Más sobre los idiomas y los diccionarios ......................................... 724
Diccionarios especializados disponibles para la extracción de
contenido de OCR .......................................................... 724
Idiomas admitidos para la extracción de OCR ............................. 725
Vista de incidentes de OCR en los informes ..................................... 726
Capítulo 26 Cómo detectar el contenido usando los

identificadores de datos ............................................ 727
Presentación de los identificadores de datos .................................... 727
identificadores de datos definidos por el sistema ......................... 728
Extender y personalizar identificadores de datos ......................... 738
Acerca de la configuración del identificador de datos ................... 739
Acerca de las amplitudes del identificador de datos ..................... 739
Acerca de los validadores opcionales para los identificadores de
datos ........................................................................... 740
Acerca de patrones del identificador de datos ............................. 740
Acerca de los validadores de patrones ...................................... 741
Acerca de los normalizadores de datos ..................................... 741
Acerca de la coincidencia entre componentes ............................ 741
Acerca de la cuenta de coincidencias únicas. ............................. 742
Configurar las condiciones de la política del identificador de
datos ................................................................................. 742
Flujo de trabajo para configurar políticas del identificador de
datos ........................................................................... 743
Administrar y agregar los identificadores de datos ....................... 743
Editar identificadores de datos ................................................. 744
Cómo configurar la condición El contenido coincide con el
identificador de datos ...................................................... 745
Contenido 21
Usar las amplitudes del identificador de datos ............................ 747

Seleccionar una amplitud del identificador de datos ..................... 748
Usar validadores opcionales ................................................... 761
Configuración de validadores opcionales ................................... 762
Caracteres aceptables para validadores opcionales ..................... 763
Uso de recuento de coincidencias únicas .................................. 766
Configurar la cuenta de coincidencias únicas ............................. 766
Modificar los identificadores de datos de sistema .............................. 767
Clonación de un identificador de datos del sistema antes de su
modificación .................................................................. 768
Editar la entrada del validador de patrones ................................ 769
Lista de validadores de patrones que aceptan datos de
entrada ......................................................................... 770
Edición de palabras clave para los identificadores de datos
internacionales de PII ...................................................... 771
Lista de palabras claves para los identificadores de datos
internacionales de sistema ............................................... 772
Actualizar las políticas para utilizar el identificador de datos del
número de la seguridad social (SSN) de los EE. UU. calculado
de forma aleatoria ........................................................... 785
Crear identificadores de datos personalizados .................................. 786
Flujo de trabajo para crear los identificadores de datos
personalizados ............................................................... 787
Configuración de identificador de datos personalizado ................. 789
Usar el lenguaje del patrón del identificador de datos ................... 790
Escritura de patrones del identificador de datos para que coincidan
con los datos ................................................................. 793
Uso de validadores de patrones .............................................. 794
Seleccionar validadores de patrones ........................................ 802
Seleccionar un normalizador de datos ...................................... 803
Creación de validadores de script personalizados ....................... 804
Prácticas recomendadas para usar los identificadores de datos ........... 805
Use identificadores de datos en vez de expresiones regulares
para mejorar la exactitud .................................................. 806
Clonación de identificadores de datos definidos en el sistema
antes de la modificación para conservar el estado
original ......................................................................... 806
Modifique las definiciones del identificador de datos cuando se
desea que los ajustes se apliquen globalmente .................... 807
Use amplitudes varias paralelamente para detectar diversos
niveles de gravedad de datos confidenciales ........................ 807
Evite coincidencias con Sobre mediante HTTP para reducir los
falsos positivos ............................................................... 808
Contenido 22
Utilice el identificador de datos SSN de los EE. UU. calculado de

forma aleatoria para detectar SSN ..................................... 808
Use la cuenta de coincidencias únicas para mejorar la exactitud
y para aliviar la reparación ................................................ 809
Capítulo 27 Cómo detectar el contenido usando coincidencia

de palabras clave ......................................................... 811
Presentación de coincidencia de palabras clave ............................... 811
Acerca de la coincidencia de palabra clave en idioma chino,
japonés y coreano (CJK) .................................................. 812
Acerca de la proximidad a la palabra clave ................................ 813
Sintaxis de coincidencia de palabra clave .................................. 813
Ejemplos de coincidencia de palabras clave ............................... 815
Ejemplos de coincidencia de palabras clave para idiomas
CJK ............................................................................. 816
Acerca de las actualizaciones de listas de palabras clave
relacionadas con medicamentos, tratamientos y
enfermedades ................................................................ 817
Configurar la coincidencia de palabras clave .................................... 818
Cómo configurar la condición El contenido coincide con la palabra
clave ............................................................................ 819
Habilitar y usar la verificación de tokens en CJK para la
coincidencia de palabras clave del servidor .......................... 822
Actualización de listas de palabras clave de medicamentos,
enfermedades y tratamientos para sus políticas de HIPAA y
Caldicott ....................................................................... 823
Prácticas recomendadas para usar coincidencia de palabras
clave .................................................................................. 824
Habilite la verificación de tokens en el servidor para reducir los
falsos positivos para la detección de palabras clave en
CJK ............................................................................. 825
Mantenga las listas de palabras clave para sus políticas de HIPAA
y Caldicott actualizadas ................................................... 825
Adapte las listas de las palabras claves para que los
identificadores de datos mejoren la exactitud de la
coincidencia .................................................................. 826
Usar la coincidencia de palabras clave para detectar metadatos
del documento ............................................................... 826
Utilice VML para generar y para mantener los diccionarios grandes
de palabras clave ........................................................... 827
Contenido 23
Capítulo 28 Cómo detectar el contenido usando expresiones

regulares ....................................................................... 828
Presentación de la coincidencia de la expresión regular ..................... 828

Acerca del motor actualizado de expresiones regulares ...................... 829
Acerca de la escritura de expresiones regulares ............................... 829
Cómo configurar la condición El contenido coincide con la expresión
regular ............................................................................... 830
Prácticas recomendadas para usar la coincidencia de expresiones
regulares ............................................................................ 832
Cuándo usar la coincidencia de expresiones regulares ................. 832
Uso de los caracteres de búsqueda anticipada y búsqueda
posterior para mejorar la exactitud de expresiones
regulares ...................................................................... 833
Use expresiones regulares con moderación para lograr un
rendimiento eficiente ....................................................... 833
Pruebe las expresiones regulares antes de la implementación
Capítulo 29 Detectar el contenido en idiomas

internacionales ............................................................ 834
Detectar contenido en un idioma que no sea inglés ........................... 834

Prácticas recomendadas para detectar el contenido en un idioma que
no sea inglés ....................................................................... 835
Actualización a la versión más reciente de Data Loss
Prevention ..................................................................... 835
Utilice plantillas de políticas internacionales para la creación de
políticas ........................................................................ 835
Utilice palabras claves personalizadas para identificadores de
datos del sistema ............................................................ 837
Habilite la validación de tokens para establecer coincidencias con
palabras claves en chino, japonés y coreano en el
servidor ........................................................................ 839
Capítulo 30 Cómo detectar propiedades de archivo ........................ 840

Presentación de la detección de las propiedades de archivo ............... 840
Acerca de la coincidencia de tipo de archivo .............................. 840
Acerca del soporte de formatos de archivos para la coincidencia
de tipo de archivo ........................................................... 841
Acerca de la identificación de tipos de archivos
personalizados ............................................................... 841
Acerca de la coincidencia de tamaño de archivo ......................... 842
Contenido 24
Acerca de la coincidencia de nombres de archivo ....................... 844

Configuración de las coincidencias de propiedades del archivo ............ 844
Configuración de la condición Coincidencia de archivo adjunto
del mensaje o tipo de archivo ............................................ 845
Cómo configurar la condición Coincidencia de archivo adjunto del
mensaje o tamaño de archivo ........................................... 846
mensaje o nombre de archivo ........................................... 848
Sintaxis de coincidencias con nombres de archivo ...................... 849
Ejemplos de coincidencias con nombres de archivo ..................... 849
Activar la Firma de tipo de archivo predeterminado en la consola
de políticas .................................................................... 850
Cómo configurar la condición Firma de tipo de archivo
personalizado ................................................................ 850
Prácticas recomendadas para usar las coincidencias de las
propiedades de archivo .......................................................... 851
Utilice las reglas compuestas de propiedades de archivo para
proteger los archivos de diseño y multimedia ........................ 852
No utilice la coincidencia de tipo de archivo para detectar el
contenido ...................................................................... 852
Calcule el tamaño del archivo correctamente para mejorar la
exactitud de la coincidencia .............................................. 852
Uso de patrones de expresión para hacer coincidir nombres de
archivos ........................................................................ 852
Utilice los scripts y los complementos para detectar los tipos de
archivo personalizados .................................................... 853
Capítulo 31 Cómo detectar incidentes de red ................................... 854

Presentación de la supervisión del protocolo de red ........................... 854
Configuración de la condición Supervisión de protocolo para la
detección de red ................................................................... 855
Prácticas recomendadas para usar las coincidencias de protocolo de
red .................................................................................... 856
Utilice políticas separadas para protocolos específicos ................. 856
Considere la colocación en la red del servidor de detección para
admitir la coincidencia de direcciones IP .............................. 857
Capítulo 32 Cómo detectar eventos de endpoint ............................. 858

Presentación de la detección de eventos de endpoint ........................ 858
Acerca de la supervisión del protocolo de endpoints .................... 858
Acerca de la supervisión de destinos de endpoint ....................... 859
Acerca de la supervisión de aplicaciones de endpoint .................. 859
Contenido 25
Acerca de la detección de ubicación de endpoint ........................ 860

Acerca de la detección de dispositivos endpoint .......................... 860
Configurar las condiciones de detección de eventos de endpoint .......... 861
Configuración de la condición de supervisión de endpoints ........... 861
Cómo configurar la condición de ubicación de endpoint ................ 863
Cómo configurar la condición de Id. o clase de dispositivo
endpoint ....................................................................... 864
Recopilando Id. de dispositivo endpoint para los dispositivos
extraíbles ...................................................................... 865
Creación y modificación de configuración de dispositivo
endpoint ....................................................................... 866
Prácticas recomendadas para usar la detección de endpoint ............... 868
Capítulo 33 Cómo detectar identidades descritas ........................... 869

Presentación de la coincidencia de identidad descrita ........................ 869
Ejemplos de coincidencias de identidad descritas ............................. 869
Configurar las condiciones de la política de coincidencia de identidad
descrita .............................................................................. 871
Acerca de patrones de remitentes/destinatarios reutilizables ......... 871
Cómo configurar la condición El remitente/usuario coincide con
el patrón ....................................................................... 871
Configurar un patrón de remitente reutilizable ............................. 874
Cómo configurar la condición El destinatario coincide con el
patrón .......................................................................... 875
Configurar un patrón de destinatario reutilizable .......................... 877
Prácticas recomendadas para usar la coincidencia de identidad
descrita .............................................................................. 878
Definición de patrones de identidad precisos para que coincidan
con los usuarios ............................................................. 878
Especifique las direcciones de correo electrónico exactamente
Haga coincidir dominios en vez de direcciones IP para mejorar la
exactitud ....................................................................... 879
Capítulo 34 Cómo detectar identidades sincronizadas ................... 881

Presentación de la coincidencia de grupo de directorio (DGM)
sincronizada ........................................................................ 881
Acerca de la detección de dos niveles para DGM sincronizada ............ 882
Configurar los grupos de usuarios .................................................. 882
Configurar condiciones de políticas de DGM sincronizadas ................. 885
Configuración de la condición Remitente/usuario basado en un
grupo de servidores de directorios ..................................... 886
Contenido 26
Configuración de la condición Destinatario basado en un grupo

de servidores de directorios .............................................. 887
Prácticas recomendadas para usar DGM sincronizada ....................... 888
Actualice el directorio al guardar por primera vez el Grupo de
usuarios ....................................................................... 888
Distinción entre DGM sincronizada y otros tipos de detección de
endpoint ....................................................................... 889
Capítulo 35 Cómo detectar identidades perfiladas .......................... 890

Presentación de la coincidencia de grupo de directorio (DGM) ............. 890
Acerca de la detección de dos niveles para DGM perfilado .................. 891
Configurar perfiles de datos estructurados para DGM ........................ 891
Configurar condiciones de políticas de DGM perfiladas ...................... 892
Configurar la condición Remitente/usuario basado en un directorio
perfilado ....................................................................... 893
Configurar la condición Destinatario basado en un directorio
perfilado ....................................................................... 894
Prácticas recomendadas para usar DGM perfilada ............................ 895
Siga las prácticas recomendadas de EDM al implementar DGM
perfilada ....................................................................... 895
de datos exactos para DGM perfilado ................................. 895
Network Prevent para Web ............................................... 896
Capítulo 36 Formatos de archivo admitidos para la

detección ....................................................................... 897
Descripción general de formatos de archivo admitidos para la
detección ............................................................................ 897
Formatos compatibles para la identificación de tipo de archivo ............. 899
Formatos admitidos para la extracción de contenido .......................... 914
Formatos de procesamiento de palabras admitidos para la
extracción de contenido ................................................... 915
Formatos de presentación admitidos para la extracción de
contenido ...................................................................... 917
Formatos de hoja de cálculo admitidos para la extracción de
contenido ...................................................................... 918
Formatos admitidos de texto y marcado para la extracción de
contenido ...................................................................... 919
Formatos de correo electrónico admitidos para la extracción de
contenido ...................................................................... 920
Contenido 27
Formatos de diseño automatizado admitidos para la extracción

de contenido .................................................................. 920
Formatos de gráficos admitidos para la extracción de
contenido ...................................................................... 921
Formatos de bases de datos admitidas para extracción de
contenido ...................................................................... 921
Otros formatos de archivo admitidos para la extracción de
contenido ...................................................................... 922
Formatos admitidos de la encapsulación para la extracción del
subarchivo .......................................................................... 923
Formatos de archivo admitidos para la extracción de metadatos .......... 924
Acerca de la detección de metadatos del documento ................... 925
Habilitación de la detección de los metadatos del servidor ............ 926
Habilitación de la detección de metadatos del endpoint ................ 926
Mejores prácticas para usar la detección de metadatos ................ 927
Capítulo 37 Biblioteca de identificadores de datos del

sistema .......................................................................... 933
Biblioteca de identificadores de datos del sistema ............................. 938

Número de enrutamiento de ABA ................................................... 938
Amplitud alta del número de ABA ............................................. 939
Amplitud media del número de ABA ......................................... 939
Amplitud baja del número de ABA ............................................ 940
Número de identificación del contribuyente de Argentina .................... 941
Amplitud alta del número de identificación del contribuyente de
Argentina ...................................................................... 942
Amplitud media del número de identificación del contribuyente de
Argentina ...................................................................... 942
Amplitud baja del número de identificación del contribuyente de
Argentina ...................................................................... 943
Número de registro de la empresa australiano .................................. 944
Amplitud alta del número de registro de la empresa
australiano .................................................................... 945
Amplitud media del número de registro de la empresa
australiano .................................................................... 945
Amplitud baja del número de registro de la empresa
australiano .................................................................... 946
Número de Empresa Australiana ................................................... 947
Amplitud alta del Número de Empresa Australiana ...................... 947
Amplitud media del Número de Empresa Australiana ................... 948
Amplitud baja del Número de Empresa Australiana ...................... 948
Número de seguro médico de Australia ........................................... 949
Contenido 28
Amplitud alta del número de seguro médico de Australia .............. 949

Amplitud media del número de seguro médico de Australia ........... 950
Amplitud baja del número de seguro médico de Australia .............. 951
Número de pasaporte australiano .................................................. 952
Amplitud alta del número de pasaporte australiano ...................... 952
Amplitud baja del número de pasaporte australiano ..................... 953
Número de archivo fiscal de Australia ............................................. 954
Amplitud alta del número de archivo fiscal de Australia ................. 954
Amplitud baja del número de archivo fiscal de Australia ................ 955
Número de pasaporte de Austria .................................................... 955
Amplitud alta del número de pasaporte de Austria ....................... 956
Amplitud baja del número de pasaporte de Austria ...................... 956
Número de identificación fiscal de Austria ........................................ 957
Amplitud alta del número de identificación fiscal de Austria ........... 957
Amplitud baja del número de identificación fiscal de Austria ........... 958
Número de la seguridad social de Austria ........................................ 959
Amplitud alta del número de la seguridad social de Austria ............ 959
Amplitud media del número de la seguridad social de
Austria .......................................................................... 960
Amplitud baja del número de la seguridad social de Austria ........... 960
Número nacional de Bélgica ......................................................... 961
Amplitud alta del número nacional de Bélgica ............................ 962
Amplitud media del número nacional de Bélgica .......................... 962
Amplitud baja del número nacional de Bélgica ............................ 963
Número de licencia de conducir de Bélgica ...................................... 963
Amplitud alta del número de licencia de conducir de Bélgica .......... 964
Amplitud baja del número de licencia de conducir de Bélgica ......... 964
Número de pasaporte de Bélgica ................................................... 965
Amplitud alta del número de pasaporte de Bélgica ....................... 966
Amplitud baja del número de pasaporte de Bélgica ...................... 966
Número de identificación fiscal de Bélgica ....................................... 967
Amplitud alta del número de identificación fiscal de Bélgica ........... 967
Amplitud baja del número de identificación fiscal de Bélgica .......... 968
Número de impuesto sobre el valor añadido (IVA) de Bélgica .............. 969
Amplitud alta del número de impuesto sobre el valor añadido (IVA)
de Bélgica ..................................................................... 970
Amplitud media del número de impuesto sobre el valor añadido
(IVA) de Bélgica ............................................................. 970
Amplitud baja del número de impuesto sobre el valor añadido
(IVA) de Bélgica ............................................................. 971
Número de cuenta bancaria de Brasil ............................................. 972
Amplitud alta del número de cuenta bancaria de Brasil ................. 972
Amplitud media del número de cuenta bancaria de Brasil .............. 972
Contenido 29
Amplitud baja del número de cuenta bancaria de Brasil ................ 973

Número de identificación electoral de Brasil ..................................... 974
Amplitud alta del número de identificación electoral de Brasil ......... 975
Amplitud media del número de identificación electoral de
Brasil ........................................................................... 976
Amplitud baja del número de identificación electoral de Brasil
................................................................................... 977
Número de registro nacional de personas jurídicas de Brasil ............... 978
Amplitud alta del número de registro nacional de personas
jurídicas de Brasil ........................................................... 979
Amplitud media del número de registro nacional de personas
Amplitud baja del número de registro nacional de personas
Número de registro de personas físicas de Brasil (CPF) ..................... 981
Amplitud alta del número de registro de personas físicas de
Brasil ........................................................................... 982
Amplitud media del número de registro de personas físicas de
Brasil ........................................................................... 982
Amplitud baja del número de registro de personas físicas de Brasil
................................................................................... 983
Número personal de atención médica de Columbia Británica ............... 984
Amplitud alta del número personal de atención médica de
Columbia Británica ......................................................... 985
Amplitud media del número personal de atención médica de
Columbia Británica .......................................................... 985
Amplitud baja del número personal de atención médica de
Columbia Británica .......................................................... 986
Número civil uniforme búlgaro: EGN ............................................... 986
Amplitud alta del número civil uniforme búlgaro (EGN) ................. 987
Amplitud media del número civil uniforme búlgaro (EGN) .............. 987
Amplitud baja del número civil uniforme búlgaro (EGN) ................ 988
Burgerservicenummer ................................................................. 989
Amplitud alta de Burgerservicenummer ..................................... 990
Amplitud baja de Burgerservicenummer .................................... 990
Número de seguro social de Canadá .............................................. 991
Amplitud alta del número de seguro social de Canadá .................. 991
Amplitud media del número de seguro social de Canadá .............. 992
Amplitud baja del número de seguro social de Canadá ................. 992
Número de identificación nacional de Chile ...................................... 993
Amplitud alta del número de identificación nacional de Chile .......... 994
Amplitud media del número de identificación nacional de
Chile ............................................................................ 994
Contenido 30
Amplitud baja del número de identificación nacional de Chile ......... 995

Número de pasaporte de China ..................................................... 996
Amplitud alta del número del pasaporte de China ........................ 996
Amplitud baja del número del pasaporte de China ....................... 997
Codice Fiscale ........................................................................... 998
Amplitud alta de Codice Fiscale ............................................... 998
Amplitud baja de Codice Fiscale .............................................. 998
Direcciones en Colombia ............................................................. 999
Amplitud alta de las direcciones de Colombia ............................. 999
Amplitud baja de las direcciones de Colombia ........................... 1001
Número de teléfono celular de Colombia ....................................... 1002
Amplitud alta del número de teléfono celular de Colombia ........... 1002
Amplitud baja del número de teléfono celular de Colombia .......... 1004
Número de identificación personal de Colombia .............................. 1005
Amplitud alta del número de identificación personal de
Colombia .................................................................... 1006
Amplitud baja del número de identificación personal de
Colombia .................................................................... 1006
Número de identificación del contribuyente de Colombia ................... 1007
Colombia .................................................................... 1008
Colombia .................................................................... 1008
Datos de banda magnética de tarjetas de crédito ............................. 1009
Número de tarjeta de crédito ...................................................... 1012
Amplitud alta del número de tarjeta de crédito ........................... 1012
Amplitud media del número de tarjeta de crédito ....................... 1013
Amplitud baja del número de tarjeta de crédito .......................... 1017
Número de CUSIP .................................................................... 1021
Amplitud alta del número de CUSIP ........................................ 1021
Amplitud media del número de CUSIP ..................................... 1022
Amplitud baja del número de CUSIP ....................................... 1022
Número de identificación personal de República Checa .................... 1023
Amplitud alta del número de identificación personal de República
Checa ........................................................................ 1024
Amplitud media del número de identificación personal de
República Checa .......................................................... 1024
Amplitud baja del número de identificación personal de República
Checa ........................................................................ 1025
Número de identificación personal de Dinamarca ............................ 1027
Dinamarca ................................................................... 1027
Contenido 31

Dinamarca ................................................................... 1028
Dinamarca ................................................................... 1028
Número de licencia de conducir del estado de California .................. 1029
Amplitud alta del número de licencia de conducir del estado de
California ..................................................................... 1030
Amplitud media del número de licencia de conducir del estado de
California ..................................................................... 1030
Número de licencia de conducir: Estados de Florida, Míchigan y
Minnesota ........................................................................ 1031
Amplitud alta de los números de licencia de conducir de los
estados de Florida, Míchigan y Minnesota .......................... 1031
Amplitud media de los números de licencia de conducir de los
estados de Florida, Míchigan y Minnesota .......................... 1032
Número de licencia de conducir: estado de Illinois ........................... 1033
Amplitud alta del número de licencia de conducir: Estado de
Illinois ......................................................................... 1033
Amplitud media del número de licencia de conducir: estado de
Illinois ......................................................................... 1033
Número de licencia de conducir: estado de Nueva Jersey ................. 1034
Nueva Jersey ............................................................... 1035
Nueva Jersey ............................................................... 1035
Número de licencia de conducir: estado de Nueva York .................... 1036
Nueva York .................................................................. 1036
Nueva York .................................................................. 1036
Número de licencia de conducir: estado de Washington .................... 1037
Amplitud alta del número de licencia de conducir: estado de
Washington ................................................................. 1038
Washington ................................................................. 1038
Amplitud baja del número de licencia de conducir: estado de
Washington ................................................................. 1039
Número de licencia de conducir: estado de Wisconsin ...................... 1040
Wisconsin .................................................................... 1040
Wisconsin .................................................................... 1041
Contenido 32

Wisconsin .................................................................... 1042
Número de la Agencia Antidrogas (DEA) ....................................... 1043
Amplitud alta del número de la Agencia Antidrogas (DEA) ........... 1043
Amplitud media del número de la Agencia Antidrogas (DEA) ........ 1044
Amplitud baja del número de la Agencia Antidrogas (DEA) .......... 1044
Número de identificación personal de Finlandia ............................... 1045
Finlandia ..................................................................... 1046
Finlandia ..................................................................... 1046
Finlandia ..................................................................... 1046
Número de licencia de conducir de Francia .................................... 1047
Amplitud alta del número de licencia de conducir de Francia ........ 1047
Amplitud baja del número de licencia de conducir de
Francia ....................................................................... 1048
Número de seguro de salud de Francia ......................................... 1049
Amplitud alta del número de seguro de salud de Francia ............. 1049
Amplitud baja del número de seguro de salud de Francia ............ 1050
Número de identificación fiscal de Francia ...................................... 1051
Amplitud alta del número de identificación fiscal de Francia ......... 1051
Amplitud baja del número de identificación fiscal de Francia ........ 1051
Número de impuesto sobre el valor añadido (IVA) de Francia ............. 1052
de Francia ................................................................... 1053
(IVA) de Francia ............................................................ 1054
(IVA) de Francia ............................................................ 1054
Código del INSEE de Francia ...................................................... 1055
Amplitud alta del código del INSEE de Francia .......................... 1056
Amplitud baja del código del INSEE de Francia ......................... 1056
Número de pasaporte de Francia ................................................. 1057
Amplitud alta del número de pasaporte de Francia ..................... 1058
Amplitud baja del número de pasaporte de Francia .................... 1058
Número de la seguridad social de Francia ...................................... 1059
Amplitud alta del número de la seguridad social de Francia ......... 1059
Amplitud media del número de la seguridad social francés .......... 1059
Amplitud baja del número de la seguridad social francés ............. 1060
Número de pasaporte alemán ..................................................... 1061
Amplitud alta del número de pasaporte alemán ......................... 1061
Amplitud media del número de pasaporte alemán ...................... 1062
Contenido 33
Amplitud baja del número de pasaporte alemán ........................ 1062

Número de Id. personal de Alemania ............................................ 1063
Amplitud alta del número de Id. personal de Alemania ................ 1063
Amplitud media del número de Id. personal de Alemania ............. 1064
Amplitud baja del número de Id. personal de Alemania ............... 1064
Número de licencia de conducir de Alemania .................................. 1065
Amplitud alta del número de licencia de conducir de
Alemania ..................................................................... 1066
Alemania ..................................................................... 1066
Número de impuesto sobre el valor añadido (IVA) de Alemania .......... 1067
de Alemania ................................................................ 1068
(IVA) de Alemania ......................................................... 1068
(IVA) de Alemania ......................................................... 1069
Número de identificación del contribuyente de Grecia ....................... 1070
Grecia ........................................................................ 1070
Grecia ........................................................................ 1071
Grecia ........................................................................ 1071
Identificación de Hong Kong ........................................................ 1072
Amplitud alta de identificación de Hong Kong ............................ 1073
Amplitud baja de identificación de Hong Kong ........................... 1073
Número de la seguridad social de Hungría ..................................... 1074
Amplitud alta del número de la seguridad social húngaro ............ 1075
Amplitud media del número de la seguridad social húngaro ......... 1075
Amplitud baja del número de la seguridad social húngaro ........... 1076
Número de identificación del contribuyente de Hungría ..................... 1076
Hungría ...................................................................... 1077
Hungría ...................................................................... 1077
Hungría ...................................................................... 1078
Número de IVA húngaro ............................................................. 1079
Amplitud alta del número de IVA húngaro ................................. 1079
Amplitud media del número de IVA húngaro ............................. 1080
Amplitud baja del número de IVA húngaro ................................ 1080
IBAN central ............................................................................ 1081
Contenido 34
Amplitud alta de IBAN central ................................................ 1082

Amplitud baja de IBAN central ............................................... 1084
IBAN oriental ............................................................................ 1085
Amplitud alta de IBAN oriental ............................................... 1086
Amplitud baja de IBAN oriental .............................................. 1089
IBAN occidental ........................................................................ 1092
Amplitud alta de IBAN occidental ............................................ 1092
Amplitud baja de IBAN occidental ........................................... 1094
Número de tarjeta Aadhaar de India .............................................. 1096
Amplitud alta del número de tarjeta de Aadhaar de India ............. 1097
Amplitud media del número de tarjeta de Aadhaar de India .......... 1097
Amplitud baja del número de tarjeta de Aadhaar de India ............ 1098
Número de cuenta permanente de India ........................................ 1099
Amplitud alta del número de cuenta permanente de India ............ 1099
Amplitud baja del número de cuenta permanente de India
(PAN) ......................................................................... 1100
Número de tarjeta de identidad de Indonesia .................................. 1100
Amplitud alta del número de tarjeta de identidad de
Indonesia .................................................................... 1101
Amplitud media del número de tarjeta de identidad de
Indonesia .................................................................... 1101
Amplitud baja del número de tarjeta de identidad de
Indonesia .................................................................... 1102
Número de identidad internacional del equipo móvil ......................... 1103
Amplitud alta del número de identidad internacional del equipo
móvil .......................................................................... 1103
Amplitud media del número de identidad internacional del equipo
móvil .......................................................................... 1104
Amplitud baja del número de identidad internacional del equipo
móvil .......................................................................... 1104
Número de identificación internacional de títulos valores ................... 1105
Amplitud alta del número de identificación internacional de títulos
valores ....................................................................... 1106
Amplitud media del número de identificación internacional de
títulos valores ............................................................... 1106
Amplitud baja del número de identificación internacional de títulos
valores ....................................................................... 1106
Dirección IP ............................................................................. 1107
Amplitud alta de la dirección IP .............................................. 1108
Amplitud media de dirección IP .............................................. 1108
Amplitud baja de dirección IP ................................................ 1109
Dirección IPv6 .......................................................................... 1109
Amplitud alta de la dirección IPv6 ........................................... 1110
Contenido 35
Amplitud media de la dirección IPv6 ........................................ 1110

Amplitud baja de la dirección IPv6 .......................................... 1111
Número personal de servicio público irlandés ................................ 1112
Amplitud alta del número personal de servicio público
irlandés ....................................................................... 1112
Amplitud media del número personal de servicio público
irlandés ....................................................................... 1113
Amplitud baja del número personal de servicio público
irlandés ....................................................................... 1113
Número de identificación personal de Israel .................................... 1114
Amplitud alta del número de identificación personal de Israel ....... 1115
Israel .......................................................................... 1115
Israel .......................................................................... 1116
Número de licencia de conducir de Italia ........................................ 1117
Amplitud alta del número de licencia de conducir de Italia ........... 1117
Amplitud baja del número de licencia de conducir de Italia ........... 1118
Número de seguro de salud de Italia ............................................. 1118
Amplitud alta del número de seguro de salud de Italia ................ 1119
Amplitud baja del número de seguro de salud de Italia ................ 1120
Número de pasaporte de Italia ..................................................... 1121
Amplitud alta del número de pasaporte de Italia ........................ 1121
Amplitud baja del número de pasaporte de Italia ........................ 1121
Número de impuesto sobre el valor añadido (IVA) de Italia ................ 1122
de Italia ....................................................................... 1123
(IVA) de Italia ............................................................... 1123
(IVA) de Italia ............................................................... 1124
Número de pasaporte de Japón ................................................... 1125
Amplitud alta del número de pasaporte de Japón ...................... 1125
Amplitud baja del número de pasaporte de Japón ...................... 1126
Número de identificación de Juki-Net de Japón ............................... 1127
Amplitud alta del número de identificación de Juki-Net de
Japón ......................................................................... 1127
Amplitud media del número de identificación de Juki-Net de
Japón ......................................................................... 1127
Amplitud baja del número de identificación de Juki-Net de
Japón ......................................................................... 1128
Mi número japonés: empresarial .................................................. 1129
Amplitud alta de Mi número japonés: empresarial ...................... 1129
Contenido 36
Amplitud baja de Mi número japonés: empresarial ..................... 1130

Mi número japonés: personal ...................................................... 1131
Amplitud alta de Mi número japonés: personal .......................... 1131
Amplitud media de Mi número japonés: personal ....................... 1131
Amplitud baja de Mi número japonés: personal ......................... 1132
Número de pasaporte de Corea ................................................... 1133
Amplitud alta del número de pasaporte de Corea ....................... 1133
Amplitud baja del número de pasaporte de Corea ...................... 1134
Número de registro de residente de Corea para extranjeros ............... 1134
Amplitud alta del número de registro de residente de Corea para
extranjeros .................................................................. 1135
Amplitud media del número de registro de residente de Corea
para extranjeros ........................................................... 1135
Amplitud baja del número de registro de residente de Corea para
extranjeros .................................................................. 1136
Número de registro de residencia de Corea para coreanos ................ 1137
coreanos ..................................................................... 1138
Amplitud media del número de registro de residente de Corea
para coreanos .............................................................. 1138
coreanos ..................................................................... 1139
Número del Registro Nacional de Personas de Luxemburgo ............. 1140
Amplitud alta del número del Registro Nacional de Personas de
Luxemburgo ................................................................ 1140
Amplitud media del número del Registro Nacional de Personas
de Luxemburgo ............................................................ 1141
Amplitud baja del número del Registro Nacional de Personas de
Luxemburgo ................................................................ 1141
Número MyKad de Malasia (MyKad) ............................................ 1142
Amplitud alta del número MyKad de Malasia (MyKad) ................ 1143
Amplitud media del número MyKad de Malasia (MyKad) ............. 1143
Amplitud baja del número MyKad de Malasia (MyKad) ................ 1144
Número de identificación y registro personal de México .................... 1145
Amplitud alta de número de identificación y registro personal de
México ........................................................................ 1146
Amplitud media de número de identificación y registro personal
de México ................................................................... 1146
Amplitud baja de número de identificación y registro personal de
México ........................................................................ 1147
Número de identificación del contribuyente de México ...................... 1148
México ........................................................................ 1148
Contenido 37

México ........................................................................ 1149
México ........................................................................ 1149
Clave Única de Registro de Población de México ............................ 1150
Amplitud alta de la Clave Única de Registro de Población de
México ........................................................................ 1151
Amplitud media de la Clave Única de Registro de Población de
México ........................................................................ 1151
Amplitud baja de la Clave Única de Registro de Población de
México ........................................................................ 1152
Número de CLABE de México ..................................................... 1152
Amplitud alta del número de CLABE de México ......................... 1153
Amplitud media del número de CLABE de México ..................... 1153
Amplitud baja del número de CLABE de México ........................ 1154
Código Nacional de Fármacos (NDC) ............................................ 1155
Amplitud alta del Código Nacional de Fármacos (NDC) ............... 1155
Amplitud media del Código Nacional de Fármacos (NDC) ........... 1156
Amplitud baja del Código Nacional de Fármacos (NDC) .............. 1156
Identificador de Proveedor Nacional ............................................. 1157
Amplitud alta del número del identificador de proveedor
nacional ...................................................................... 1157
Amplitud media del número del identificador de proveedor
nacional ...................................................................... 1158
Amplitud baja del número del identificador de proveedor
nacional ...................................................................... 1158
Número de licencia de conducir de los Países Bajos ........................ 1159
Amplitud alta del número de licencia de conducir de los Países
Bajos .......................................................................... 1160
Amplitud baja del número de licencia de conducir de los Países
Bajos .......................................................................... 1160
Número de pasaporte de los Países Bajos ..................................... 1161
Amplitud alta del número de pasaporte de los Países Bajos ......... 1161
Amplitud baja del número de pasaporte de los Países Bajos ........ 1162
Número de identificación fiscal de los Países Bajos ......................... 1162
Amplitud alta del número de identificación fiscal de los Países
Bajos .......................................................................... 1163
Amplitud media del número de identificación fiscal de los Países
Bajos .......................................................................... 1164
Amplitud baja del número de identificación fiscal de los Países
Bajos .......................................................................... 1164
Número de impuesto sobre el valor añadido (IVA) de los Países
Bajos ................................................................................ 1166
Contenido 38

de los Países Bajos ....................................................... 1166
(IVA) de los Países Bajos ............................................... 1167
(IVA) de los Países Bajos ............................................... 1167
Número de Índice de Salud Nacional (NHI) de Nueva Zelanda ........... 1168
Amplitud alta del número de Índice de Salud Nacional de Nueva
Zelanda ...................................................................... 1169
Amplitud media del número de Índice de Salud Nacional de Nueva
Zelanda ...................................................................... 1169
New Zealand National Health Index Number narrow breadth ........ 1170
Número de nacimiento noruego .................................................. 1170
Amplitud alta del número de nacimiento noruego ....................... 1171
Amplitud media del número de nacimiento noruego ................... 1171
Amplitud baja del número de nacimiento noruego ...................... 1172
Id. de la República Popular China ................................................. 1173
Amplitud alta de la identificación de la República Popular
China ......................................................................... 1173
Amplitud baja de la identificación de la República Popular
China ......................................................................... 1174
Número de identificación de Polonia ............................................. 1175
Amplitud alta del número de identificación de Polonia ................. 1175
Amplitud media del número de identificación de Polonia ............. 1175
Amplitud baja del número de identificación de Polonia ................ 1176
Número de REGON de Polonia .................................................... 1177
Amplitud alta del número de REGON de Polonia ....................... 1177
Amplitud media del número de REGON de Polonia .................... 1178
Amplitud baja del número de REGON de Polonia ...................... 1179
Número de la seguridad social de Polonia (PESEL) ......................... 1179
Amplitud alta del número de la seguridad social de Polonia
(PESEL) ...................................................................... 1180
Amplitud media del número de la seguridad social de Polonia
(PESEL) ...................................................................... 1180
Amplitud baja del número de la seguridad social de Polonia
(PESEL) ...................................................................... 1181
Número de identificación fiscal de Polonia ...................................... 1182
Amplitud alta del número de identificación fiscal de Polonia ......... 1183
Amplitud media del número de identificación fiscal de
Polonia ....................................................................... 1183
Amplitud baja del número de identificación fiscal de Polonia ........ 1184
Número de la seguridad social (SSN) de los EE. UU. calculado de
forma aleatoria ................................................................... 1185
Contenido 39
Amplitud media del número de la seguridad social (SSN) de los

EE. UU. ordenado aleatoriamente .................................... 1186
Amplitud baja del número de la seguridad social (SSN) de los
EE. UU. ordenado aleatoriamente .................................... 1187
Código personal numérico de Rumania ......................................... 1188
Amplitud alta del código personal numérico de Rumania ............. 1189
Amplitud media del código personal numérico de Rumania ......... 1189
Amplitud baja del código personal numérico de Rumania ............ 1189
Número de identificación de pasaporte ruso ................................... 1190
Amplitud alta del número de identificación de pasaporte
ruso ........................................................................... 1191
Amplitud baja del número de identificación de pasaporte
ruso ........................................................................... 1191
Número de identificación del contribuyente ruso .............................. 1192
Amplitud alta del número de identificación del contribuyente
ruso ........................................................................... 1193
Amplitud media del número de identificación del contribuyente
ruso ........................................................................... 1193
Amplitud baja del número de identificación del contribuyente
ruso ........................................................................... 1194
Identificador de datos de la NRIC de Singapur ................................ 1195
Número de identificación personal de Sudáfrica .............................. 1195
Sudáfrica ..................................................................... 1196
Sudáfrica ..................................................................... 1196
Sudáfrica ..................................................................... 1197
Número de licencia de conducir de España .................................... 1198
Amplitud alta del número de licencia de conducir de España ........ 1198
España ....................................................................... 1200
Número de cuenta de cliente español ........................................... 1201
Amplitud alta del número de cuenta de cliente español ............... 1202
Amplitud media del número de cuenta de cliente español ............ 1202
Amplitud baja del número de cuenta de cliente español .............. 1203
DNI de España ......................................................................... 1204
Amplitud alta del DNI de España ............................................ 1204
Amplitud baja del DNI de España ........................................... 1205
Número de pasaporte de España ................................................. 1206
Amplitud alta del número de pasaporte de España ..................... 1206
Amplitud baja del número de pasaporte de España .................... 1207
Número de la seguridad social de España ..................................... 1208
Contenido 40
Amplitud alta del número de la seguridad social de España ......... 1208

Amplitud media del número de la seguridad social de
España ....................................................................... 1209
Amplitud baja del número de la seguridad social de España ........ 1210
Identificación del contribuyente de España (CIF) ............................. 1210
Amplitud alta de identificación del contribuyente de España
(CIF) .......................................................................... 1211
Amplitud media de identificación del contribuyente de España
(CIF) .......................................................................... 1212
Amplitud baja de identificación del contribuyente de España
(CIF) .......................................................................... 1212
Número de pasaporte de Suecia .................................................. 1213
Amplitud alta del número de pasaporte de Suecia ...................... 1214
Amplitud baja del número de pasaporte de Suecia ..................... 1214
Número de identificación personal de Suecia .................................. 1215
Suecia ........................................................................ 1216
Amplitud media del número de identificación personal de Suecia
................................................................................. 1216
Suecia ........................................................................ 1217
Código SWIFT ......................................................................... 1218
Amplitud alta del código SWIFT ............................................. 1218
Amplitud baja del código SWIFT ............................................ 1219
Número de AHV de Suiza ........................................................... 1220
Amplitud alta del número de AHV de Suiza .............................. 1220
Amplitud baja del número de AHV de Suiza .............................. 1220
Número de la seguridad social de Suiza (AHV) ............................... 1221
Amplitud alta del número de la seguridad social de Suiza
(AHV) ......................................................................... 1222
Amplitud media del número de la seguridad social de Suiza
(AHV) ......................................................................... 1222
Amplitud baja del número de la seguridad social de Suiza
(AHV) ......................................................................... 1223
Id. de la República de China (Taiwán) ........................................... 1224
Amplitud alta del Id. de la República de China (Taiwán) .............. 1225
Amplitud baja del Id. de la República de China (Taiwán) .............. 1225
Número de identificación personal de Tailandia ............................... 1226
Tailandia ..................................................................... 1226
Tailandia ..................................................................... 1227
Contenido 41

Tailandia ..................................................................... 1227
Número de identificación de Turquía ............................................. 1228
Amplitud alta del número de identificación de Turquía ................ 1228
Amplitud media del número de identificación de Turquía ............. 1229
Amplitud baja del número de identificación de Turquía ................ 1229
Número de licencia de conducir del Reino Unido ............................. 1230
Amplitud alta del número de licencia de conducir del Reino
Unido ......................................................................... 1231
Amplitud media del número de licencia de conducir del Reino
Unido ......................................................................... 1231
Amplitud baja del número de licencia de conducir del Reino
Unido ......................................................................... 1232
Número de registro electoral del Reino Unido ................................. 1233
Número de Servicio Nacional de Salud (NHS) del Reino Unido .......... 1234
Amplitud media del número de servicio nacional de salud (NHS)
del Reino Unido ............................................................ 1234
Amplitud baja del número de servicio nacional de salud (NHS)
del Reino Unido ............................................................ 1235
Número de seguro nacional del Reino Unido .................................. 1236
Amplitud alta del número de seguro nacional del Reino
Unido ......................................................................... 1237
Amplitud media del número de seguro nacional del Reino
Unido ......................................................................... 1237
Amplitud baja del número de seguro nacional del Reino
Unido ......................................................................... 1238
Número de pasaporte del Reino Unido .......................................... 1238
Amplitud alta del número de pasaporte del Reino Unido .............. 1239
Amplitud media del número de pasaporte del Reino Unido .......... 1239
Amplitud baja del número de pasaporte del Reino Unido ............. 1240
Número de identificación fiscal del Reino Unido .............................. 1241
Amplitud alta del número de identificación fiscal del Reino
Unido ......................................................................... 1241
Amplitud media del número de identificación fiscal del Reino
Unido ......................................................................... 1242
Amplitud baja del número de identificación fiscal del Reino
Unido ......................................................................... 1242
Pasaporte de Ucrania (nacional) .................................................. 1243
Amplitud alta del pasaporte de Ucrania (nacional) ...................... 1243
Amplitud baja del pasaporte de Ucrania (nacional) ..................... 1244
Tarjeta de identidad de Ucrania .................................................... 1244
Amplitud alta de la tarjeta de identidad de Ucrania ..................... 1245
Amplitud media de la tarjeta de identidad de Ucrania .................. 1245
Contenido 42
Amplitud baja de la tarjeta de identidad de Ucrania .................... 1246

Pasaporte de Ucrania (internacional) ............................................ 1247
Amplitud alta del pasaporte de Ucrania (internacional) ................ 1247
Amplitud baja del pasaporte de Ucrania (internacional) ............... 1247
Número personal de los Emiratos Árabes Unidos (EAU) ................... 1248
Amplitud alta del número personal de los Emiratos Árabes Unidos
................................................................................. 1249
Amplitud media del número personal de los Emiratos Árabes
Unidos ........................................................................ 1249
Amplitud baja del número personal de los Emiratos Árabes
Unidos ........................................................................ 1250
Número de identificación personal del contribuyente (ITIN) de los
EE. UU. ............................................................................ 1250
Amplitud alta del número de identificación personal del
contribuyente (ITIN) de los EE. UU. .................................. 1251
Amplitud media del número de identificación personal del
Amplitud baja del número de identificación personal del
Número del pasaporte de los EE. UU. ........................................... 1253
Amplitud alta del número de pasaporte de EE. UU. .................... 1254
Amplitud baja del número de pasaporte de EE. UU. ................... 1254
Número de la seguridad social (SSN) de los EE. UU. ....................... 1255
Amplitud alta del número de la seguridad social (SSN) de los
EE. UU. ...................................................................... 1256
EE. UU. ...................................................................... 1257
Amplitud baja (SSN) del número de la seguridad social (SSN) de
los EE. UU. .................................................................. 1257
Códigos postales ZIP+4 de los EE. UU. ......................................... 1258
Amplitud alta de los códigos postales ZIP+4 de los EE. UU. ........ 1259
Amplitud media de los códigos postales ZIP+4 de los
EE. UU. ...................................................................... 1259
Amplitud baja de los códigos postales ZIP+4 de los EE. UU. ........ 1260
Número de identificación nacional de Venezuela ............................. 1261
Amplitud alta del número de identificación nacional de
Venezuela ................................................................... 1262
Amplitud media del número de identificación nacional de
Venezuela .................................................................. 1262
Amplitud baja del número de identificación nacional de
Venezuela ................................................................... 1263
Contenido 43
Capítulo 38 Biblioteca de plantillas de políticas ............................. 1265

Plantilla de políticas del informe de Caldicott .................................. 1268
Plantilla de políticas de los números de seguro social de Canadá ....... 1270
Plantilla de políticas de la Ley CAN-SPAM ..................................... 1271
Plantilla de política de Ley 1581 de protección de datos personales
de Colombia ...................................................................... 1272
Plantilla de políticas de sitios comunes de carga de spyware ............. 1273
Plantilla de políticas de las comunicaciones con competidores ........... 1274
Plantilla de políticas de documentos confidenciales .......................... 1274
Plantilla de políticas de los números de tarjeta de crédito .................. 1275
Plantilla de políticas de protección de datos de clientes .................... 1276
Plantilla de la políticas de la Ley de Protección de Datos del año
1998 ................................................................................ 1278
Plantilla de políticas de la protección de datos (UE) ......................... 1280
Plantilla de políticas Clasificación de GENSER del Sistema de
Mensajes de Defensa (DMS) ................................................. 1282
Plantilla de políticas de documentos de diseño ................................ 1284
Plantilla de políticas de la protección de datos de empleados ............. 1285
Plantilla de políticas de datos cifrados ........................................... 1286
Plantilla de políticas de Regulaciones de Administración de
Exportaciones (EAR) ........................................................... 1287
Plantilla de políticas de FACTA 2003 (reglas de alerta) ..................... 1288
Plantilla de políticas de información financiera ................................ 1292
Plantilla de políticas de sitios web prohibidos .................................. 1293
Plantilla de políticas de apuestas .................................................. 1294
Regulación general de protección de datos (sectores bancario y
financiero) ......................................................................... 1295
Regulación general de protección de datos (identidad digital) ............ 1310
Regulación general de protección de datos (identificación
gubernamental) .................................................................. 1311
Regulación general de protección de datos (atención sanitaria y
seguros) ........................................................................... 1330
Regulación general de protección de datos (perfil personal) .............. 1340
Regulación general de protección de datos (viaje) ........................... 1341
Plantilla de políticas de Gramm-Leach-Bliley .................................. 1347
Plantilla de la política HIPAA e HITECH (incluida PHI [del inglés
Protected Health Information: Información Protegida sobre la
Salud]) ............................................................................. 1349
Plantilla de políticas de la Ley de Derechos Humanos del año
1998 ................................................................................ 1355
Plantilla de políticas de drogas ilegales .......................................... 1356
Contenido 44
Plantilla de políticas de números de Identificación Personal del

Contribuyente (ITIN) ............................................................ 1356
Plantilla de políticas de Regulaciones de Tráfico Internacional de Armas
(ITAR) ............................................................................... 1357
Plantilla de políticas Archivos de soportes ...................................... 1358
Plantilla de políticas Acuerdos de fusión y adquisición ...................... 1359
Plantilla de políticas de regla 2711 de NASD y reglas 351 y 472 de
NYSE ............................................................................... 1361
Plantilla de políticas de regla 3010 de NASD y regla 342 de
NYSE ............................................................................... 1362
Plantilla de políticas de Pautas de seguridad para empresas de
electricidad del NERC .......................................................... 1364
Plantilla de políticas Diagramas de red .......................................... 1366
Plantilla de políticas Seguridad de la red ........................................ 1367
Plantilla de políticas Vocabulario ofensivo ...................................... 1367
Plantilla de políticas de la Oficina de Control de Activos Internacionales
(OFAC) ............................................................................. 1368
Plantilla de políticas de Regulaciones FIPS 199 y Memorándum 06-16
de la OMB ......................................................................... 1370
Plantilla de políticas Archivos de contraseña ................................... 1371
Plantilla de políticas Estándar de Seguridad de los Datos para la
Industria de Pagos con Tarjeta de Crédito (PCI) ........................ 1372
Plantilla de políticas PIPEDA ....................................................... 1373
Plantilla de políticas Información sobre precios ............................... 1375
Plantilla de políticas Datos de proyectos ........................................ 1376
Plantilla de políticas Archivos de soportes propietarios ..................... 1376
Plantilla de políticas Documentos de publicación ............................. 1377
Plantilla de políticas Vocabulario racista ......................................... 1378
Plantilla de políticas Archivos restringidos ...................................... 1378
Plantilla de políticas Destinatarios restringidos ................................ 1379
Plantilla de políticas Currículum vítae ............................................ 1379
Plantilla de políticas Sarbanes-Oxley ............................................ 1380
Plantilla de políticas Regulación de divulgación equitativa de la
SEC ................................................................................. 1383
Plantilla de políticas Vocabulario sexualmente explícito ..................... 1385
Plantilla de políticas Código fuente ............................................... 1385
Plantilla de la política Leyes estaduales de privacidad de datos .......... 1386
Plantilla de políticas Códigos SWIFT ............................................. 1391
Plantilla de políticas Symantec DLP Awareness and Avoidance .......... 1392
Plantilla de políticas de números de licencia de conducir del Reino
Unido ............................................................................... 1392
Plantilla de políticas Números de registro electoral del Reino
Unido ............................................................................... 1393
Contenido 45
Plantilla de políticas de número de servicio nacional de salud (NHS)

del Reino Unido .................................................................. 1393
Plantilla de políticas Números de seguro nacional del Reino
Unido ............................................................................... 1394
Plantilla de políticas Números de pasaporte del Reino Unido ............. 1394
Plantilla de políticas Números de identificación fiscal del Reino
Unido ............................................................................... 1395
Plantilla de políticas Marcaciones de control de inteligencia de los EE.
UU. (CAPCO) y DCID 1/7 ..................................................... 1395
Plantilla de políticas de números de la seguridad social de los EE.
UU. .................................................................................. 1396
Plantilla de políticas de violencia y armas ....................................... 1397
Plantilla de políticas Correo web .................................................. 1397
Plantilla de políticas Actividad en paneles de mensajes de
Yahoo! .............................................................................. 1398
Plantilla de políticas Mensajería Yahoo! y MSN en el puerto 80 .......... 1400
Sección 5 Configuración de las reglas de respuesta

de políticas ............................................................. 1403
Capítulo 39 Responder a infracciones de políticas ........................ 1404
Acerca de las reglas de respuesta ................................................ 1405
Acerca de las acciones de regla de respuesta ................................ 1405
Acciones de la regla de respuesta para todos los servidores de
detección .......................................................................... 1406
Acciones de la regla de respuesta para la detección de
endpoints .......................................................................... 1408
Acciones de la regla de respuesta para la detección de Network
Prevent ............................................................................. 1408
Acciones de la regla de respuesta para la detección de Network
Protect .............................................................................. 1409
Acciones de la regla de respuesta para la detección del
almacenamiento en la nube .................................................. 1410
Acciones de regla de respuesta para detectores de appliances de API
y aplicaciones de nube ......................................................... 1411
Acerca de los tipos de ejecución de regla de respuesta .................... 1417
Acerca de las reglas de respuesta automática ................................ 1417
Acerca de reglas de respuesta inteligentes .................................... 1418
Acerca de las condiciones de regla de respuesta ............................ 1419
Acerca de la prioridad de ejecución de la acción de regla de
respuesta .......................................................................... 1420
Contenido 46
Acerca de los privilegios de autoría de reglas de respuesta ............... 1424

Implementación de reglas de respuesta ......................................... 1425
Prácticas recomendadas de regla de respuesta .............................. 1426
Capítulo 40 Cómo configurar y administrar reglas de

respuesta ..................................................................... 1429
Administración de reglas de respuesta .......................................... 1429
Agregue una nueva regla de respuesta ......................................... 1431
Configuración de reglas de respuesta ........................................... 1431
Acerca de configurar reglas de respuesta inteligentes ...................... 1432
Configuración de condiciones de regla de respuesta ........................ 1433
Configuración de acciones de regla de respuesta ............................ 1434
Modificación del orden de reglas de respuesta ................................ 1438
Acerca de la eliminación de reglas de respuesta ............................. 1439
Capítulo 41 Condiciones de reglas de respuesta ............................ 1440

Cómo configurar la condición de respuesta de ubicación de
endpoint ............................................................................ 1440
Cómo configurar la condición de respuesta de un dispositivo
endpoint ............................................................................ 1441
Cómo configurar la condición de respuesta Tipo de incidente ............. 1442
Cómo configurar la condición de respuesta de cantidad de
coincidencias de incidentes ................................................... 1443
Cómo configurar la condición de respuesta de supervisión de endpoint
o protocolo ........................................................................ 1445
Cómo la condición de respuesta Gravedad .................................... 1447
Capítulo 42 Acciones de la regla de respuesta ................................ 1449

Configuración de la acción Agregar nota ........................................ 1451
Configuración de la acción Limitar retención de datos de
incidentes .......................................................................... 1452
Retención de datos para incidentes de endpoint ........................ 1452
Desecho de datos para incidentes de red ................................ 1453
Configuración de la acción Iniciar sesión en un servidor Syslog .......... 1454
Configuración de la acción Enviar notificación por correo
electrónico ......................................................................... 1456
Cómo configurar la acción de Server FlexResponse ......................... 1458
Configuración de la acción Establecer atributos ............................... 1459
Configuración de la acción Definir estado ....................................... 1460
Configuración de la acción de respuesta Clasificar contenido de
Enterprise Vault .................................................................. 1461
Contenido 47
Configuración de categorías de retención que están disponibles

para la clasificación ....................................................... 1464
Configurar la acción Almacenamiento en la nube: Agregar etiqueta
visual ............................................................................... 1466
Configuración de la acción de almacenamiento en la nube:
cuarentena ........................................................................ 1467
Configuración de la acción de respuesta inteligente Poner en
cuarentena ........................................................................ 1468
Configuración de la acción de respuesta inteligente Restaurar
archivo ............................................................................. 1469
Configuración de la acción Romper vínculos de datos en reposo ........ 1470
Configuración de Acción personalizada sobre datos en reposo .......... 1471
Configuración de la acción Eliminar datos en reposo ........................ 1472
Configuración de la acción Cifrar datos en reposo ........................... 1472
Configuración de la acción Ejecutar DRM sobre datos en reposo ........ 1473
Configuración de la acción Poner en cuarentena datos en
reposo .............................................................................. 1474
Configuración de la acción Etiquetar datos en reposo ....................... 1474
Configuración de la acción Evitar descarga, copia e impresión ........... 1475
Configuración de la acción Eliminar acceso de colaborador ............... 1476
Configuración de la acción Configurar acceso de colaborador en
Edición ............................................................................. 1477
Configuración de la acción Configurar acceso de colaborador en Vista
previa ............................................................................... 1477
Configuración de la acción Configurar acceso de colaborador en
Lectura ............................................................................. 1478
Configuración de la acción Configurar acceso de archivo en Todo
leído ................................................................................. 1479
Configuración de la acción Configurar acceso a archivo en Edición
interna .............................................................................. 1479
Configuración de la acción Configurar acceso a archivo en Lectura
interna .............................................................................. 1480
Configuración de la acción Agregar autenticación de dos
factores ............................................................................. 1481
Configuración de la acción Bloquear datos en movimiento ................ 1481
Configuración de Acción personalizada sobre datos en
movimiento ........................................................................ 1482
Configuración de la acción Cifrar datos en movimiento ..................... 1483
Configuración de la acción Ejecutar DRM sobre datos en
movimiento ........................................................................ 1484
Configuración de la acción Poner en cuarentena datos en
movimiento ........................................................................ 1485
Configuración de la acción Ocultar datos en movimiento ................... 1486
Contenido 48
Configurar la acción de Endpoint: FlexResponse ............................. 1486

Configurar la acción Endpoint Discover: Archivo en cuarentena .......... 1488
Configuración de la acción Endpoint Prevent: Bloquear .................... 1490
Configuración de la acción Endpoint Prevent: Cifrar ......................... 1493
Configuración de la acción Endpoint Prevent: Notificar ..................... 1497
Configuración de la acción Endpoint Prevent: Cancelado por el
usuario ............................................................................. 1500
Cómo configurar la acción Network Prevent for Web: Bloquear solicitud
de FTP ............................................................................. 1504
Cómo configurar la acción Network Prevent for Web: Bloquear
HTTP/S ............................................................................. 1504
Configuración de la acción Network Prevent: Bloquear mensaje
SMTP ............................................................................... 1506
Configuración de la acción Network Prevent: Modificar mensaje
SMTP ............................................................................... 1507
Cómo configurar la acción Network Prevent for Web: Eliminar contenido
HTTP/S ............................................................................. 1508
Configuración de la acción Network Protect: Copiar archivo ............... 1510
Configuración de la acción Network Protect: Archivo en
cuarentena ........................................................................ 1511
Configuración de Network Protect: acción Cifrar archivo ................... 1512
Sección 6 Cómo reparar y administrar

incidentes ............................................................... 1514
Capítulo 43 Cómo reparar incidentes ................................................ 1515
Acerca de la reparación de incidentes ........................................... 1515
Cómo reparar incidentes ............................................................ 1518
Cómo ejecutar reglas de respuesta inteligentes .............................. 1519
Comandos de acción de reparación de incidentes ........................... 1520
Variables de acción de respuesta ................................................. 1522
Variables generales de incidentes .......................................... 1522
Variables de incidentes de Network Monitor y Network
Prevent ....................................................................... 1523
Variables de incidentes de Discover ........................................ 1523
Variables de incidente de endpoint ......................................... 1524
Variables del incidente del conector en la nube ......................... 1525
Capítulo 44 Cómo reparar incidentes de Network .......................... 1526

Lista de incidentes de red ........................................................... 1526
Lista de incidentes de red - Acciones ............................................ 1530
Contenido 49
Lista de incidentes de red - Columnas ........................................... 1531

Instantánea de incidente de Network ............................................. 1533
Instantánea de incidente de Network - Título y navegación ................ 1533
Instantánea de incidente de Network: información general ................. 1534
Instantánea de incidente de Network - Coincidencias ....................... 1537
Instantánea de incidente de Network - Atributos .............................. 1538
Informe de resumen de red ......................................................... 1539
Capítulo 45 Cómo reparar incidentes de Endpoint ........................ 1541

Acerca de las listas del incidente de endpoint ................................. 1541
Instantánea de incidente de endpoint ............................................ 1544
Cómo informar sobre reglas de respuesta de Endpoint Prevent .......... 1550
Información específica de protocolo o destino de incidentes de
endpoint ............................................................................ 1551
Informes de resumen de incidentes de endpoint .............................. 1553
Capítulo 46 Cómo reparar incidentes de Discover ......................... 1556

Acerca de los informes para Network Discover ................................ 1556
Acerca de los informes de incidentes para Network Discover/Cloud
Storage Discover ................................................................ 1558
Informes de incidentes de detección ............................................. 1559
Listas de incidentes de Discover .................................................. 1560
Acciones de incidentes de Discover .............................................. 1560
Entradas de incidentes de Discover .............................................. 1561
Instantánea de incidente de Discover ............................................ 1564
Informes de resumen de Discover ................................................ 1567
Capítulo 47 Utilización de incidentes del conector de nube ........ 1569

Acerca de los informes de incidentes de aplicaciones ....................... 1569
Lista de incidentes de la aplicación ............................................... 1571
Entradas de incidentes de aplicaciones ......................................... 1571
Acciones de incidentes de aplicaciones ......................................... 1573
Instantánea de incidente de aplicaciones ....................................... 1574
Informes de resumen de aplicaciones ........................................... 1579
Capítulo 48 Cómo administrar e informar incidentes .................... 1580

Acerca de los informes de Symantec Data Loss Prevention ............... 1582
Acerca de las estrategias para usar informes .................................. 1584
Cómo configurar preferencias del informe ...................................... 1585
Acerca de los informes sobre incidentes ........................................ 1585
Contenido 50
Acerca de informes y resúmenes ejecutivos del panel de

información ........................................................................ 1587
Cómo ver paneles de información ................................................ 1589
Cómo crear informes de panel de información ................................ 1589
Configurar informes de consola ................................................... 1591
Elegir informes para incluir en un panel de información ..................... 1593
Acerca de los informes resumidos ................................................ 1593
Cómo ver informes de resumen ................................................... 1594
Cómo crear informes de resumen ................................................. 1594
Visualizar incidentes .................................................................. 1595
Acerca de informes y paneles de información personalizados ............ 1597
Cómo usar IT Analytics para administrar incidentes ......................... 1599
Cómo filtrar informes ................................................................. 1599
Cómo guardar Informes de incidentes personalizados ...................... 1600
Programación de informes de incidente personalizados .................... 1601
Opciones de programación de entrega para informes de incidentes y
de sistema ......................................................................... 1604
Opciones de programación de entrega para informes de consola ....... 1607
Cómo usar el widget de la fecha para programar informes ................. 1609
Cómo editar los paneles de información y los informes
personalizados ................................................................... 1610
Exportación de informes de incidentes .......................................... 1610
Campos exportados para Network Monitor ..................................... 1611
Campos exportados para Network Discover/Cloud Storage
Discover ........................................................................... 1612
Campos exportados para Endpoint Discover .................................. 1613
Cómo eliminar incidentes ............................................................ 1615
Acerca del proceso de eliminación de incidentes ....................... 1616
Configurar la programación de trabajos de eliminación de
incidentes .................................................................... 1617
Iniciar y detener trabajos de eliminación de incidentes ................ 1618
Trabajar con el historial de trabajos de eliminación .................... 1619
Cómo eliminar los paneles de información y los informes
personalizados ................................................................... 1620
Funciones comunes del informe de incidentes ................................ 1620
Navegación de página en informes de incidente .............................. 1621
Opciones de resumen y filtro de informes de incidentes .................... 1622
Envío de informes sobre incidentes por correo electrónico ................. 1623
Informes de incidentes de impresión ............................................. 1624
Ficha de historial de instantánea de incidente ................................. 1624
Sección de atributos de instantáneas de incidente ........................... 1625
Ficha de correlaciones de instantánea de incidente ......................... 1625
Sección de política de instantánea de incidente .............................. 1626
Contenido 51
Sección de coincidencias de instantánea de incidente ...................... 1626

Sección de información de acceso a instantánea de incidente ............ 1627
Cómo personalizar las páginas de instantánea de incidente .............. 1628
Acerca de los filtros y las opciones de resumen para los informes ....... 1628
Filtros generales para informes .................................................... 1630
Opciones de resumen para los informes de incidentes ..................... 1634
Opciones de filtros avanzados para informes .................................. 1639
Capítulo 49 Ocultar los incidentes ..................................................... 1648

Acerca de ocultar el incidente ...................................................... 1648
Ocultar los incidentes ................................................................ 1649
Mostrar incidentes ocultos .......................................................... 1650
Evitar que los incidentes estén ocultos .......................................... 1650
Eliminar los incidentes ocultos ..................................................... 1651
Capítulo 50 Cómo trabajar con datos de incidente ........................ 1653

Acerca de atributos del estado del incidente ................................... 1653
Configuración de atributos y valores del estado ............................... 1655
Configurar grupos de estado ....................................................... 1656
Exportar archivo de almacenamiento web ...................................... 1658
Exportar archivo de almacenamiento web - Crear archivo de
almacenamiento ................................................................. 1659
Exportar archivo de almacenamiento web - Todos los eventos
recientes ........................................................................... 1661
Acerca de los atributos personalizados .......................................... 1661
Acerca de cómo lugar atributos personalizados ............................... 1663
Cómo se completan los atributos personalizados ............................ 1664
Cómo configurar atributos personalizados ...................................... 1664
Configuración de atributos personalizados ..................................... 1665
Cómo configurar los valores de atributos personalizados
manualmente ..................................................................... 1666
Capítulo 51 Trabajar con riesgos de los usuarios .......................... 1667
Acerca del riesgo del usuario ...................................................... 1667

Acerca de los orígenes de datos del usuario ................................... 1669
Definición de atributos personalizados para datos del
usuario ....................................................................... 1671
Ingreso de datos del usuario ................................................. 1672
Acerca de la identificación de usuarios en incidentes web ................. 1677
Habilitación de la identificación del usuario y la configuración de
la programación de la asignación ..................................... 1678
Contenido 52
Comprobación del estado de los controladores de dominio .......... 1680

Ver lista de usuarios .................................................................. 1680
Vista de detalles del usuario ........................................................ 1681
Trabajo con el resumen de riesgo de usuario .................................. 1681
Capítulo 52 Implementación de complementos de

búsqueda ..................................................................... 1683
Acerca de los complementos de búsqueda .................................... 1683
Tipos de complemento de búsqueda ....................................... 1684
Acerca de los parámetros de búsqueda ................................... 1687
Acerca de la implementación de complementos ........................ 1689
Acerca del encadenamiento de complementos ......................... 1689
Acerca de la actualización de complementos de búsqueda .......... 1690
Implementación y prueba de los complementos de búsqueda ............ 1690
Administración y configuración de complementos de
búsqueda .................................................................... 1692
Creación de complementos de búsqueda nuevos ...................... 1694
Seleccionar los parámetros de búsqueda ................................. 1695
Habilitación de complementos de búsqueda ............................. 1700
Encadenamiento de complementos de búsqueda ...................... 1701
Recargar complementos de búsqueda .................................... 1701
Solución de problemas de complementos de búsqueda .............. 1702
Configurar el registro detallado para los complementos de
búsqueda .................................................................... 1703
Cómo configurar las propiedades avanzadas de
complementos .............................................................. 1704
Configuración del complemento de búsqueda de CSV ...................... 1706
Requisitos para crear el archivo CSV ...................................... 1708
Cómo especificar la ruta del archivo CSV ................................. 1709
Cómo elegir el delimitador del archivo CSV .............................. 1709
Cómo seleccionar el conjunto de caracteres del archivo
CSV ........................................................................... 1710
Cómo asignar atributos y claves del parámetro a campos
CSV ........................................................................... 1710
Ejemplo de la asignación de atributos CSV .............................. 1711
Probar y solucionar problemas del complemento de búsqueda de
CSV .......................................................................... 1713
Tutorial del complemento de búsqueda de CSV ........................ 1714
Configuración de los complementos de búsqueda de LDAP .............. 1717
Requisitos para conexiones de servidor LDAP .......................... 1717
Cómo asignar atributos a los datos de LDAP ............................ 1718
Ejemplos de asignación de atributos para LDAP ........................ 1719
Contenido 53
Cómo probar y solucionar problemas de complementos de

búsqueda de LDAP ....................................................... 1720
Tutorial del complemento de búsqueda de LDAP ....................... 1721
Configuración de complementos de búsqueda de script .................... 1722
Cómo escribir scripts para complementos de búsqueda de
script .......................................................................... 1723
Especificar el comando de script ............................................ 1724
Especificar los argumentos ................................................... 1725
Habilitar las opciones stdin y stdout ........................................ 1725
Cómo habilitar el filtrado de protocolo de incidente para
scripts ......................................................................... 1726
Habilitación y cifrado de credenciales de script .......................... 1727
Encadenar varios complementos de búsqueda de script ............. 1729
Tutorial del complemento de búsqueda de script ....................... 1730
Script de ejemplo ................................................................ 1731
Cómo configurar complementos de búsqueda personalizados (versión
anterior) ............................................................................ 1734
Sección 7 Cómo supervisar y evitar pérdida de datos

en la red ................................................................... 1736
Capítulo 53 Cómo implementar Network Monitor .......................... 1737
Cómo implementar Network Monitor ............................................. 1737
Acerca de la compatibilidad con IPv6 para supervisión de red ............ 1740
Elegir un método de captura del paquete de red .............................. 1741
Acerca de la instalación y la configuración del software de captura de
paquetes ........................................................................... 1742
Instalación de WinPcap en una plataforma de Windows .............. 1742
Cómo actualizar el controlador de la tarjeta de Endace ............... 1743
Instalación y actualización del software del controlador y el
adaptador de red Napatech ............................................. 1743
Configurar el servidor de Network Monitor ...................................... 1744
Habilitar el proceso GET con Network Monitor ................................ 1746
Crear una política para Network Monitor ........................................ 1747
Probar Network Monitor .............................................................. 1748
Capítulo 54 Cómo implementar Network Prevent for Email ......... 1750

Cómo implementar Network Prevent for Email ................................ 1750
Acerca de la integración del Agente de transferencia de correo
(MTA) ............................................................................... 1752
Contenido 54
Configurar Network Prevent for Email Server para el modo de reflejo

o reenvío ........................................................................... 1753
Configuración de tablas de IP de Linux para volver a enrutar el
tráfico de un puerto restringido ......................................... 1758
Cómo especificar uno o más agentes de transferencia de correo
ascendentes (MTA) ............................................................. 1759
Crear una política para Network Prevent for Email ........................... 1760
Acerca de los encabezados de datos de infracción de políticas .......... 1761
Cómo habilitar los encabezados de datos de infracción de
políticas ............................................................................ 1762
Probar Network Prevent for Email ................................................. 1763
Capítulo 55 Cómo implementar Network Prevent for Web ........... 1764

Cómo implementar Network Prevent for Web .................................. 1764
Configurar Network Prevent for Web Server ................................... 1766
Acerca de la configuración del servidor proxy ................................. 1769
Cómo configurar los servicios de modo de solicitud y
respuesta .................................................................... 1770
Cómo especificar uno o más servidores proxy ................................ 1771
Habilitar el proceso GET para Network Prevent for Web ................... 1772
Crear las políticas para Network Prevent for Web ............................ 1773
Probar Network Prevent for Web .................................................. 1774
Información sobre solución de problemas para Network Prevent for
Web Server ....................................................................... 1775
Sección 8 Cómo detectar dónde se almacenan los

datos confidenciales ........................................ 1776
Capítulo 56 Acerca de Network Discover ......................................... 1778
Acerca de Network Discover/Cloud Storage Discover ....................... 1778

Cómo funciona Network Discover/Cloud Storage Discover ................ 1780
Capítulo 57 Cómo configurar Network Discover ............................. 1782

Instalar y configurar Network Discover/Cloud Storage Discover .......... 1782
Modificar la configuración del servidor Network Discover/Cloud Storage
Discover ........................................................................... 1783
Agregar un nuevo destino de Network Discover/Cloud Storage
Discover ........................................................................... 1785
Editar un destino de Network Discover/Cloud Storage Discover
existente ........................................................................... 1788
Contenido 55
Capítulo 58 Opciones de configuración de destinos del análisis

de Network Discover ................................................. 1789
Opciones de configuración de destino de análisis de Network
Discover/Cloud Storage Discover ........................................... 1790
Cómo configurar los campos necesarios para los destinos de Network
Discover ........................................................................... 1792
Programar los análisis de Network Discover/Cloud Storage
Discover ........................................................................... 1793
Cómo proporcionar la autenticación de contraseña para el contenido
analizado de Network Discover .............................................. 1796
Administrar las autorizaciones del almacenamiento en la nube ........... 1797
Proporcionar las credenciales de la autorización de
almacenamiento en la nube de Box .................................. 1799
Cómo cifrar contraseñas en archivos de configuración ..................... 1801
Cómo configurar los filtros de Network Discover/Cloud Storage
Discover para incluir o excluir elementos en el análisis ............... 1802
Cómo filtrar los destinos de Discover por tamaño del elemento .......... 1805
Cómo filtrar los destinos de Discover por la última fecha de acceso o
modificación ...................................................................... 1806
Optimización de recursos con la restricción de análisis de Network
Discover/Cloud Storage Discover ........................................... 1809
Cómo crear un inventario de las ubicaciones de datos confidenciales
sin protección ..................................................................... 1811
Capítulo 59 Cómo administrar análisis de destinos de Network

Discover ....................................................................... 1814
Administrar análisis de destinos de Network Discover/Cloud Storage

Discover ........................................................................... 1815
Administrar destinos de Network Discover/Cloud Storage
Discover ........................................................................... 1815
Acera de la lista de destinos de análisis de Network
Discover/Cloud Storage Discover ..................................... 1816
Utilización de destinos de análisis de Network Discover/Cloud
Storage Discover .......................................................... 1817
Quitar destinos de análisis de Network Discover/Cloud Storage
Discover ..................................................................... 1818
Administrar historiales de análisis de Network Discover/Cloud Storage
Discover ........................................................................... 1818
Acerca de los historiales de análisis de Network Discover/Cloud
Contenido 56
Utilización de historiales de análisis de Network Discover/Cloud

Eliminar análisis de Network Discover/Cloud Storage
Discover ..................................................................... 1822
Acerca de los detalles de los análisis de Network Discover/Cloud
Utilización de detalles de análisis de Network Discover/Cloud
Cómo solucionar problemas en los análisis de cuadrícula ........... 1826
Administrar servidores Network Discover/Cloud Storage
Discover ........................................................................... 1828
Visualización de estado del servidor Network Discover/Cloud
Acerca de la optimización del análisis de Network Discover/Cloud
Acerca de la diferencia entre los análisis incrementales y los análisis
diferenciales ...................................................................... 1833
Acerca de los análisis incrementales ............................................. 1834
Cómo analizar elementos nuevos o modificados con análisis
incrementales .................................................................... 1835
Acerca de administrar los análisis incrementales ............................. 1836
Cómo analizar los elementos nuevos o modificados con los análisis
diferenciales ...................................................................... 1837
Configurar el análisis paralelo de destinos de Network Discover/Cloud
Capítulo 60 Cómo usar complementos de Server FlexResponse

para reparar incidentes ............................................ 1841
Acerca de la plataforma de Server FlexResponse ............................ 1841
Uso de complementos personalizados de Server FlexResponse para
reparar incidentes ............................................................... 1843
Implementación de un complemento de Server FlexResponse ........... 1844
Cómo agregar un complemento de Server FlexResponse al
archivo de propiedades de los complementos ..................... 1845
Cómo crear un archivo de propiedades para configurar un
complemento de Server FlexResponse ............................. 1847
Localización de incidentes para reparación manual .......................... 1850
Cómo usar la acción de un complemento de Server FlexResponse
para reparar un incidente manualmente ................................... 1851
Cómo verificar los resultados de una acción de respuesta ante
incidentes .......................................................................... 1853
Contenido 57
Cómo solucionar problemas en un complemento de Server

FlexResponse .................................................................... 1854
Capítulo 61 Cómo configurar análisis del almacenamiento en

la nube de Box usando un servidor de detección
en las instalaciones ................................................... 1856
Configurar los análisis de los destinos de almacenamiento en la nube
de Box usando un servidor de detección en las
instalaciones ...................................................................... 1856
Configurar los análisis de los destinos de almacenamiento en la nube
de Box .............................................................................. 1857
Optimizar el análisis de almacenamiento en la nube de Box .............. 1861
Configuración de las opciones de reparación para los destinos de
almacenamiento en la nube de Box ........................................ 1861
Capítulo 62 Cómo configurar análisis de archivos

compartidos ................................................................ 1864
Cómo configurar análisis de servidor de sistemas de archivos ............ 1864
Destinos admitidos de sistema de archivos .................................... 1866
Detección automática de servidores y recursos compartidos antes de
la configuración de un destino del sistema de archivos ............... 1866
Trabajo con el análisis de Enumeración de raíz de
contenido .................................................................... 1867
Solución de problemas de análisis de Enumeración de raíz de
contenido .................................................................... 1870
Detección automatizada de archivos compartidos abiertos ................ 1871
Acerca de realizar un seguimiento de forma automática del estado de
la reparación de incidentes ................................................... 1872
Solucionar problemas de seguimiento automatizado de la
reparación de incidentes ................................................ 1873
Opciones de configuración para el seguimiento automatizado de
reparación de incidentes ................................................ 1874
Exclusión de carpetas internas de DFS ......................................... 1879
Cómo configurar análisis de las carpetas personales de Microsoft
Outlook (archivos .pst) ......................................................... 1879
Configurar los análisis de los sistemas de archivos .......................... 1880
Optimizar el análisis de destino del sistema de archivos .................... 1886
Configuración de Network Protect para archivos compartidos ............ 1887
Contenido 58
Capítulo 63 Cómo configurar análisis de las bases de datos de

Lotus Notes ................................................................. 1891
Configuración de análisis de servidores de bases de datos de IBM
(Lotus) Notes ..................................................................... 1891
Destinos admitidos de IBM (Lotus) Notes ....................................... 1892
Configuración y ejecución de análisis de IBM (Lotus) Notes ............... 1893
Configuración de opciones de análisis del modo DIIOP de IBM (Lotus)
Notes ............................................................................... 1896
Capítulo 64 Cómo configurar análisis de bases de datos

SQL ................................................................................ 1898
Cómo configurar análisis de servidor de bases de datos SQL ............ 1898
Destinos admitidos de la base de datos SQL .................................. 1899
Cómo configurar y ejecutar la base de datos SQL ............................ 1900
Cómo instalar el controlador JDBC para los destinos de la base de
datos SQL ......................................................................... 1904
Propiedades de la configuración del análisis de la base de datos
SQL ................................................................................. 1905
Capítulo 65 Cómo configurar análisis de los servidores de

SharePoint ................................................................... 1908
Cómo configurar análisis de servidores de SharePoint ...................... 1908
Acerca del análisis de los servidores de SharePoint ......................... 1910
Destinos admitidos del servidor de SharePoint ................................ 1911
Privilegios de acceso para los análisis de SharePoint ....................... 1912
Acerca de las recopilaciones de la asignación de acceso
alternativo ......................................................................... 1912
Cómo configurar y ejecutar análisis del servidor de SharePoint .......... 1912
Cómo instalar la solución de SharePoint en los clientes web en un
conjunto ............................................................................ 1918
Cómo habilitar el análisis de SharePoint sin instalar la solución de
SharePoint ........................................................................ 1920
Cómo configurar los análisis de SharePoint para usar la autenticación
de Kerberos ....................................................................... 1921
Solución de problemas de análisis de SharePoint ............................ 1922
Contenido 59
Capítulo 66 Cómo configurar análisis de los servidores de

Exchange ..................................................................... 1925
Cómo configurar análisis de servidores de repositorios de

Exchange .......................................................................... 1925
Acerca de los análisis de servidores Exchange ............................... 1926
Destinos admitidos del servidor de Exchange ................................. 1927
Configurar los análisis de Exchange Server ................................... 1928
Configuración de análisis de Exchange para usar la autenticación de
Kerberos ........................................................................... 1933
Configuración y casos de uso de ejemplo para análisis de Exchange
....................................................................................... 1934
Cómo solucionar problemas en los análisis de Exchange ................. 1935
Capítulo 67 Acerca de analizadores de Network Discover ............ 1937

Cómo configurar el análisis de los servidores de Microsoft Exchange
....................................................................................... 1937
Cómo funcionan los analizadores de Network Discover .................... 1939
Solución de problemas de analizadores ......................................... 1939
Procesos del analizador ............................................................. 1941
Estructura del directorio de instalación del analizador ....................... 1942
Archivos de configuración del analizador ....................................... 1944
Opciones de configuración del controlador del analizador ................. 1945
Capítulo 68 Cómo configurar el análisis de sistemas de

archivos ........................................................................ 1947
Cómo configurar el análisis remoto de sistemas de archivos .............. 1948
Destinos admitidos del analizador de sistemas de archivos ............... 1949
Instalación de analizadores del sistema de archivos ......................... 1950
Cómo iniciar el análisis del sistema de archivos .............................. 1952
Instalación silenciosa de analizadores del sistema de archivos desde
la línea de comandos ........................................................... 1954
Opciones de configuración para los analizadores del sistema de
archivos ............................................................................ 1955
Opciones de configuración para el análisis de cuadrícula ............ 1956
Configuración de ejemplo para analizar la unidad C en un equipo
Windows ........................................................................... 1957
Ejemplo de configuración para analizar el directorio /usr en UNIX
....................................................................................... 1958
Ejemplo de configuración para análisis con filtros de inclusión ............ 1958
Ejemplo de configuración para análisis con filtros de exclusión ........... 1959
Contenido 60
Ejemplo de configuración para análisis con filtros de inclusión y

exclusión .......................................................................... 1959
Ejemplo de configuración para analizar con filtrado de fecha ............. 1960
Ejemplo de configuración para análisis con filtrado de tamaño de
archivo ............................................................................. 1960
Ejemplo de configuración para análisis con omisión de vínculos
simbólicos en sistemas Unix .................................................. 1961
Capítulo 69 Cómo configurar el análisis de servidores web ......... 1962

Cómo configurar el análisis remoto de servidores web ...................... 1962
Destinos admitidos del servidor web (analizador) ............................. 1964
Cómo instalar analizadores de servidor web ................................... 1964
Cómo iniciar el análisis de servidor web ......................................... 1966
Opciones de configuración para los analizadores del servidor
web .................................................................................. 1967
Configuración de ejemplo para un análisis del sitio web sin
autenticación ..................................................................... 1971
Configuración de ejemplo para un análisis del sitio web con
autenticación básica ............................................................ 1971
Configuración del ejemplo para un análisis de sitio web con la
autenticación basada en forma .............................................. 1972
Configuración de ejemplo para un análisis del sitio web con
NTLM ............................................................................... 1972
Ejemplo de filtrado de URL para un análisis de sitio web ................... 1973
Ejemplo de filtrado de fecha para un análisis de sitio web .................. 1974
Capítulo 70 Cómo configurar el análisis de los repositorios de

Documentum .............................................................. 1975
Configuración de análisis remoto de los repositorios de

Documentum ..................................................................... 1975
Destinos admitidos de Documentum (analizador) ............................ 1976
Instalación de analizadores de Documentum .................................. 1976
Cómo iniciar los análisis de Documentum ...................................... 1979
Opciones de configuración para los analizadores de
Documentum ..................................................................... 1980
Configuración de ejemplo para analizar todos los documentos en un
repositorio de Documentum .................................................. 1983
Contenido 61
Capítulo 71 Cómo configurar el análisis de los repositorios de

Livelink ......................................................................... 1984
Cómo configurar el análisis remoto de los repositorios de OpenText
(Livelink) ........................................................................... 1984
Destinos admitidos del analizador de OpenText (Livelink) .................. 1985
Cómo crear un origen de datos de ODBC para SQL Server ............... 1985
Instalación de analizadores de Livelink .......................................... 1986
Cómo iniciar los análisis de OpenText (Livelink) .............................. 1989
Opciones de configuración para los analizadores de Livelink ............. 1991
Configuración de ejemplo para analizar una base de datos de
Livelink ............................................................................. 1992
Capítulo 72 Cómo configurar los servicios web para los destinos

del análisis personalizado ....................................... 1993
Cómo configurar los servicios web para los destinos del análisis
personalizado .................................................................... 1993
Acerca de configurar el lenguaje de definición de servicios web
(WSDL) ............................................................................. 1994
Ejemplo de cliente Java de servicios web ....................................... 1995
Ejemplo de código Java de muestra para servicios web .................... 1996
Sección 9 Descubrir y prevenir la pérdida de datos

en endpoints ......................................................... 2000
Capítulo 73 Descripción general de Symantec Data Loss
Prevention para endpoints ...................................... 2001
Acerca de cómo detectar y evitar pérdida de datos en endpoints ........ 2001
Instrucciones para la creación de políticas de endpoint ..................... 2003
Capítulo 74 Resumen de la compatibilidad del agente DLP para

Mac ............................................................................... 2006
Acerca de la compatibilidad con las funciones del agente DLP ........... 2007
Detalles de las funciones de herramientas y la instalación del agente
de Mac ............................................................................. 2008
Soporte para la instalación del agente de Mac .......................... 2008
Funciones de herramientas de endpoint de Mac ........................ 2008
Funciones de administración del agente de Mac ............................. 2009
Ubicación del endpoint del agente de Mac ............................... 2009
Funciones de grupos de agentes de Mac ................................. 2010
Contenido 62
Descripción general de las tecnologías de detección de agentes de

Mac y las funciones de creación de políticas ............................. 2010
Tecnologías de detección de agentes de Mac ........................... 2010
Características de la regla de respuesta de políticas de agente
de Mac ....................................................................... 2015
Compatibilidad con la supervisión del agente de Mac ....................... 2032
Funciones de almacenamiento extraíble del agente de Mac ........ 2018
Funciones del Portapapeles admitidas en los agentes de
Mac ........................................................................... 2021
Funciones de correo electrónico del agente de Mac ................... 2023
Funciones del navegador del agente de Mac ............................ 2023
Funciones de supervisión de aplicaciones del agente de
Mac ........................................................................... 2024
Funciones de Copiar a recurso compartido de red del agente de
Mac ........................................................................... 2026
Funciones del filtro por propiedades del archivo del agente de
Mac ........................................................................... 2026
Funciones de Filtrar por propiedades de red del agente de
Mac ........................................................................... 2027
Endpoint Prevent para funciones de configuración avanzada del agente
de Mac ............................................................................. 2027
Funciones de destinos de Endpoint Discover para Mac ..................... 2028
Compatibilidad de sistemas de archivos de Endpoint Discover para
Mac ................................................................................. 2029
Compatibilidad de opciones avanzadas de agente de Endpoint Discover
para Mac ........................................................................... 2029
Capítulo 75 Usar Endpoint Prevent .................................................... 2031

Acerca de la supervisión de Endpoint Prevent ................................. 2031
Acerca de la supervisión del almacenamiento extraíble ............... 2032
Acerca de la supervisión de red de endpoint ............................. 2034
Acerca de la supervisión de CD/DVD ...................................... 2036
Acerca de la supervisión de impresiones y fax .......................... 2037
Acerca de supervisión de recursos compartidos de red ............... 2038
Acerca de la supervisión del portapapeles ............................... 2039
Acerca de la supervisión de aplicaciones ................................. 2040
Acerca de la supervisión de aplicaciones del almacenamiento en
la nube ....................................................................... 2040
Acerca de la compatibilidad del escritorio virtual con Endpoint
Prevent ....................................................................... 2042
Acerca del almacenamiento en memoria caché de resultados de
reglas (RRC) ................................................................ 2045
Contenido 63
Acerca de la creación de políticas para Endpoint Prevent .................. 2045

Acerca de políticas de supervisión con reglas de respuesta para
servidores de endpoints ................................................. 2046
Cómo implementar Endpoint Prevent ............................................ 2049
Cómo configurar la ubicación de endpoint ................................ 2050
Acerca de las reglas de respuesta de Endpoint Prevent en
diversas configuraciones regionales ................................. 2051
Capítulo 76 Usar Endpoint Discover .................................................. 2054

Cómo funciona Endpoint Discover ................................................ 2054
Acerca del análisis de Endpoint Discover ....................................... 2054
Acerca del análisis de los endpoints de destino ........................ 2055
Acerca del análisis completo de Endpoint Discover .................... 2056
Acerca del análisis incremental de Endpoint Discover ................. 2056
Acerca de los análisis paralelos en los endpoints de destino ........ 2058
Optimización del análisis para el rendimiento del endpoint ........... 2060
Preparación para configurar Endpoint Discover ............................... 2060
Cómo crear un grupo de políticas para Endpoint Discover ........... 2061
Cómo crear una política para Endpoint Discover ....................... 2061
Agregar una regla para Endpoint Discover ............................... 2062
Configurar Endpoint Discover ...................................................... 2064
Crear un análisis de Endpoint Discover ......................................... 2064
Crear un nuevo destino de Endpoint Discover ........................... 2066
Acerca de los filtros de Endpoint Discover ................................ 2072
Configuración del tiempo de espera del análisis de Endpoint
Discover ..................................................................... 2081
Administración de análisis de destino de Endpoint Discover ............... 2082
Acerca de la administración de análisis de Endpoint
Discover ..................................................................... 2082
Acerca de los detalles de análisis de endpoints dirigidos de
Endpoint Discover ......................................................... 2083
Acerca de la reparación de incidentes de Endpoint Discover ........ 2085
Acerca de Informes de endpoint ............................................. 2086
Capítulo 77 Trabajar con configuraciones del agente ................... 2088

Acerca de las configuraciones de agente ....................................... 2088
Acerca de clonar la configuración del agente ............................ 2089
Agregar y editar las configuraciones de agente ............................... 2089
Configuración del canal ........................................................ 2090
Configuración de los filtros de canal ........................................ 2094
Configuración de Device Control ............................................ 2105
Configuración del agente ...................................................... 2106
Contenido 64
Configuración avanzada del agente ........................................ 2115

Configuración de canales específicos para supervisar según la
ubicación del endpoint ................................................... 2166
Aplicar configuraciones de agente a un grupo de agentes ................. 2167
Configurar el estado de la conexión del agente ............................... 2167
Capítulo 78 Trabajar con los grupos de agentes ............................. 2168

Acerca de los grupos de agentes ................................................. 2168
Desarrollar una estrategia para implementar grupos de agentes ......... 2170
Descripción general del proceso de implementación del grupo de
agentes ............................................................................ 2170
Crear y administrar los atributos del agente .................................... 2172
Crear un nuevo atributo del agente ......................................... 2173
Definir un filtro de búsqueda para crear atributos definidos por el
usuario ....................................................................... 2175
Verificar consultas de atributos con la herramienta de resolución
de consultas de atributos ................................................ 2175
Aplicar un nuevo atributo o un atributo modificado a los
agentes ...................................................................... 2176
Deshacer los cambios realizadores a los atributos de
agente ........................................................................ 2177
Edición de atributos de agente definidos por el usuario ............... 2177
Ver y administrar grupos de agentes ............................................. 2178
Condiciones del grupo de agentes .......................................... 2179
Crear un nuevo grupo de agentes .......................................... 2179
Actualizar las configuraciones de agente desactualizadas ........... 2180
Asignar configuraciones para implementar grupos ..................... 2181
Verifique que las asignaciones de grupos sean correctas ............ 2181
Visualización de conflictos de grupos ............................................ 2181
Cambiar grupos ........................................................................ 2182
Capítulo 79 Cómo administrar Agentes Symantec DLP ................ 2184

Acerca de la administración del Agente Symantec DLP .................... 2184
Pantalla Descripción general de agentes ................................. 2185
Acerca de los eventos del agente ........................................... 2207
Acerca de la eliminación del Agente Symantec DLP ................... 2215
Acerca de los registros de Agente DLP .......................................... 2218
Configuración de niveles de registro para un agente
endpoint ...................................................................... 2219
Acerca de la administración de contraseñas del agente .................... 2220
Cree una nueva contraseña para las herramientas de endpoint o
desinstalación del agente ............................................... 2221
Contenido 65
Cómo cambiar una contraseña existente para las herramientas

de endpoint o desinstalación del agente ............................ 2222
Cómo retener contraseñas existentes para las herramientas de
endpoint o desinstalación del agente ................................ 2222
Capítulo 80 Usar la supervisión de aplicaciones ............................. 2224

Acerca de la supervisión de aplicaciones ....................................... 2224
Cambiar la configuración de la supervisión de aplicaciones ......... 2225
Supervisión de aplicaciones de mensajería instantánea en
endpoints de Mac ......................................................... 2229
Lista de aplicaciones de CD/DVD ........................................... 2230
Acerca de la adición de aplicaciones ............................................. 2231
Adición de una aplicación Windows .............................................. 2231
Usar la herramienta GetAppInfo ............................................. 2237
Adición de una aplicación de macOS ............................................ 2238
Definición de los nombres binarios de las aplicaciones de
macOS ....................................................................... 2241
Omisión de las aplicaciones de macOS ......................................... 2241
Acerca de la supervisión de acceso a archivos por aplicación ............ 2242
Supervisión de Implementar Acceso a archivo por aplicación ............. 2243
Capítulo 81 Trabajar con Endpoint FlexResponse .......................... 2245

Acerca de Endpoint FlexResponse ............................................... 2246
Cómo implementar Endpoint FlexResponse ................................... 2247
Acerca de la implementación de los complementos de Endpoint
FlexResponse en los endpoints ............................................. 2248
Implementación de complementos Endpoint FlexResponse mediante
un proceso de instalación silenciosa ...................................... 2250
Acerca de la utilidad Endpoint FlexResponse .................................. 2250
Implementación de un complemento de Endpoint FlexResponse con
la utilidad Endpoint FlexResponse .......................................... 2253
Cómo habilitar Endpoint FlexResponse en Enforce Server ................ 2253
Desinstalación de un complemento de Endpoint FlexResponse con la
utilidad Endpoint FlexResponse ............................................. 2254
Recuperación de un complemento de Endpoint FlexResponse de un
endpoint específico ............................................................. 2255
Cómo recuperar una lista de complementos de Endpoint FlexResponse
de un endpoint ................................................................... 2256
Contenido 66
Capítulo 82 Usar las herramientas del endpoint ............................ 2257

Acerca de las herramientas de endpoint ........................................ 2257
Usar herramientas de endpoint con Windows 7/8/8.1 ................. 2259
Cerrar el agente y los servicios de vigilancia en los endpoints de
Windows ..................................................................... 2260
Uso de herramientas de Endpoint con macOS .......................... 2260
Cierre del servicio del agente en endpoints de Mac .................... 2261
Cómo examinar los archivos de base de datos a los que accede
el agente ..................................................................... 2262
Visualización de archivos de registro extendidos ....................... 2263
Acerca de las utilidades del Id. del dispositivo ........................... 2265
Iniciar agentes DLP que se ejecutan en endpoints de Mac .......... 2269
Sección 10 Supervisión de pérdida de datos en las

aplicaciones de la nube .................................. 2271
Capítulo 83 Utilización de conectores de nube ............................... 2272
Acerca de la detección de aplicaciones ......................................... 2272
Administración de detección de aplicaciones .................................. 2273
Sección 11 Supervisión de la pérdida de datos

usando appliances de DLP ........................... 2279
Capítulo 84 Ejecución y utilización de appliances de DLP ............ 2280
Acerca de los appliances de DLP ................................................. 2281
Acerca de las licencias del appliance ............................................ 2281
Acerca de la interfaz de línea de comandos (CLI) ............................ 2281
Descripción general de la implementación para el appliance
virtual ............................................................................... 2282
Configuración del appliance virtual ............................................... 2284
Descripción general de la implementación para el appliance de
hardware DLP-S500 ............................................................ 2286
Configuración del appliance DLP-S500 ......................................... 2287
Cómo cargar el archivo de licencia de Symantec ............................. 2289
Adición de un appliance ............................................................. 2290
Configuración de un appliance ..................................................... 2290
Configuración de información específica del tipo de detección
................................................................................. 2291
Configuración de una clave de servidor TLS (RSA) ................... 2291
Contenido 67
Cómo desvincular o restablecer un appliance de DLP ...................... 2291

Actualización del software del appliance ........................................ 2292
Cómo registrar archivos y recopilar registros de appliances ............... 2294
Configuración de tamaño y ajuste de rendimiento para
appliances ......................................................................... 2294
Índice ................................................................................................................ 2295

Sección 1
Introducción
■ Capítulo 1. Presentación de Symantec Data Loss Prevention
■ Capítulo 2. Guía de inicio de administración de Symantec Data Loss Prevention
■ Capítulo 3. Utilización de idiomas y configuración regionales

Capítulo 1
Presentación de Symantec
Data Loss Prevention
En este capítulo se incluyen los temas siguientes:
■ Acerca de las actualizaciones de la Guía de administración de Symantec Data

Loss Prevention
■ Acerca de Symantec Data Loss Prevention
■ Acerca de la plataforma Enforce
■ Acerca de Network Monitor y Prevent
■ Acerca de Network Discover/Cloud Storage Discover
■ Acerca de Network Protect
■ Acerca de Endpoint Discover
■ Acerca de Endpoint Prevent
Acerca de las actualizaciones de la Guía de

administración de Symantec Data Loss Prevention
Esta guía se actualiza de vez en cuando a medida que hay nueva información
disponible. Es posible encontrar la última versión de la Guía de administración de
Symantec Data Loss Prevention en el siguiente vínculo al artículo del centro de
Soporte de Symantec:http://www.symantec.com/docs/DOC9261.
Suscríbase al artículo en el centro de soporte para recibir notificaciones cuando
haya actualizaciones.
Presentación de Symantec Data Loss Prevention 70
Acerca de Symantec Data Loss Prevention

Symantec Data Loss Prevention permite realizar lo siguiente:
■ Detectar y ubicar información confidencial en los repositorios del almacenamiento
en la nube, en el archivo y los servidores web, en las bases de datos y en los
endpoints (sistemas de escritorio y de equipo portátil)
■ Proteger la información confidencial a través de cuarentena.
■ Supervisar el tráfico de red para detectar la transmisión de datos confidenciales.
■ Supervisar el uso de los datos confidenciales en endpoints
■ Evitar la transmisión de datos confidenciales a ubicaciones exteriores.
■ Imponer automáticamente las políticas de seguridad y el cifrado de datos.
Symantec Data Loss Prevention incluye los siguientes componentes:
■ Enforce Server
Ver "Acerca de la plataforma Enforce" en la página 72.
Ver "Acerca de la administración de Symantec Data Loss Prevention"
en la página 78.
Ver "Acerca de la consola de administración de Enforce Server" en la página 79.
■ Network Discover/Cloud Storage Discover
Ver "Acerca de Network Discover/Cloud Storage Discover" en la página 74.
■ Network Protect
Ver "Acerca de Network Protect" en la página 75.
■ Network Monitor
Ver "Acerca de Network Monitor y Prevent" en la página 73.
■ Network Prevent
■ Endpoint Discover
Ver "Acerca de Endpoint Discover" en la página 76.
■ Endpoint Prevent
Ver "Acerca de Endpoint Prevent" en la página 76.
Los módulos de detección, protección, supervisión y prevención se pueden
implementar como productos independientes o en combinación. Sin importar qué
productos independientes se implementen, Enforce Server se proporciona siempre
para la administración central. Tenga en cuenta que el módulo Network Protect
necesita el módulo Network Discover/Cloud Storage Discover.
Se asocian a cada módulo del producto los servidores de detección y detectores

en la nube correspondientes:
■ El servidor Network Discover/Cloud Storage Discover localiza los datos
confidenciales expuestos en una amplia gama de repositorios de datos
empresariales, incluyendo:
■ Almacenamiento en la nube de Box
■ Servidores de archivos
■ Bases de datos
■ Microsoft SharePoint
■ IBM Lotus Notes
■ EMC Documentum
■ Livelink
■ Microsoft Exchange
■ Servidores web
■ Otros repositorios de datos
Si tiene una licencia para Network Protect, este servidor también copia y pone
en cuarentena los datos confidenciales en los servidores de archivos y en el
almacenamiento en la nube de Box, como se especifica en las políticas.
■ El servidor Network Monitor supervisa el tráfico en su red.
■ Network Prevent for Email Server bloquea los correos electrónicos que contienen
datos confidenciales.
■ Network Prevent for Web Server bloquea las publicaciones HTTP y las
transferencias de FTP que contienen datos confidenciales.
■ El servidor de endpoints supervisa y previene el uso incorrecto de los datos
confidenciales en endpoints.
La arquitectura distribuida de Symantec Data Loss Prevention permite a las
organizaciones lo siguiente:
■ Realizar la administración centralizada y la elaboración de informes.
Acerca de la plataforma Enforce
■ Administrar centralmente las políticas de seguridad de los datos una sola vez
e implementarlas de forma inmediata a través de todo el conjunto de aplicaciones
de Symantec Data Loss Prevention.
■ Aumentar la prevención contra la pérdida de datos según el tamaño de su
organización.
Acerca de la plataforma Enforce

Enforce Server de Symantec Data Loss Prevention es la plataforma de
administración central que le permite definir, implementar e imponer la políticas de
prevención contra la pérdida de datos y de seguridad. La consola de administración
de Enforce Server proporciona una interfaz centralizada, basada en Web para
implementar los servidores de detección, crear políticas, reparar incidentes y
administrar el sistema.
Ver "Acerca de Symantec Data Loss Prevention" en la página 70.
La plataforma Enforce proporciona las siguientes funcionalidades:
■ Generar e implementar las políticas precisas de prevención contra la pérdida
de datos. Es posible elegir entre diversas tecnologías de detección, definir
reglas y especificar acciones para incluir en sus políticas de prevención contra
la pérdida de datos. Usando las plantillas proporcionadas de políticas vigentes
y las prácticas recomendadas, se pueden cumplir los requisitos de cumplimiento
normativo, protección de datos y uso aceptable, y abordar amenazas para la
seguridad específicas.
Ver "Acerca de las políticas de Data Loss Prevention" en la página 390.
Ver "Cómo detectar la pérdida de datos" en la página 405.
■ Implementar e imponer automáticamente las políticas de prevención contra la
pérdida de datos. Es posible automatizar las opciones de cumplimiento de
políticas para la notificación, el flujo de trabajo de reparación, el bloqueo y el
cifrado.
■ Medir la reducción de riesgo y demostrar el cumplimiento. Las funciones de
elaboración de informes de Enforce Server le permiten crear informes
procesables que identifican las tendencias de reducción de riesgos en el tiempo.
Es posible también crear informes de cumplimiento para abordar el cumplimiento
de los requisitos legales.
Ver "Acerca de los informes de Symantec Data Loss Prevention" en la página 1582.
Ver "Acerca de los informes sobre incidentes" en la página 1585.
■ Facilitar la reparación rápida. Según la gravedad del incidente, se puede
automatizar el proceso entero de reparación usando la automatización de la
elaboración de informes detallados de incidentes y del flujo de trabajo. Los
Acerca de Network Monitor y Prevent
controles de acceso basados en el rol autorizan a las unidades y los

departamentos individuales de negocio a revisar y reparar aquellos incidentes
que sean relevantes para su negocio o sus empleados.
Ver "Acerca de la reparación de incidentes" en la página 1515.
Ver "Cómo reparar incidentes" en la página 1518.
■ Proteger la privacidad del empleado. Es posible usar Enforce Server para revisar
incidentes sin revelar la identidad del remitente ni el contenido del mensaje. De
esta manera, las compañías multinacionales pueden cumplir los requisitos
legales de supervisión de los empleados de la Unión Europea y transferir datos
personales a través de límites nacionales.
Ver "Acerca del control de acceso basado en roles" en la página 112.
Acerca de Network Monitor y Prevent

Los productos de supervisión y de prevención de red de Symantec Data Loss
Prevention incluyen:
■ Network Monitor
Network Monitor captura y analiza el tráfico en su red. Detecta datos
confidenciales y metadatos significativos del tráfico sobre los protocolos que
se especifican. Por ejemplo, SMTP, FTP, HTTP y diversos protocolos de MI.
Es posible configurar un servidor de Network Monitor para supervisar protocolos
personalizados y para usar una variedad de filtros (por protocolo) a fin de filtrar
tráfico de bajo riesgo.
■ Network Prevent for Email
Network Prevent for Email se integra con los MTA estándar y los servicios de
correo electrónico alojados para proporcionar la administración activa en línea
del correo electrónico SMTP. Las políticas que se implementan en Network
Prevent for Email Server inline indican al servidor de correo del siguiente
segmento que bloquee, reencamine o marque los mensajes de correo
electrónico. Estos bloqueos se basan en atributos específicos del contenido y
del mensaje. La comunicación entre los MTA y Network Prevent for Email Server
se puede proteger como sea necesario usando TLS.
Implemente Network Monitor, revise los incidentes que captura y perfeccione
sus políticas como corresponda antes de implementar Network Prevent for
Email.
Revise la Guía de la integración del MTA de Symantec Data Loss Prevention
para Network Prevent for Email.
■ Network Prevent for Web
Para la administración web activa inline de las solicitudes web, Network Prevent
for Web se integra con un servidor proxy de HTTP, HTTPS o FTP. Esta
Acerca de Network Discover/Cloud Storage Discover
integración usa el protocolo de adaptación de contenido de Internet (ICAP).

Network Prevent for Web Server detecta datos confidenciales en el contenido
de HTTP, HTTPS o FTP. Cuando lo hace, hace que el proxy rechace solicitudes
o elimine contenido HTML según lo especificado por las políticas aplicables.

Network Discover/Cloud Storage Discover analiza los repositorios del
almacenamiento en la nube, los archivos compartidos en red, los servidores de
contenido web, las bases de datos, los repositorios de documentos y los sistemas
de endpoints a altas velocidades para detectar datos y documentos expuestos.
Network Discover/Cloud Storage Discover permite a las compañías comprender
exactamente dónde se exponen los datos confidenciales y ayuda a reducir
considerablemente el riesgo de pérdida de datos.
Network Discover/Cloud Storage Discover ofrece a las organizaciones las
funcionalidades siguientes:
■ Detección de datos confidenciales sin protección. Network Discover/Cloud
Storage Discover ayuda a las organizaciones a localizar exactamente los datos
en peligro que se almacenan en sus redes. Entonces, es posible informar a los
propietarios del servidor de archivos compartidos para que protejan los datos.
■ Reducción de la proliferación de los datos confidenciales. Network
Discover/Cloud Storage Discover ayuda a las organizaciones a detectar la
divulgación de la información confidencial en la compañía y reducir el riesgo
de pérdida de datos.
■ Automatización de las investigaciones y las auditorías. Network Discover/Cloud
Storage Discover racionaliza las investigaciones de seguridad de datos y las
auditorías de cumplimiento. Esta tarea se logra habilitando a usuarios a realizar
un análisis en busca de datos confidenciales automáticamente y revisando las
políticas de control de acceso y de cifrado.
■ Durante la reparación de incidentes, Veritas Data Insight ayuda a las
organizaciones a solucionar el problema de identificar a los propietarios de
datos y las personas responsables de la información causado por información
de seguimiento o metadatos incompletos o inexactos.
Consulte la Guía de implementación de Symantec Data Loss Prevention Data
Insight.
■ Para proporcionar flexibilidad adicional al reparar incidentes de Network
Discover/Cloud Storage Discover, use la interfaz para programación de
aplicaciones de FlexResponse (API) o los complementos de FlexResponse que
están disponibles.
Acerca de Network Protect
Consulte la Guía para los desarrolladores de Symantec Data Loss Prevention

FlexResponse Platform o contacte los servicios profesionales de Symantec
para obtener una lista de complementos.
Acerca de Network Protect

Network Protect reduce el riesgo mediante la extracción de datos confidenciales
expuestos, propiedad intelectual e información clasificada de los archivos
compartidos abiertos en los servidores de red o los equipos de escritorio. Tenga
en cuenta que no hay un servidor Network Protect aparte; el módulo del producto
Network Protect agrega funcionalidad de protección al servidor Network Discover.
Network Protect ofrece a las organizaciones las funcionalidades siguientes:
■ Aplique las etiquetas visuales al contenido en el almacenamiento en la nube
de Box. Network Protect puede aplicar una etiqueta de texto a los archivos que
infringen las políticas que se guardan en el almacenamiento en la nube de Box.
■ Ponga en cuarentena los archivos expuestos. Network Protect puede mover
automáticamente aquellos archivos que infrinjan las políticas a una zona de
cuarentena que reconstruya la estructura original de los archivos para una fácil
ubicación. Opcionalmente, Symantec Data Loss Prevention puede poner un
archivo de texto marcador en la ubicación original del archivo infractor. El archivo
marcador puede explicar por qué y dónde el archivo original fue puesto en
cuarentena.
■ Copie los archivos expuestos o sospechosos. Network Protect puede copiar
automáticamente aquellos archivos que infrinjan las políticas a una zona de
cuarentena. La zona de cuarentena puede reconstruir la estructura original de
los archivos para una fácil ubicación y dejar el archivo original en su lugar.
■ Restaurar los archivos en cuarentena. Network Protect puede restaurar
fácilmente los archivos en cuarentena a su ubicación original o a una nueva.
■ Imponer las políticas de control de acceso y de cifrado. Network Protect asegura
proactivamente el cumplimiento de las políticas existentes de control de acceso
y de cifrado por parte del personal.
Ver "Configuración de Network Protect para archivos compartidos" en la página 1887.
Acerca de Endpoint Discover
Acerca de Endpoint Discover

Endpoint Discover detecta los datos confidenciales en sus equipos de endpoint
portátiles o de escritorio. Incluye por lo menos un servidor de endpoints y por lo
menos un Agente Symantec DLP que se ejecute en un endpoint. Es posible tener
muchos agentes Symantec DLP conectados a un único servidor de endpoints.
Agentes Symantec DLP:
■ Detectan los datos confidenciales en el sistema de archivos de endpoint.
■ Recopilan los datos sobre esa actividad.
■ Envían los incidentes al servidor de endpoints.
■ Envían los datos al servidor de endpoints asociado para el análisis, si es
necesario.
Acerca de Endpoint Prevent

Endpoint Prevent detecta y evita que los datos confidenciales salgan de los equipos
de endpoint portátiles o de escritorio. Incluye por lo menos un servidor de endpoints
y todos los Agentes Symantec DLP que se ejecutan en los sistemas de endpoint
que están conectados. Es posible tener muchos agentes Symantec DLP conectados
a un único servidor de endpoints. Endpoint Prevent detecta en las siguientes
transferencias de datos:
■ Supervisión de aplicaciones
■ CD/DVD
■ Portapapeles
■ Correo electrónico/SMTP
■ Unidades eSATA extraíbles
■ FTP
■ HTTP/HTTPS
■ MI
■ Recursos compartidos de red
■ Imprimir/Enviar fax
■ Dispositivos de soportes USB extraíbles
Acerca de Endpoint Prevent

Capítulo 2
Guía de inicio de
administración de
Symantec Data Loss
Prevention
■ Acerca de la administración de Symantec Data Loss Prevention
■ Acerca de la consola de administración de Enforce Server
■ Cómo iniciar y cerrar sesión en la consola de administración de Enforce Server
■ Acerca de la cuenta de administrador
■ Ejecución de tareas iniciales de la instalación
■ Cómo cambiar la contraseña de administrador
■ Cómo agregar una cuenta de correo electrónico de administrador
■ Cómo editar un perfil de usuario
■ Cambio de contraseña
Acerca de la administración de Symantec Data Loss

Prevention
El sistema Symantec Data Loss Prevention incluye un Enforce Server y uno o más
servidores de detección.
Guía de inicio de administración de Symantec Data Loss Prevention 79
Acerca de la consola de administración de Enforce Server
Enforce Server almacena toda la configuración de sistema, políticas, informes

guardados y otra información de Symantec Data Loss Prevention, además de
administrar todas las actividades.
La administración del sistema se realiza desde la consola de administración de
Enforce Server, a la cual se accede mediante un navegador web Firefox o Internet
Explorer. La consola de Enforce se muestra una vez que se inicia sesión.
Una vez completados los pasos de la instalación de la Guía de instalación de
Symantec Data Loss Prevention, es necesario realizar tareas de configuración
inicial para poner en funcionamiento Symantec Data Loss Prevention por primera
vez. Estas son tareas esenciales que es necesario realizar antes de que el sistema
pueda comenzar a supervisar los datos de la red.
Ver "Ejecución de tareas iniciales de la instalación" en la página 82.
Acerca de la consola de administración de Enforce

Server
Se administra el sistema de Symantec Data Loss Prevention a través de la consola
de administración de Enforce Server.
El usuario Administrador puede ver y acceder a todas las partes de la consola de
administración. Otros usuarios pueden ver solamente las partes a las que sus roles
les conceden el acceso. La cuenta de usuario usada para el inicio de sesión actual
aparece en la parte superior derecha de la pantalla.
Cuando usted inicia sesión en la consola de administración por primera vez, la
pantalla Página principal predeterminada se muestra. Usted y sus usuarios pueden
cambiar la página Página principal predeterminada usando el botón de la selección
Página principal.
Ver Tabla 2-1 en la página 79.
Para navegar a través del sistema, seleccione elementos de uno de los cuatro
clústeres del menú ( Inicio, Incidentes, Administrar y Sistema ).
En la parte superior derecha de la consola de administración están situados los
iconos siguientes de navegación y de operación:
Tabla 2-1 Iconos de navegación y de operación de la consola de administración
Icono Descripción
Ayuda. Haga clic en este icono para acceder a la ayuda en pantalla

contextual para su página actual.
Cómo iniciar y cerrar sesión en la consola de administración de Enforce Server
Icono Descripción
Seleccione esta página como su página principal. Si la pantalla actual

no se puede seleccionar como su página principal, este icono no está
disponible.
Volver a la pantalla anterior. Symantec recomienda usar este botón

Atrás en lugar del botón Atrás del navegador. El uso del botón Atrás
del navegador no se recomienda, ya que puede tener un comportamiento
imprevisible.
Actualizar la pantalla. Symantec recomienda usar este botón Actualizar

en lugar del botón de su navegador Recargar o Actualizar. El uso de
los botones del navegador no se recomienda, ya que pueden tener un
comportamiento imprevisible.
Imprima el informe actual. Si los contenidos actuales de la pantalla no

se pueden enviar a la impresora, este icono está no disponible.
Enviar por correo electrónico el informe actual a uno o más destinatarios.

Si los contenidos actuales de la pantalla no se pueden enviar como
correo electrónico, este icono está no disponible.
Ver "Cómo iniciar y cerrar sesión en la consola de administración de Enforce Server"

en la página 80.
Cómo iniciar y cerrar sesión en la consola de

administración de Enforce Server
Si tiene más de un rol asignado, se puede iniciar sesión solamente con un rol cada
vez. Es necesario especificar el nombre del rol y el nombre de usuario al iniciar
sesión.
Acerca de la cuenta de administrador
Para iniciar sesión en Enforce Server

1 En el host de Enforce Server, abra un navegador y especifique la URL para
su servidor (según la proporciona el administrador de Symantec Data Loss
Prevention).
2 En la pantalla de inicio de sesión de Symantec Data Loss Prevention, escriba
su nombre de usuario en el campo Nombre de usuario. Para el rol de
administrador, este nombre de usuario es siempre Administrador. Los
usuarios con varios roles deben especificar el nombre del rol y el nombre de
usuario en el formato rol\usuario (por ejemplo, Visor de informes\bsmith).
Si no lo hacen, Symantec Data Loss Prevention asigna un rol al usuario al
iniciar sesión.
Ver "Configurar roles" en la página 117.
3 En el campo Contraseña, escriba la contraseña. Para el administrador en el
primer inicio de sesión, esta contraseña es la contraseña que usted creó
durante la instalación.
Para obtener detalles de instalación, consulte la Guía de instalación de
Symantec Data Loss Prevention apropiada.
4 Haga clic en Inicio de sesión.
La consola de administración de Enforce Server aparece. El administrador
puede acceder a todas las secciones de la consola de administración, pero
otro usuario puede ver solamente las secciones que se autorizan para ese rol
determinado.
Para cerrar sesión en Enforce Server
1 Haga clic en Cerrar sesión, en la parte superior derecha de la pantalla.
2 Haga clic en Aceptar para confirmar.
Symantec Data Loss Prevention muestra un mensaje que confirma que se
cerró sesión correctamente.
Ver "Cómo editar un perfil de usuario" en la página 84.
Acerca de la cuenta de administrador

El sistema de Symantec Data Loss Prevention se configura previamente con una
cuenta de administrador permanente. Tenga en cuenta que el nombre distingue
entre mayúsculas y minúsculas, y no se puede cambiar. Configuró una contraseña
para la cuenta de administrador durante la instalación.
Consulte la Guía de instalación de Symantec Data Loss Prevention para obtener
más información.
Ejecución de tareas iniciales de la instalación
Solamente el administrador puede ver o modificar la cuenta de administrador. Las

opciones de roles no aparecen en la pantalla Configuración de administrador,
porque el administrador tiene siempre acceso a todas las partes del sistema.
Ver "Cómo cambiar la contraseña de administrador" en la página 82.
Ver "Cómo agregar una cuenta de correo electrónico de administrador"
en la página 83.
Ejecución de tareas iniciales de la instalación

Una vez completados los pasos de la instalación de la Guía de instalación de
Symantec Data Loss Prevention, es necesario realizar tareas de configuración
inicial para poner en funcionamiento Symantec Data Loss Prevention por primera
vez. Estas son tareas esenciales que es necesario realizar antes de que el sistema
pueda comenzar a supervisar los datos de la red.
■ Cambie la contraseña del administrador a una contraseña única privada y
agregue a una dirección de correo electrónico para la cuenta de usuario
Administrador de forma que se le pueda notificar acerca de diversos eventos
del sistema.
Ver "Acerca de la cuenta de administrador" en la página 81.
■ Agregue y configure sus servidores de detección.
Ver "Cómo agregar un servidor de detección" en la página 279.
Ver "Servidor de configuración básica" en la página 252.
■ Agregue cualquier cuenta de usuario que necesite además de las
proporcionadas por su paquete de soluciones de Symantec Data Loss
Prevention.
■ Revise las plantillas de políticas proporcionadas con su paquete de soluciones
de Symantec Data Loss Prevention para conocer más sobre los requisitos del
contenido y de los datos. Revise las políticas existentes o cree nuevas según
las necesidades.
■ Agregue los perfiles de los datos que planea asociar a políticas.
Los perfiles de datos no se necesitan siempre. Este paso es necesario solamente
si dispone de licencias para los perfiles de datos y si se propone usarlos en
políticas.
Cómo cambiar la contraseña de administrador

Durante la instalación, usted creó una contraseña de administrador genérica.
Cuando se inicia sesión por primera vez, es necesario cambiar esta contraseña a
una contraseña única, secreta.
Cómo agregar una cuenta de correo electrónico de administrador

más información.
Las contraseñas distinguen entre mayúsculas y minúsculas, y deben contener por
lo menos ocho caracteres.
Tenga en cuenta que se puede configurar Symantec Data Loss Prevention para
que solicite contraseñas seguras. Las contraseñas seguras son contraseñas
diseñadas específicamente para ser difíciles de descifrar. La política de la
contraseña se configura en la pantalla Sistema > Configuración > General >
Configurar.
Cuando su contraseña caduca, Symantec Data Loss Prevention muestra la ventana
Renovación de la contraseña en el inicio de sesión siguiente. Cuando la ventana
Renovación de la contraseña aparece, escriba su contraseña anterior y, a
continuación, escriba su nueva contraseña y confírmela.
Ver "Configurar cuentas de usuario" en la página 126.
Para cambiar la contraseña de administrador
1 Inicie sesión como administrador.
2 Haga clic en Perfil en la esquina superior derecha de la consola de
administración.
3 En la pantalla Editar perfil :
■ Escriba su nueva contraseña en el campo Contraseña nueva.
■ Escriba nuevamente su nueva contraseña en el campo de Confirmar
contraseña nueva. Las dos nuevas contraseñas deben ser idénticas.
Tenga en cuenta que las contraseñas distinguen entre mayúsculas y
minúsculas.
4 Haga clic en Guardar.
Ver "Acerca de la pantalla Descripción general" en la página 286.
Cómo agregar una cuenta de correo electrónico de

administrador
Es posible especificar una dirección de correo electrónico para recibir mensajes
relacionados con la cuenta de administrador.
Cómo editar un perfil de usuario
Para agregar o cambiar una cuenta de correo electrónico de administrador

1 Haga clic en Perfil en la esquina superior derecha de la consola de
administración.
2 Escriba la dirección de correo electrónico de administrador nueva (o cambiada)
en el campo Dirección de correo electrónico.
Las direcciones de correo electrónico deben incluir un nombre de dominio
completo. Por ejemplo: mi_nombre@acme.com.

Los usuarios del sistema pueden usar la pantalla Perfil para configurar sus
contraseñas, direcciones de correo electrónico e idiomas.
Los usuarios pueden además especificar sus preferencias de informes en la pantalla
Perfil.
Para visualizar la pantalla Perfil, haga clic en la lista desplegable en la derecha
superior de la consola de administración de Enforce Server y después seleccione
Perfil.
La pantalla Perfil se divide en las secciones siguientes:
■ Autenticación Use esta sección para cambiar su contraseña o para seleccionar
la autenticación de certificado, si está disponible.
■ General. Use esta sección para especificar su dirección de correo electrónico,
para elegir una preferencia del idioma y para ver su página principal
seleccionada.
■ Preferencias de informes. Use esta sección para especificar su codificación
preferida de texto, el delimitador de CSV y las preferencias de la exportación
de XML.
■ Roles Esta sección muestra su rol. Tenga en cuenta que esta sección no se
muestra al administrador porque el administrador puede desempeñar todos los
roles.
La sección Autenticación:
Para cambiar su contraseña
1 Escriba su nueva contraseña en el campo Contraseña nueva.
2 Escriba nuevamente su nueva contraseña en el campo de Confirmar
contraseña nueva.
Para usar la autenticación de certificado
1 Si la autenticación de certificado está disponible, seleccione Usar
autenticación de certificado.
2 Escriba su nombre común (CN) de LDAP en el campo Nombre común (CN).
La sección General:
La próxima vez que inicie sesión, deberá usar su nueva contraseña.
Ver "Cambio de contraseña" en la página 87.
Para especificar una nueva dirección de correo electrónico personal
1 En el campo de Dirección de correo electrónico escriba su dirección de
correo electrónico personal.
Los usuarios Symantec Data Loss Prevention individuales pueden elegir los idiomas
y las configuraciones regionales disponibles que quieren usar.
Para elegir un idioma para el uso individual
1 Haga clic en la opción al lado de su opción de idioma.
La consola de administración de Enforce Server se vuelve a mostrar en el
nuevo idioma.
Elegir un perfil del idioma no tiene ningún efecto sobre la detección de infracciones
de políticas. La detección se realiza en todo el contenido que se escribe en cualquier
idioma admitido sin importar el idioma que se elige para su perfil.
Ver "Acerca de la compatibilidad con los juegos de caracteres, los idiomas y las
configuraciones regionales" en la página 89.
Los idiomas disponibles se determinan cuando se instala el producto y durante la
adición posterior de paquetes de idiomas para Symantec Data Loss Prevention.
El efecto de elegir otro idioma varía de la siguiente manera:
■ Configuración regional solamente. Si el idioma que se elige muestra la indicación

No hay traducciones disponibles, las fechas y los números se muestran en los
formatos apropiados para el idioma. Los informes y las listas se ordenan de
acuerdo con ese idioma. Pero los menús de la consola de administración, las
etiquetas, las pantallas y el sistema de ayuda no se traducen y permanecen en
inglés.
Ver "Acerca de las configuraciones regionales" en la página 95.
■ Traducido. El idioma que se elige puede no tener el aviso No hay traducciones
disponibles. En este caso, además del número y el formato de fecha y orden
de clasificación, los menús de la consola de administración, etiquetas, pantallas
y en algunos casos el sistema de ayuda, se traducen al idioma elegido.
Ver "Acerca de Symantec Data Loss Prevention Paquetes de idiomas"
en la página 94.
La sección Preferencias de informes:

Para seleccionar su codificación del texto
1 Seleccione una opción de la codificación del texto:
■ Use la codificación predeterminada del navegador. Seleccione este
cuadro para especificar que los archivos de texto usen la misma codificación
que su navegador.
■ Despliegue el menú. Haga clic en una opción de codificación en el menú
desplegable para seleccionarla.

La nueva codificación del texto se aplica a los archivos exportados CSV. Esta
codificación le permite seleccionar una codificación de texto que coincida con
la codificación esperada por aplicaciones que usan CSV.
Para seleccionar un delimitador de CSV
1 Elija uno de los delimitadores del menú desplegable.
El nuevo delimitador se aplica a la siguiente lista de valores separados por
comas (CSV) que se exporta.
Ver "Exportación de informes de incidentes" en la página 1610.
Cambio de contraseña
Para seleccionar los detalles de la exportación de XML

1 Incluya infracciones de incidentes en la exportación a XML. Si se
selecciona este cuadro, el informe XML exportado incluye las coincidencias
resaltadas en cada instantánea de incidente.
2 Incluya historial de incidentes en la exportación a XML. Si se selecciona
este cuadro, el informe XML exportado incluye los datos del historial del
incidente contenidos en la ficha Historial de cada instantánea del incidente.
Sus selecciones se aplican al informe siguiente que se exporta a XML.
Si no se selecciona ninguno de los cuadros, el informe XML exportado contiene
solamente la información básica del incidente.
Cuando su contraseña caduca, Symantec Data Loss Prevention muestra la ventana
Renovación de contraseña en el inicio de sesión siguiente. Cuando aparezca la
ventana Renovación de contraseña, escriba su nueva contraseña y confírmela.
Cuando la contraseña caduca, el sistema requiere que se especifique una nueva
la próxima vez que se intente iniciar sesión. Si debe cambiar su contraseña, aparece
la ventana Renovación de la contraseña.
Para cambiar la contraseña desde la ventana Renovación de la contraseña
1 Escriba su contraseña anterior en el campo Contraseña anterior, en la ventana
Renovación de la contraseña.
2 Escriba su nueva contraseña en el campo Contraseña nueva, en la ventana
Renovación de la contraseña.
3 Confirme su nueva contraseña en el campo Confirmar contraseña nueva,
en la ventana Renovación de la contraseña.
La próxima vez que inicie sesión, deberá usar su nueva contraseña.
Es posible también cambiar la contraseña en cualquier momento desde la pantalla
Perfil.

en la página 80.
Capítulo 3
Utilización de idiomas y
configuración regionales
■ Acerca de la compatibilidad con los juegos de caracteres, los idiomas y las

configuraciones regionales
■ Idiomas admitidos para la detección
■ Utilización de caracteres internacionales
■ Acerca de Symantec Data Loss Prevention Paquetes de idiomas
■ Acerca de las configuraciones regionales
■ Cómo usar un idioma que no sea inglés en la consola de administración de

Enforce Server
■ Cómo usar la utilidad de paquete de idiomas
Acerca de la compatibilidad con los juegos de

caracteres, los idiomas y las configuraciones
regionales
Symantec Data Loss Prevention admite completamente implementaciones
internacionales ofreciendo una gran cantidad de idiomas y de opciones de
localización:
■ Creación de políticas y detección de infracciones en muchos idiomas.
Utilización de idiomas y configuración regionales 90
Acerca de la compatibilidad con los juegos de caracteres, los idiomas y las configuraciones regionales
Los idiomas admitidos se pueden usar en palabras clave, identificadores de

datos, expresiones regulares, perfiles de datos exactos (EDM) y los perfiles de
documento (IDM).
Ver "Idiomas admitidos para la detección" en la página 91.
■ Operación en versiones de interfaces de usuario localizadas y multilingües
(MUI) de la interfaz de usuario de los sistemas operativos de Windows.
■ Conjuntos de caracteres internacionales. Para ver y trabajar con conjuntos de
caracteres internacionales, el sistema donde está viendo la consola de
administración de Enforce Server debe tener las funcionalidades apropiadas.
Ver "Utilización de caracteres internacionales" en la página 93.
■ Formatos de fecha y número basados en configuración regional, así como
órdenes de clasificación de listas e informes.
■ Interfaz de usuario (IU) y sistema de ayuda localizados. Los paquetes de idiomas
para Symantec Data Loss Prevention proporcionan versiones de idiomas
específicos para una consola de administración de Enforce Server. Pueden
además proporcionar versiones de idiomas específicos del sistema de ayuda
en pantalla.
Nota: Estos paquetes de idiomas se agregan por separado después de la

instalación inicial del producto.
■ Documentación del producto localizada.

■ Ventanas emergentes de notificación específicas del idioma. Las ventanas
emergentes de notificación de endpoint muestran el idioma que se selecciona
en el endpoint en vez del idioma de la configuración regional de sistema. Por
ejemplo, si la configuración regional del sistema se configura en inglés y el
usuario configura el idioma de visualización en alemán, la ventana emergente
de la notificación aparece en alemán.
Nota: La ventana emergente de la notificación de idioma combinado muestra

si el idioma de configuración regional de usuario no coincide con el idioma
usado en la regla de respuesta.
Idiomas admitidos para la detección

Symantec Data Loss Prevention admite una gran cantidad de idiomas para la
detección. Las políticas se pueden definir para detectar e informar con precisión
acerca de las infracciones encontradas en el contenido en estos idiomas.
Tabla 3-1 Idiomas admitidos por Symantec Data Loss Prevention
Idioma Versión 14.x Versión 14.6 Versión 15.0
Árabe Sí Sí Sí
Portugués brasileño Sí Sí Sí
Chino (tradicional) Sí Sí Sí
Chino (simplificado) Sí Sí Sí
Checo Sí Sí Sí
Danés Sí Sí Sí
Neerlandés Sí Sí Sí
Inglés Sí Sí Sí
Finlandés Sí Sí Sí
Francés Sí Sí Sí
Alemán Sí Sí Sí
Griego Sí Sí Sí
Hebreo Sí Sí Sí
Húngaro Sí Sí Sí
Italiano Sí Sí Sí
Japonés Sí Sí Sí
Coreano Sí Sí Sí
Noruego Sí Sí Sí
Polaco Sí Sí Sí
Portugués Sí Sí Sí
Rumano Sí Sí Sí
Idioma Versión 14.x Versión 14.6 Versión 15.0
Ruso Sí Sí Sí
Español Sí Sí Sí
Sueco Sí Sí Sí
Turco Sí* Sí* Sí*
*Symantec Data Loss Prevention no se puede instalar en un sistema operativo

Windows localizado para idioma turco y no puede elegir turco como configuración
regional alternativa.
Para obtener más información sobre idiomas específicos, consulte las Notas de la
versión de Symantec Data Loss Prevention.
Esta compatibilidad no incluye varias funcionalidades:
■ Soporte técnico proporcionado en un idioma que no sea inglés. Que Symantec
Data Loss Prevention admita un idioma determinado no implica que el soporte
técnico se ofrece en ese idioma.
■ Documentación e interfaz de usuario (IU) administrativa localizadas. La
compatibilidad para un idioma no implica que la IU o la documentación del
producto se hayan localizado en ese idioma. Sin embargo, incluso sin una IU
localizada, las porciones definidas por el usuario de la IU, como los mensajes
emergentes de notificación en el endpoint, se pueden localizar en cualquier
idioma escribiendo el texto apropiado en la IU.
■ Contenido localizado. Las palabras clave se usan en varias áreas del producto,
incluidas las plantillas de políticas y los identificadores de datos. La
compatibilidad para un idioma no implica que estas palabras clave se hayan
traducido en ese idioma. Los usuarios pueden, sin embargo, agregar palabras
clave en un nuevo idioma mediante la consola de administración de Enforce
Server.
■ Nuevos tipos de archivos, protocolos, aplicaciones o codificaciones. La
compatibilidad para un idioma no implica que se admita cualquier tipo de archivo,
protocolos, aplicaciones o codificaciones que puedan ser frecuentes en ese
idioma o región con excepción de lo que se admite ya en el producto.
■ Normalización específica para una lengua. Un ejemplo de la normalización es
considerar iguales las versiones acentuadas y las no acentuadas de un carácter.
El producto ya realiza varias normalizaciones, incluida la normalización estándar
de Unicode que debe cubrir la gran mayoría de casos. Sin embargo, no significa
que todas las normalizaciones potenciales están incluidas.
Utilización de caracteres internacionales
■ Normalización y validación específicas para una región. Un ejemplo de esto es

el conocimiento de que el producto tiene del formato de los números de teléfono
norteamericanos, lo que permite tratar varias versiones de un número como la
misma e identificar números no válidos en archivos de origen de EDM. La
compatibilidad para un idioma no implica esta clase de funcionalidad para ese
idioma o región.
Los elementos en estas categorías excluidas se registran como mejoras de producto
individuales basadas en un idioma o región específicos. Póngase en contacto con
el Soporte técnico de Symantec para obtener más información sobre las mejoras
o los planes relacionados con el lenguaje para los idiomas no detallados.
Utilización de caracteres internacionales

Es posible usar una amplia variedad de idiomas en Symantec Data Loss Prevention
según los siguientes requisitos:
■ El juego de caracteres basado en el sistema operativo instalado en el equipo
en el que se ve la consola de administración de Enforce Server.
■ Las funcionalidades del navegador.
Por ejemplo, un informe de incidentes en un análisis de datos en ruso contendría
caracteres cirílicos. Para ver dicho informe, el equipo y el navegador que se usan
para acceder a la consola de administración de Enforce Server deben poder mostrar
estos caracteres. Aquí se incluyen algunas pautas generales:
■ Si el equipo que se usa para acceder a la consola de administración de Enforce
Server tiene un sistema operativo localizado para un idioma determinado,
debería poder ver y usar un juego de caracteres que admita ese idioma.
■ Si el sistema operativo del equipo que se usa para acceder a la consola de
administración no está localizado para un idioma determinado, es posible que
sea necesario agregar la compatibilidad con un idioma adicional. Esta
compatibilidad con un idioma adicional se agrega al equipo que se usa para
acceder a la consola de administración, no en Enforce Server.
■ En un sistema de Windows, puede agregar compatibilidad con idiomas
adicionales mediante Panel de control > Configuración regional y de
idioma > Idiomas (ficha) - Compatibilidad con idioma adicional para
agregar fuentes para algunos conjuntos de caracteres.
■ Puede además ser necesario configurar el navegador para admitir los caracteres
que desee ver y escribir.
Acerca de Symantec Data Loss Prevention Paquetes de idiomas
Nota: La consola de administración de Enforce Server admite datos con

codificación UTF-8.
■ En un sistema de Windows, puede además ser necesario usar la ficha Idiomas

- Compatibilidad con idioma adicional en Panel de control > Configuración
regional y de idioma para agregar las letras para algunos juegos de caracteres.
Consulte las Notas de la versión de Symantec Data Loss Prevention para obtener
información sobre los problemas conocidos con respecto a idiomas específicos.
Acerca de Symantec Data Loss Prevention Paquetes

de idiomas
Los paquetes de idiomas para Symantec Data Loss Prevention localizan el producto
para un idioma determinado en sistemas basados en Windows. Una vez que se
ha agregado un paquete de idiomas a Symantec Data Loss Prevention, los
administradores pueden especificarlo como la opción predeterminada de todo el
sistema. Si el administrador dispone de varios paquetes de idiomas, los usuarios
individuales pueden elegir el idioma con el que quieran trabajar.
Ver "Cómo usar un idioma que no sea inglés en la consola de administración de
Enforce Server" en la página 95.
Al seleccionar el paquete de idiomas, se obtiene lo siguiente:
■ La configuración regional está disponible para los administradores y los usuarios
finales en la pantalla Configuración de Enforce Server.
■ Las pantallas, los elementos de menú, los comandos y los mensajes de Enforce
Server aparecen en el idioma.
■ El sistema de ayuda de Symantec Data Loss Prevention puede aparecer en el
idioma.
Los paquetes de idiomas para Symantec Data Loss Prevention están disponibles
en Symantec File Connect.
Precaución: Cuando se instala una versión más reciente de Symantec Data Loss
Prevention, cualquier paquete de idiomas que haya instalado se elimina. Para
obtener una versión nueva y localizada de Symantec Data Loss Prevention, es
necesario actualizar a una versión más reciente del paquete de idiomas.
Acerca de las configuraciones regionales

Acerca de las configuraciones regionales

Una configuración regional proporciona lo siguiente:
■ Muestra las fechas y números en los formatos apropiados para esa configuración
regional.
■ Ordena listas e informes en función de columnas de texto, tales como “nombre
de política” o “propietario del archivo”, o alfabéticamente, según las reglas de
la configuración regional.
Las configuraciones regionales se instalan como parte de un paquete de idiomas.
Un administrador puede además establecer una configuración regional adicional
para que la usen usuarios individuales. Esta configuración regional adicional
necesita solamente ser compatible con la versión necesaria de Java.
Para obtener una lista de esta configuración regional, consulte
http://www.oracle.com/technetwork/java/javase/javase7locales-334809.html.
La configuración regional se puede especificar al instalar el producto, según lo

descrito en la Guía de instalación de Symantec Data Loss Prevention. Puede
además configurarse más adelante mediante la utilidad de paquete de idiomas.
Ver "Cómo usar un idioma que no sea inglés en la consola de administración de
Cómo usar un idioma que no sea inglés en la consola

de administración de Enforce Server
El uso de las configuraciones regionales y de los idiomas se especifica a través
de la consola de administración de Enforce Server por los roles siguientes:
■ Administrador de Symantec Data Loss Prevention. Especifica que uno de los
idiomas disponibles sea el idioma predeterminado de todo el sistema y define
la configuración regional.
■ Usuario de Symantec Data Loss Prevention individual. Elige cuál de las
configuraciones regionales disponibles se debe usar.
Cómo usar un idioma que no sea inglés en la consola de administración de Enforce Server
Nota: La adición de varios paquetes de idiomas podría afectar levemente el

rendimiento de Enforce Server, en función de la cantidad de idiomas y de
personalizaciones presentes. Esto ocurre porque se debe generar y mantener un
conjunto adicional de índices para cada idioma.
Advertencia: No modifique la base de datos NLS_LANGUAGE de Oracle y la

configuración de NLS_TERRITORY.
Ver "Acerca de Symantec Data Loss Prevention Paquetes de idiomas"

en la página 94.
Un administrador de Symantec Data Loss Prevention especifica cuáles de los
idiomas disponibles es el idioma predeterminado de todo el sistema.
Para elegir el idioma predeterminado para todos los usuarios
1 En Enforce Server, vaya a Sistema > Configuración > General y haga clic
en Configurar.
Se muestra la pantalla Editar configuración general.
2 Desplácese a la sección Idioma de la pantalla Editar configuración general
y haga clic en el botón situado junto al idioma que desee usar como la opción
predeterminada de todo el sistema.
Los usuarios de Symantec Data Loss Prevention individuales pueden elegir los
idiomas y las configuraciones regionales disponibles que quieren usar actualizando
los perfiles.
Los administradores pueden usar la utilidad de paquete de idiomas para actualizar
los idiomas disponibles.
Ver "Cómo usar la utilidad de paquete de idiomas" en la página 97.
Nota: Si Enforce Server se ejecuta en un host de Linux, es necesario instalar las

fuentes de idioma en el equipo host con la aplicación Linux Package Manager. Los
paquetes de fuentes de idioma comienzan con fonts-<language_name>. Por
ejemplo, fonts-japanese-0.20061016-4.el5.noarch
Cómo usar la utilidad de paquete de idiomas

Para poner una configuración regional específica a disposición de Symantec Data
Loss Prevention, debe agregar los paquetes de idiomas mediante la utilidad de
paquete de idiomas.
La utilidad de paquete de idiomas se ejecuta desde la línea de comandos. Su
archivo ejecutable, LanguagePackUtility.exe, reside en el directorio
\SymantecDLP\Protect\bin.
Para usar la utilidad de paquete de idiomas, es necesario tener permisos de lectura,

escritura y ejecución en todas las carpetas y subcarpetas de \SymantecDLP.
Para mostrar la ayuda de la utilidad, tal como la lista de opciones válidas y sus
indicadores, escriba LanguagePackUtility sin indicadores.
Nota: Al ejecutar la utilidad de paquete de idiomas, los servicios de VontuManager

y de VontuIncidentPersister se detienen hasta 20 segundos. Se cerrará
automáticamente la sesión de cualquier usuario que haya iniciado sesión en la
consola de administración de Enforce Server. Cuando haya terminado de procesar
sus actualizaciones, la utilidad reiniciará los servicios automáticamente, y los
usuarios podrán volver a iniciar sesión en la consola de administración.
Los paquetes de idiomas para Symantec Data Loss Prevention se pueden obtener
de Symantec File Connect.
Para agregar un paquete de idiomas (Windows)

1 Advierta a los usuarios que cualquier persona que esté usando actualmente
la consola de administración de Enforce Server debe guardar su trabajo y
cerrar la sesión.
2 Ejecute la utilidad de paquete de idiomas con el indicador -a seguido por el
nombre del archivo ZIP para ese paquete de idiomas. Escriba:
LanguagePackUtility -a filename
donde filename es el nombre y la ruta completos del archivo ZIP del paquete
de idiomas.
Por ejemplo, si el archivo ZIP del paquete de idiomas japonés se almacena
en c:\temp, agréguelo escribiendo:
LanguagePackUtility -a c:\temp\Symantec_DLP_15.0_Japanese.zip
Para agregar varios paquetes de idiomas durante la misma sesión, especifique

varios nombres de archivo, separados por espacios, por ejemplo:
LanguagePackUtility -a
c:\temp\Symantec_DLP_15.0_Japanese.zip
Symantec_DLP_15.0_Chinese.zip
3 Inicie sesión en la consola de administración de Enforce Server y confirme

que la nueva opción de idioma está disponible en la pantalla Editar
configuración general. Para ello, vaya a Sistema > Configuración > General
> Configurar > Editar configuración general.
Para agregar un paquete de idiomas (Linux)
cerrar la sesión.
2 Abra una sesión de terminal en el host Enforce Server y cambie a
DLP_system_account ejecutando el comando siguiente:
su - DLP_system_account
3 Ejecute el comando siguiente:

DLP_home/Protect/bin/LanguagePackUtility -a <ruta al archivo zip
del paquete de idiomas>

que la nueva opción de idioma está disponible en la pantalla Editar
Para eliminar un paquete de idiomas
cerrar la sesión.
2 Ejecute la utilidad de paquete de idiomas con el indicador -r seguido por el
código de la configuración regional de Java del paquete de idiomas que desee
eliminar. Escriba:
LanguagePackUtility -r locale
donde locale es un código de configuración regional de Java válido

correspondiente a un paquete de idiomas de Symantec Data Loss Prevention.
Por ejemplo, para eliminar el paquete de idiomas francés, escriba:
LanguagePackUtility -r fr_FR
Para eliminar varios paquetes de idiomas durante la misma sesión, especifique

varios nombres de archivo, separados por espacios.
que el paquete de idiomas ya no está disponible en la pantalla Editar
Eliminar un paquete de idiomas tiene los efectos siguientes:
■ Los usuarios ya no pueden seleccionar la configuración regional del paquete
de idioma eliminado para el uso individual.
Nota: Si la configuración regional del paquete de idiomas es compatible con la

versión de Java requerida para ejecutar Symantec Data Loss Prevention, el
administrador puede especificarlo más tarde como configuración regional
alternativa para los usuarios que la necesiten.
■ La configuración regional se restablece en la opción predeterminada de todo

el sistema configurada por el administrador.
■ Si el idioma eliminado era la configuración regional predeterminada de todo el
sistema, la configuración regional de sistema se restablece en idioma inglés.
Para cambiar o agregar una configuración regional
cerrar la sesión.
2 Ejecute la utilidad de paquete de idiomas usando el indicador -c seguido por
el código de la configuración regional de Java para la configuración regional
que desee cambiar o agregar. Escriba:
LanguagePackUtility -c locale
donde locale es un código de configuración regional válido reconocido por

Java, tal como pt_PT para el idioma portugués.
Por ejemplo, para cambiar la configuración regional al portugués brasileño,
escriba:
LanguagePackUtility -c pt_BR

que la nueva configuración regional alternativa está disponible en la pantalla
Editar configuración general. Para ello, vaya a Sistema > Configuración
> General > Configurar > Editar configuración general.
Si especifica una configuración regional para la cual no haya un paquete de
idiomas, aparecerá el mensaje "No hay traducciones disponibles” al lado
del nombre de la configuración regional. Esto significa que el orden de formato
y clasificación es apropiado para la configuración regional, pero las pantallas
de la consola de administración de Enforce Server y la ayuda en pantalla no
están traducidas.
Nota: Los administradores solamente pueden poner una configuración regional

adicional a disposición de los usuarios que no se base en un paquete de idiomas
de Symantec Data Loss Prevention previamente instalado.
Sección 2
Cómo administrar la
plataforma de Enforce Server
■ Capítulo 4. Cómo administrar los servicios y la configuración de Enforce Server
■ Capítulo 5. Cómo administrar roles y usuarios
■ Capítulo 6. Cómo conectarse a los directorios del grupo
■ Capítulo 7. Cómo administrar credenciales almacenadas
■ Capítulo 8. Cómo administrar eventos y mensajes del sistema
■ Capítulo 9. Administrar la base de datos de Symantec Data Loss Prevention
■ Capítulo 10. Utilización de Symantec Information Centric Encryption
■ Capítulo 11. Cómo agregar un nuevo módulo del producto

Capítulo 4
Cómo administrar los
servicios y la configuración
de Enforce Server
■ Acerca de los servicios de Symantec Data Loss Prevention
■ Acerca de iniciar y detener servicios en Windows
■ Cómo iniciar y detener los servicios en Linux
Acerca de los servicios de Symantec Data Loss

Prevention
Los servicios de Symantec Data Loss Prevention pueden necesitar ser detenidos
y ser iniciados periódicamente. Esta sección proporciona una descripción breve
de cada servicio y de cómo iniciar y detener los servicios en las plataformas
admitidas.
Los servicios de Symantec Data Loss Prevention para Enforce Server se describen
en la tabla siguiente:
Tabla 4-1 Servicios de Symantec Data Loss Prevention
Nombre del servicio Descripción
Vontu Manager Proporciona servicios centralizados de elaboración de informes

y servicios para Symantec Data Loss Prevention.
Cómo administrar los servicios y la configuración de Enforce Server 103
Acerca de iniciar y detener servicios en Windows
Nombre del servicio Descripción
Controlador de servidores Controla los servidores de detección.

de detección de Vontu
Vontu Notifier Proporciona las notificaciones de base de datos.
Vontu Incident Persister Escribe los incidentes en la base de datos.
Vontu Update Instala actualizaciones del sistema Symantec Data Loss

Prevention.
Ver "Acerca de iniciar y detener servicios en Windows" en la página 103.

Los procedimientos para iniciar y detener los servicios varían según la configuración
de instalación y entre servidores Enforce y de detección.
■ Ver "Cómo iniciar Enforce Server en Windows" en la página 103.
■ Ver "Cómo detener un Enforce Server en Windows" en la página 104.
■ Ver "Cómo iniciar un servidor de detección en Windows" en la página 104.
■ Ver "Cómo detener un servidor de detección en Windows" en la página 105.
■ Ver "Cómo iniciar los servicios en las instalaciones de Windows de un solo
nivel" en la página 105.
■ Ver "Cómo detener los servicios en instalaciones de Windows de un solo nivel"
en la página 106.
Cómo iniciar Enforce Server en Windows

Use el procedimiento siguiente para iniciar los servicios de Symantec Data Loss
Prevention en un Enforce Server en Windows.
Para iniciar los servicios de Symantec Data Loss Prevention en un Enforce Server
en Windows
1 En el equipo que alberga Enforce Server, navegue a Inicio > Todos los
programas > Herramientas administrativas > Servicios para abrir el menú
Servicios de Windows.
2 Inicie los servicios de Symantec Data Loss Prevention en el orden siguiente:
■ VontuNotifier
■ VontuManager
■ VontuIncidentPersister
■ VontuMonitorController (si corresponde)
■ VontuUpdate (si es necesario)
Nota: Inicie el servicioVontuNotifier antes de iniciar otros servicios.
Ver "Cómo detener un Enforce Server en Windows" en la página 104.
Cómo detener un Enforce Server en Windows

Use el procedimiento siguiente para detener los servicios de Symantec Data Loss
Prevention en un Enforce Server en Windows.
Para detener los servicios de Symantec Data Loss Prevention en un Enforce Server
en Windows
1 En el equipo que alberga Enforce Server, navegue a Inicio > Todos los
programas > Herramientas administrativas > Servicios para abrir el menú
Servicios de Windows.
2 Desde el menú Servicios, detenga todos los servicios de Symantec Data Loss
Prevention en ejecución, en el siguiente orden:
■ VontuManager
■ VontuNotifier
Ver "Cómo iniciar Enforce Server en Windows" en la página 103.
Cómo iniciar un servidor de detección en Windows

Para iniciar los servicios de Symantec Data Loss Prevention en un servidor de
detección en Windows
1 En el equipo que alberga al servidor de detección, navegue a Inicio > Todos
los programas > Herramientas administrativas > Servicios para abrir el
menú Servicios de Windows.
2 Inicie los servicios de Symantec Data Loss Prevention, que pueden incluir los
servicios siguientes:
■ VontuMonitor
■ VontuUpdate
Ver "Cómo detener un servidor de detección en Windows" en la página 105.
Cómo detener un servidor de detección en Windows

Prevention en un servidor de detección en Windows.
Para detener los servicios de Symantec Data Loss Prevention en un servidor de
detección en Windows
1 En el equipo que alberga al servidor de detección, navegue a Inicio > Todos
los programas > Herramientas administrativas > Servicios para abrir el
menú de servicios de Windows.
Prevention en ejecución, incluidos los servicios siguientes:
■ VontuUpdate
■ VontuMonitor
Ver "Cómo iniciar un servidor de detección en Windows" en la página 104.
Cómo iniciar los servicios en las instalaciones de Windows de un

solo nivel
Prevention en una instalación de Windows de un solo nivel.
Para iniciar los servicios de Symantec Data Loss Prevention en una instalación de
Windows de un solo nivel
1 En el equipo que alberga las aplicaciones del servidor de Symantec Data Loss
Prevention, navegue a Inicio > Todos los programas > Herramientas
administrativas >Servicios para abrir el menú Servicios de Windows.
2 Inicie el Symantec Data Loss Prevention en el orden siguiente:
■ VontuNotifier
■ VontuManager
■ VontuMonitor

Cómo iniciar y detener los servicios en Linux
Nota: Inicie el servicioVontuNotifier antes de iniciar otros servicios.
Ver "Cómo detener los servicios en instalaciones de Windows de un solo nivel"

en la página 106.
Cómo detener los servicios en instalaciones de Windows de un solo

nivel
Prevention en una instalación de Windows de un solo nivel.
Para detener los servicios de Symantec Data Loss Prevention en una instalación
de Windows de un solo nivel
1 En el equipo que alberga las aplicaciones de servidor de Symantec Data Loss
Prevention, navegue a Inicio > Todos los programas > Herramientas
administrativas > Servicios para abrir el menú de servicios de Windows.
Prevention en ejecución, en el siguiente orden:
■ VontuMonitor
■ VontuManager
■ VontuNotifier
Ver "Cómo iniciar los servicios en las instalaciones de Windows de un solo nivel"
en la página 105.

Los procedimientos para iniciar y detener los servicios varían según la configuración
de instalación y entre servidores Enforce y de detección.
■ Ver "Cómo iniciar Enforce Server en Linux" en la página 107.
■ Ver "Cómo detener un Enforce Server en Linux" en la página 107.
■ Ver "Cómo iniciar un servidor de detección en Linux" en la página 108.
■ Ver "Cómo detener un servidor de detección en Linux" en la página 108.
■ Ver "Cómo iniciar los servicios en las instalaciones de Linux de un solo nivel"
en la página 109.
■ Ver "Cómo detener los servicios en instalaciones de Linux de un solo nivel"
en la página 110.
Cómo iniciar Enforce Server en Linux

Prevention en Enforce Server en Linux.
Para iniciar los servicios de Symantec Data Loss Prevention en un Enforce Server
en Linux
1 En el equipo que alberga Enforce Server, inicie sesión como raíz.
2 Cambie el directorio a /opt/SymantecDLP/Protect/bin.
3 Antes de iniciar otros servicios de Symantec Data Loss Prevention, para iniciar
el servicio de Vontu Notifier, escriba:
./VontuNotifier.sh start
4 Para iniciar los servicios restantes de Symantec Data Loss Prevention, escriba:
./VontuManager.sh start
./VontuIncidentPersister.sh start
./VontuUpdate.sh start
./VontuMonitorController.sh start
Ver "Cómo detener un Enforce Server en Linux" en la página 107.
Cómo detener un Enforce Server en Linux

Prevention en un Enforce Server en Linux.
Para detener los servicios de Symantec Data Loss Prevention en un Enforce Server
en Linux
1 En el equipo que alberga Enforce Server, inicie sesión como raíz.
3 Para detener todos los servicios de Symantec Data Loss Prevention en
ejecución, escriba:
./VontuUpdate.sh stop
./VontuIncidentPersister.sh stop
./VontuManager.sh stop
./VontuMonitorController.sh stop
./VontuNotifier.sh stop
Ver "Cómo iniciar Enforce Server en Linux" en la página 107.
Cómo iniciar un servidor de detección en Linux

Prevention en un servidor de detección en Linux.
Para iniciar los servicios de Symantec Data Loss Prevention en un servidor de
detección en Linux
1 En el equipo que alberga el servidor de detección, inicie sesión como raíz.
3 Para iniciar los servicios de Symantec Data Loss Prevention, escriba:
./VontuMonitor.sh start
Ver "Cómo detener un servidor de detección en Linux" en la página 108.
Cómo detener un servidor de detección en Linux

Prevention en un servidor de detección en Linux.
Para detener los servicios de Symantec Data Loss Prevention en un servidor de

detección en Linux
1 En el equipo que alberga el servidor de detección, inicie sesión como raíz.
./SyamantecDLPUpdate.sh stop
./VontuMonitor.sh stop
Ver "Cómo iniciar un servidor de detección en Linux" en la página 108.
Cómo iniciar los servicios en las instalaciones de Linux de un solo

nivel
Prevention en una instalación de Linux de un solo nivel.
Para iniciar los servicios de Symantec Data Loss Prevention en una instalación de
Linux de un solo nivel
1 En el equipo que alberga las aplicaciones del servidor de Symantec Data Loss
Prevention, inicie sesión como raíz.
3 Antes de iniciar otros servicios de Symantec Data Loss Prevention, para iniciar
el servicio de Vontu Notifier, escriba:
./VontuNotifier.sh start
4 Para iniciar los servicios restantes de Symantec Data Loss Prevention, escriba:
./VontuManager.sh start
./VontuMonitor.sh start
./VontuIncidentPersister.sh start
./VontuMonitorController.sh start
Ver "Cómo detener los servicios en instalaciones de Linux de un solo nivel"

en la página 110.
Cómo detener los servicios en instalaciones de Linux de un solo

nivel
Prevention en una instalación de Linux de un solo nivel.
Para detener los servicios de Symantec Data Loss Prevention en una instalación
de Linux de un solo nivel
1 En el equipo que alberga los servidores de Symantec Data Loss Prevention,
inicie sesión como raíz.
./VontuUpdate.sh stop
./VontuIncidentPersister.sh stop
./VontuManager.sh stop
./VontuMonitor.sh stop
./VontuMonitorController.sh stop
./VontuNotifier.sh stop
Ver "Cómo iniciar los servicios en las instalaciones de Linux de un solo nivel"
en la página 109.
Capítulo 5
Cómo administrar roles y
usuarios
■ Acerca del control de acceso basado en roles
■ Acerca de cómo configurar roles y usuarios
■ Acerca de la recomendación de roles para su organización
■ Roles incluidos con paquetes de soluciones
■ Configurar roles
■ Configurar cuentas de usuario
■ Configuración de los valores de aplicación de contraseña
■ Restablecer la contraseña de administrador
■ Administrar y agregar roles
■ Administración y adición de usuarios
■ Acerca de autenticar usuarios
■ Configuración de autenticación de usuario
■ Integración de Active Directory para la autenticación de usuario
■ Acerca de la configuración de autenticación de certificado

Cómo administrar roles y usuarios 112
Acerca del control de acceso basado en roles
Acerca del control de acceso basado en roles

Symantec Data Loss Prevention proporciona control de acceso basado en roles
para controlar cómo los usuarios acceden a las funciones y funcionalidad del
producto. Por ejemplo, un rol puede permitir a los usuarios ver informes, pero evita
que los usuarios creen políticas o eliminen incidentes. O, un rol puede permitir a
los usuarios ser autores de reglas de respuesta de políticas, pero no de reglas de
detección.
Los roles determinan lo que puede ver y hacer un usuario en la consola de
administración de Enforce Server. Por ejemplo, el rol del informe es un rol específico
que se incluye en la mayoría de los paquetes de soluciones de Symantec Data
Loss Prevention. Los usuarios en el rol del informe pueden ver incidentes y las
políticas de la creación, y configurar los destinos de Discover (si usted está
ejecutando un servidor de descubrimiento). Sin embargo, los usuarios en el rol del
informe no pueden crear Datos estructurados o Perfiles de documento. Además,
los usuarios en el rol del informe no pueden realizar tareas de la administración
del sistema. Cuando un usuario inicia sesión en el sistema en el rol de informe, los
módulos Administrar > Perfiles de datos y Sistema > Administración de inicios
de sesión de la consola de administración de Enforce Server no son visibles para
este usuario.
Es posible asignar un usuario a más de un rol. La pertenencia a varios roles permite
que un usuario realice diversas clases de trabajo en el sistema. Por ejemplo, se
concede pertenencia al usuario administrador de seguridad de la información
(Administrador de InfoSec) en dos roles: ISR (primer contestador de la seguridad
de la información) e ISMO (administrador de seguridad de la información). El
Administrador de InfoSec puede iniciar sesión en el sistema como un primer
contestador (ISR) o administrador (ISMO), dependiendo de las tareas a realizar.
El administrador de InfoSec ve solamente los componentes de Enforce Server
apropiados para esas tareas.
Es posible también combinar grupos de políticas y roles para limitar las políticas y
los servidores de detección que un usuario puede configurar. Por ejemplo, se
asocia un rol al grupo de políticas de la oficina europea. Este rol concede el acceso
a las políticas que se diseñan solamente para la oficina europea.
Ver "Implementación de políticas" en la página 396.
Los usuarios que son asignados a varios roles deben especificar el rol deseado al
iniciar sesión. Considere un ejemplo donde se asigna al usuario con el nombre
“Usuario01” a dos roles, “informe” y “Administrador de sistema”. Si “Usuario01”
quisiera iniciar sesión en el sistema para administrar el sistema, el usuario iniciaría
sesión con la sintaxis siguiente: Inicio de sesión: Administrador de
sistema/Usuario01
Acerca de cómo configurar roles y usuarios

en la página 80.
El usuario Administrador (creado durante la instalación) tiene acceso a cada parte
del sistema y por lo tanto no es un miembro de ningún rol del control de acceso.
Acerca de cómo configurar roles y usuarios

Cuando instala Enforce Server, crea un usuario de administrador predeterminado
que tiene acceso a todos los roles. Si importa un paquete de soluciones a Enforce
Server, el paquete de soluciones incluye varios roles y usuarios para empezar a
trabajar.
Es posible que desee agregar roles y usuarios a Enforce Server. Cuando agrega
roles y usuarios, tenga en cuenta las siguientes instrucciones:
■ Comprenda los roles necesarios para los usuarios empresariales y para los
procedimientos y los requisitos de seguridad de la información de su
organización.
Ver "Acerca de la recomendación de roles para su organización" en la página 113.
■ Revise los roles que se crearon cuando instaló un paquete de soluciones. Es
posible que pueda usar varios de ellos (o versiones modificadas de ellos) para
los usuarios de su organización.
Ver "Roles incluidos con paquetes de soluciones" en la página 115.
■ Si es necesario, modifique los roles del paquete de soluciones y cree nuevos
roles necesarios.
■ Cree usuarios y asigne cada uno de ellos a uno o más roles.
■ Administre roles y usuarios y elimínelos si no los usa.
Ver "Administrar y agregar roles" en la página 132.
Ver "Administración y adición de usuarios" en la página 133.
Acerca de la recomendación de roles para su

organización
Para determinar los roles más útiles para su organización, revise los requisitos de
seguridad y los procesos del negocio.
Acerca de la recomendación de roles para su organización
La mayoría de los negocios y las organizaciones consideran que los siguientes

roles son fundamentales cuando implementan el sistema Symantec Data Loss
Prevention:
■ Administrador del sistema
Este rol proporciona acceso al módulo Sistema y las opciones de menú
asociadas en la consola de administración de Enforce Server. Los usuarios con
este rol pueden supervisar y administrar Enforce Server y los servidores de
detección. Los usuarios con este rol también pueden implementar servidores
de detección y ejecutar análisis de detección. Sin embargo, los usuarios con
este rol no pueden ver información detallada de incidentes ni crear políticas de
forma detallada. Todos los paquetes de soluciones crean un rol de
“Administrador del sistema” que tiene privilegios de administrador del sistema.
■ Administrador de usuario
Este rol concede a los usuarios el derecho de administrar usuarios y roles. Este
rol no concede típicamente ningún otro acceso o privilegio. Debido al potencial
de uso incorrecto, se recomienda no asignar este rol a más de dos personas
en la organización (principal y reemplazo).
■ Administrador de políticas
Este rol concede a usuarios el derecho de administrar políticas y reglas de
respuesta. Este rol no concede típicamente ningún otro acceso o privilegio.
Debido al potencial de uso incorrecto, se recomienda no asignar este rol a más
de dos personas en la organización (principal y reemplazo).
■ Autor de políticas
Este rol proporciona acceso al módulo Políticas y las opciones de menú
asociadas en la consola de administración de Enforce Server. Este rol se adapta
a los administradores de seguridad de la información que realizan un seguimiento
de incidentes y responden a las tendencias de riesgo. Un administrador de
seguridad de la información puede crear o modificar las nuevas políticas
existentes para evitar la pérdida de datos. Todos los paquetes de soluciones
crean un rol de “Administrador de InfoSec” (ISM) que tiene privilegios de autoría
de políticas.
■ Contestador de incidentes
Este rol proporciona acceso al módulo Incidentes y las opciones de menú
asociadas en la consola de administración de Enforce Server. Los usuarios con
este rol pueden realizar un seguimiento y reparar incidentes. Los negocios
suelen tener al menos dos roles de contestador de incidentes que proporcionen
dos niveles de privilegios para ver incidentes y responder a ellos.
Un contestador de primer nivel puede ver la información genérica del incidente,
pero no puede acceder a los detalles del incidente (como identidad del remitente
o del destinatario). Además, un contestador de primer nivel puede realizar cierta
Roles incluidos con paquetes de soluciones
reparación del incidente, como elevar un incidente o informar el infractor de

políticas de seguridad corporativas. Un contestador de segundo nivel puede
ser el contestador superior que tiene la capacidad de ver los detalles del
incidente y editar los atributos personalizados. Un contestador de tercer nivel
puede ser un contestador de investigación que puede crear reglas de respuesta,
políticas y grupos de políticas.
Los paquetes de soluciones crean un rol de “Contestador de InfoSec” (ISR).
Este rol se desempeña como contestador de primer nivel. Es posible usar el
rol de ISM (Administrador de InfoSec) para proporcionar acceso al contestador
de segundo nivel.
Su negocio necesita probablemente variaciones en estos roles, así como en otros
roles. Para obtener más ideas sobre estos y otros posibles roles, consulte las
descripciones de roles que se importan con paquetes de soluciones.
Ver "Roles incluidos con paquetes de soluciones" en la página 115.

Los diversos paquetes de soluciones que se ofrecen con Symantec Data Loss
Prevention crean roles y usuarios cuando se instalan. Para todos los paquetes de
soluciones, existe un conjunto estándar de roles y de usuarios. Es posible ver cierta
variación en esos roles y usuarios, dependiendo del paquete de soluciones que
importa.
La siguiente tabla resume los roles del paquete de soluciones de servicios
financieros. Estos roles son en gran parte iguales a los roles que se encuentran
en otros paquetes de soluciones de Symantec Data Loss Prevention.
Tabla 5-1 Roles del paquete de soluciones de servicios financieros
Nombre de rol Descripción
Cumplimiento Responsable del cumplimiento:
■ Los usuarios con este rol pueden ver, reparar y eliminar

incidentes; buscar atributos; y editar todos los atributos
personalizados.
■ Este rol integral proporciona a los usuarios privilegios para
asegurar la satisfacción de las regulaciones de cumplimiento.
Además, permite que los usuarios desarrollen estrategias de
reducción de riesgo en un nivel de la unidad de negocio (BU) y
vean las tendencias del incidente y la clasificación de riesgos.
Exec Ejecutivo:

incidentes; buscar atributos; y ver todos los atributos
personalizados.
■ Este rol proporciona a los usuarios privilegios de acceso para
evitar riesgos de pérdida de datos en el nivel macro. Los usuarios
con este rol pueden revisar las tendencias de riesgos y las
medidas de rendimiento, así como los tableros digitales de
incidentes.
HRM Administrador de RR. HH.:

personalizados.
responder a los incidentes de seguridad relacionados con
infracciones del empleado.
Investigador Investigador de incidentes:

personalizados.
investigar detalles de incidentes, incluido el reenvío de incidentes
de argumentación. Los usuarios con este rol pueden además
investigar a empleados específicos.
ISM Administrador de InfoSec:

incidentes. Pueden buscar atributos y editar todos los atributos,
políticas del autor y reglas de respuesta personalizados.
■ Este rol proporciona a los usuarios privilegios de respuesta ante
incidentes de segundo nivel. Los usuarios pueden administrar
incidentes elevados dentro del equipo de seguridad de la
información.
Configurar roles
ISR Contestador de InfoSec:

incidentes; buscar atributos; y ver o editar algunos atributos
personalizados. No tienen ningún acceso a los detalles de
identidad del remitente o del destinatario.
■ Este rol proporciona a los usuarios privilegios de respuesta ante
incidentes de primer nivel. Los usuarios pueden ver incidentes
de políticas, buscar procesos de negocio defectuosos y alistar el
soporte del equipo de reparación extendida para reparar
incidentes.
Informe Autoría de políticas y elaboración de informes:
■ Los usuarios en este rol pueden ver y reparar los incidentes y las
políticas del autor. No tienen acceso a los detalles del incidente.
■ Este rol proporciona un único rol para la autoría de políticas y la
administración de riesgos de pérdida de datos.
Administrador del Administrador del sistema:

sistema
■ Los usuarios con este rol pueden administrar el sistema y los
usuarios del sistema, además de ver incidentes. No tienen acceso
a los detalles del incidente.
Configurar roles
Cada usuario de Symantec Data Loss Prevention es asignado a uno o más roles
que definen los privilegios y los derechos que el usuario tiene dentro del sistema.
Un rol de usuario determina privilegios de administración del sistema, derechos de
autoría de políticas, acceso a incidentes y más. Si un usuario es un miembro de
varios roles, el usuario debe especificar el rol al iniciar sesión, por ejemplo: Inicio
de sesión: Sys Admin/sysadmin01.
Ver "Acerca de cómo configurar roles y usuarios" en la página 113.
Para configurar un rol
1 Vaya a la pantalla Sistema > Administración de inicios de sesión > Roles.
2 Haga clic en Agregar rol.
La pantalla Configurar rol aparece, mostrando las fichas siguientes: General,
Acceso a incidente, Administración de políticas y Usuarios.
3 En la ficha General :
Configurar roles
■ Escriba un Nombre único para el rol. El campo de nombre distingue entre

mayúsculas y minúsculas, y se limita a 30 caracteres. El nombre que se
escribe debe ser corto y descriptivo. Use el campo Descripción para anotar
el nombre del rol y para explicar su propósito más en detalle. El nombre
del rol y la descripción aparece en la pantalla Lista de roles.
■ En la sección Privilegios de usuario, se conceden los privilegios de usuario
para el rol.
Privilegios del sistema :
Administración Seleccione la opción Administración de usuarios para permitir

de usuarios a los usuarios crear roles adicionales y usuarios en Enforce
(superusuario) Server.
Administración Seleccione la opción Administración de servidores para

de servidores permitir a los usuarios realizar las siguientes funciones:
■ Configurar los servidores de detección.
■ Cree y administre perfiles de datos para Coincidencia de
datos estructurados (EDM), Reconocimiento de formularios,
Coincidencia de documentos indizados (IDM) y Aprendizaje
de máquina vectorial (VML).
■ Configure y asigne los atributos del incidente.
■ Configure el sistema.
■ Configure las reglas de respuesta.
■ Cree los grupos de políticas.
■ Configure los protocolos de reconocimiento.
■ Consulte los informes de eventos e informes del sistema.
■ Importe políticas.
Nota: Seleccione Administración de servidores para
proporcionar privilegios de administración de agentes.
Configurar roles
Administración Seleccione la opción Administración de agentes para permitir

de agentes a los usuarios realizar las siguientes funciones:
■ Revisar el estado del agente
■ Revisar los eventos del agente
■ Administrar los agentes y realizar las tareas de la solución
de problemas
■ Eliminar, reiniciar y cerrar los agentes
■ Cambiar el servidor de endpoints al cual los agentes se
conectan
■ Extraer registros del agente
■ Acceder a los informes resumidos del agente
■ Añadir y actualizar la configuración de agente
■ Administrar y crear los grupos de agentes
■ Consultar los conflictos del grupo de agentes
■ Revisar los registros del servidor
■ Administrar los registros del servidor, lo que incluye cancelar
la recopilación de registros, configurar los registros y
descargar y eliminar los registros
Privilegio Personas :
Elaboración Seleccione la opción Elaboración de informes del usuario para

de informes permitir a los usuarios ver el resumen de riesgo del usuario.
del usuario
Nota: El privilegio Incidente > Ver se habilita de forma automática
(Resumen de
para todos los tipos de incidente de los usuarios con el privilegio
riesgos,
Elaboración de informes del usuario.
instantáneas
del usuario) Ver "Acerca del riesgo del usuario" en la página 1667.
■ En la sección Incidentes, se concede a usuarios con este rol los privilegios

siguientes del incidente: Esta configuración se aplica a todos los informes
de incidente en el sistema, incluido el resumen ejecutivo, el resumen de
incidentes, la lista de incidentes y las instantáneas de incidentes.
Configurar roles
Ver Seleccione la opción Ver para permitir a los usuarios con este
rol ver incidentes de la infracción de políticas.
Es posible personalizar el acceso de visualización de incidentes
seleccionando diversas opciones de Acciones y Mostrar
atributo de la siguiente manera:
■ De forma predeterminada, la opción Ver está habilitada
(seleccionada) para todos los tipos de incidentes:
Incidentes de Network, Incidentes de Discover e
Incidentes de Endpoint.
■ Para restringir el acceso de visualización solamente a
ciertos tipos de incidentes, seleccione (destaque) el tipo de
incidente que desee autorizar para que este rol pueda ver.
(Mantenga presionada la tecla Ctrl para hacer varias
selecciones). Si un rol no permite que un usuario vea la
parte de un informe de incidentes, la opción se reemplaza
con “No autorizó” o está en blanco.
Nota: Si revoca un privilegio de visualización de incidente para
un rol, el sistema elimina cualquier informe guardado para ese
rol que se base en el privilegio revocado. Por ejemplo, si se
revoca (anula la selección) el privilegio de ver incidentes de
red, el sistema elimina cualquier informe de incidentes de red
guardado asociado al rol.
Configurar roles
Acciones Seleccione entre las Acciones siguientes para personalizar

las acciones que un usuario puede realizar cuando ocurre un
incidente:
■ Reparar incidentes
Este privilegio permite a los usuarios cambiar el estado o
la gravedad de un incidente, configurar un propietario de
los datos, agregar un comentario al historial del incidente,
configurar las opciones No ocultar y Permitir ocultar, y
ejecutar acciones de la regla de respuesta. Además, si
usted está utilizando la elaboración de informes de
incidentes y la API de actualización, seleccione este
privilegio para reparar los atributos de ubicación y estado.
■ Reglas de respuesta inteligente para ejecutar
Se especifica qué reglas de respuesta inteligente puede
ejecutar en base al rol. Las reglas de respuesta inteligente
configuradas se detallan en la columna de "Disponible" a
la izquierda. Para exponer una regla de respuesta inteligente
para su ejecución por parte de un usuario de este rol,
selecciónela y haga clic en la flecha para agregarla a la
columna derecha. Use la tecla CTRL para seleccionar varias
reglas.
■ Ejecutar búsqueda de atributo
Permite a los usuarios buscar los atributos del incidente de
los orígenes externos y completar los valores para la
reparación del incidente.
■ Eliminar incidentes
Permite a los usuarios eliminar un incidente.
■ Ocultar incidentes
Permite a los usuarios ocultar un incidente.
■ Mostrar incidentes
Permite a los usuarios restaurar los incidentes previamente
ocultos.
■ Exportar archivo de almacenamiento web
Permite a los usuarios exportar un informe que el sistema
compila de un archivo de almacenamiento web de
incidentes.
■ Exportar a XML
Permite a los usuarios exportar un informe de incidentes
en el formato XML.
■ Informe de incidente de correo electrónico como archivo
adjunto CSV
Permite a los usuarios enviar por correo electrónico como
archivo adjunto un informe que contiene una lista de detalles
de incidentes separados por comas.
Configurar roles
Elaboración de Seleccione entre los privilegios de usuario siguientes para

informes de habilitar el acceso a los clientes de servicios web que usan la
incidente y API elaboración de informes de incidente y actualizan la API de
de actualización elaboración de informes rechazada:
■ Elaboración de informe de incidente
Permite a los clientes de servicios web recuperar los detalles
del incidente.
■ Actualización del incidente
Permite a los clientes de servicios web actualizar los detalles
del incidente. (No se aplica a los clientes que usan la API
de elaboración de informes rechazada).
Consulte la Guía de desarrolladores de API actualización y

elaboración de informes de incidente de Symantec Data Loss
Prevention para obtener más información.
Configurar roles
Visualizar Seleccione entre las siguientes opciones de Visualizar

atributos atributos para personalizar qué atributos aparecen en la vista
Incidentes para las infracciones de políticas que los usuarios
del rol pueden ver.
Los atributos de Compartido son comunes a todos los tipos

de incidentes:
■ Coincidencias
El texto resaltado del mensaje que infringió la política
aparece en la ficha Coincidencias de la pantalla
Instantánea de incidente.
■ Historial
El historial del incidente.
■ Cuerpo
El cuerpo del mensaje.
■ Archivos adjuntos
Los nombres de los archivos adjuntos o archivos.
■ Remitente
El remitente del mensaje.
■ Destinatarios
Los destinatarios del mensaje.
■ Asunto
El asunto del mensaje.
■ Mensaje original
Controla si el mensaje original que causó el incidente de la
infracción de políticas puede ser visto.
Nota: Para ver un archivo adjunto correctamente, las opciones
“Archivo adjunto” y “Mensaje original” deben estar
seleccionadas.
Los atributos de Endpoint son específicos de los incidentes

de endpoint:
■ Nombre de usuario
El nombre del usuario de endpoint.
■ Nombre del equipo
El nombre del equipo donde el agente endpoint está
instalado.
Los atributos de Discover son específicos de incidentes de
Discover:
■ Propietario del archivo
El nombre del propietario del archivo que es analizado.
■ Ubicación
La ubicación del archivo que es analizado.
Configurar roles
Atributos La lista Atributos personalizados incluye todos los atributos

personalizados personalizados configurados por el administrador del sistema,
si hay.
■ Seleccione Ver todo si desea que los usuarios puedan ver
todos los valores de atributo personalizados.
■ Seleccione Editar todo si desea que los usuarios puedan
editar todos los valores de atributo personalizados.
■ Para restringir a los usuarios a ciertos atributos
personalizados, quite la marca de la casilla de selección
Ver todo y Editar todo, seleccione individualmente la casilla
de selección Editar y/o Editar para cada atributo
personalizado a los que desee ver o editar.
Nota: Si selecciona Editar para cualquier atributo
personalizado, la casilla Ver se selecciona automáticamente
(se indica en color gris). Si desea que los usuarios con este rol
puedan ver todos los valores de atributo personalizados,
seleccione Ver todo.
■ En la sección Discover, se les conceden a usuarios en este rol los

privilegios siguientes:
Elaboración de Este privilegio permite a los usuarios ver los informes del riesgo
informes de de la carpeta. Consulte la Guía de implementación de Symantec
riesgos de Data Loss Prevention Data Insight.
carpetas
Nota: Este privilegio está solamente disponible para licencias
de Symantec Data Loss Prevention Data Insight.
Enumeración de Este privilegio permite a los usuarios configurar y ejecutar análisis

raíz de contenido de enumeración de raíz de contenido. Para obtener más
información sobre los análisis de Enumeración de raíz de
contenido, Ver "Trabajo con el análisis de Enumeración de raíz
de contenido" en la página 1867.
4 En la ficha Acceso a incidente, configure cualquier condición (filtros) en los

tipos de incidentes que los usuarios con este rol puedan ver.
Nota: Es necesario seleccionar la opción Ver en la ficha General para que la

configuración en la ficha Acceso a incidente tenga efecto.
Para agregar una condición de acceso a incidente:

■ Haga clic en Agregar condición.
Configurar roles
■ Seleccione el tipo de condición y sus parámetros de izquierda a derecha,

como si escribiera una oración. (Tenga en cuenta que la primera lista
desplegable en una condición contiene las condiciones proporcionadas
por el sistema alfabetizado que se asocian a cualquier atributo
personalizado).
Por ejemplo, seleccione Grupo de políticas de la primera lista desplegable,
seleccione Es alguno de de la segunda lista y, a continuación, seleccione
Grupo de políticas predeterminado del cuadro de lista final. Esta
configuración limitaría a los usuarios a ver solamente esos incidentes que
el grupo de políticas predeterminado detectó.
5 En la ficha Administración de políticas, seleccione una de las siguientes

opciones de privilegios de políticas para el rol:
■ Importar políticas
Este privilegio permite a los usuarios importar los archivos de políticas que
se han exportado de un Enforce Server.
Para habilitar este privilegio, el rol también debe tener los privilegios
Administración de servidor, Crear políticas, Crear reglas de respuesta
y Todos los grupos de políticas.
■ Crear políticas
Este privilegio permite a los usuarios agregar, editar y eliminar las políticas
dentro de los grupos de políticas que se seleccionan.
Además permite a los usuarios modificar los identificadores de datos del
sistema y crear identificadores de datos personalizados.
Además, permite a los usuarios crear y modificar los grupos de usuarios.
Este privilegio no permite a los usuarios crear o administrar Perfiles de
datos. Esta actividad necesita los privilegios de administrador de Enforce
Server.
■ Control de análisis de detección
Permite a los usuarios con este rol crear los destinos de Discover, ejecutar
análisis y ver los servidores de descubrimiento.
■ Administración de credenciales
Permite a los usuarios crear y modificar las credenciales que el sistema
necesita para acceder a los sistemas de destino y para realizar análisis de
detección.
■ Grupos de políticas
Seleccione Todos los grupos de políticas solamente si los usuarios con
este rol necesitan acceder a todos los grupos de políticas existentes y a
cualquiera que sea creado en el futuro.
Si no, puede seleccionar los grupos de políticas individuales o Grupo de
políticas predeterminado.
Configurar cuentas de usuario
Nota: Estas opciones no conceden el derecho de crear, de modificar o de

eliminar los grupos de políticas. Solamente los usuarios cuyo rol incluye el
privilegio Administración de servidores pueden funcionar con los grupos
de políticas.
■ Crear reglas de respuesta

Permite a los usuarios con este rol crear, editar y eliminar reglas de
respuesta.
Nota: Los usuarios no pueden editar o crear reglas de respuesta para la

reparación de políticas, a menos que se seleccione la opción Crear reglas
de respuesta.
Nota: Evitar que los usuarios creen reglas de respuesta no evita que ejecuten
reglas de respuesta. Por ejemplo, un usuario sin privilegios de autoría de reglas
de respuesta puede ejecutar reglas de respuesta inteligentes de una lista de
incidentes o una instantánea de incidente.
6 En la ficha Usuarios, seleccione cualquier usuario a quien asignar este rol.

Si aún no ha configurado ningún usuario, puede asignar usuarios a los roles
una vez que crea los usuarios.
7 Haga clic en Guardar para guardar su rol creado recientemente en la base
de datos de Enforce Server.

Las cuentas de usuario son los medios por los cuales los usuarios inician sesión
en el sistema y realizan tareas. El rol al que pertenece la cuenta de usuario limita
lo que el usuario puede hacer en el sistema.
Para configurar una cuenta de usuario:

1 En la consola de administración de Enforce Server, seleccione Sistema >
Administración de inicios de sesión > Usuarios de DLP para crear una
nueva cuenta de usuario o para reconfigurar una cuenta de usuario existente.
O bien, haga clic en Perfil para reconfigurar la cuenta de usuario en la inició
sesión.
2 Haga clic en Agregar usuario de DLP para agregar un nuevo usuario o en
el nombre de un usuario existente para modificar la configuración de ese
usuario.
3 Especifique un nombre para una nueva cuenta de usuario en el campo
Nombre.
■ El nombre de cuenta de usuario debe tener entre 8 y 30 caracteres,
distinguir entre mayúsculas y minúsculas y no contener barras invertidas
(\).
■ Si usa autenticación de certificado, el valor del campo Nombre no tiene
que coincidir con el nombre común del usuario (CN). Sin embargo, puede
elegir usar el mismo valor para Nombre y Nombre común (CN), de modo
que se pueda localizar fácilmente la configuración para un CN específico.
La consola de administración de Enforce Server muestra solamente el valor
del campo Nombre en la lista de usuarios configurados.
■ Si está utilizando la autenticación de Active Directory, el nombre de cuenta
de usuario debe coincidir con el nombre de cuenta de usuario de Active
Directory. Tenga en cuenta que todos los nombres de usuario de Symantec
Data Loss Prevention diferencian entre mayúsculas y minúsculas, aunque
no los nombres de usuario de Active Directory. Los usuarios de Active
Directory necesitarán especificar el nombre de cuenta con diferenciación
entre mayúsculas y minúsculas al registrar la consola de administración
de Enforce Server.
Ver "Integración de Active Directory para la autenticación de usuario"
en la página 144.
4 Configure la sección Autenticación de la página Configurar usuario.

Solamente las opciones configuradas están disponibles en esta página.
Opción Instrucciones
Utilizar Seleccione esta opción para usar la autenticación de SAML y permitir el inicio de sesión de
asignación de usuarios usando asignación de inicio de sesión único en la página Configurar usuario.
inicio de sesión
único
Use la Seleccione esta opción para usar la autenticación de contraseña y para permitir que el usuario
autenticación de inicie sesión con el registro de la consola de administración de Enforce Server en la página. Esta
contraseña opción es necesaria si la cuenta de usuario se usa para un cliente de servicio web de API de
elaboración de informes.
Si selecciona esta opción, también especifique la contraseña de usuario en los campos

Contraseña y Confirmar contraseña. La contraseña debe tener un mínimo de ocho caracteres
y distinguir entre mayúsculas y minúsculas. Por motivos de seguridad, la contraseña no se
muestra y cada carácter aparece como un asterisco.
Si establece la configuración avanzada de la contraseña, el usuario debe especificar una

contraseña segura. Además, la contraseña puede caducar en cierta fecha y el usuario tiene que
definir una nueva periódicamente.
Ver "Configuración de los valores de aplicación de contraseña" en la página 130.
Es posible elegir la autenticación de contraseña incluso si también utiliza la autenticación del

certificado. Si usa la autenticación de certificado, puede deshabilitar opcionalmente el inicio de
sesión del registro de la consola de administración de Enforce Server en la página.
Ver "Deshabilitación de la autenticación de contraseña y el inicio de sesión basado en formularios"

en la página 166.
Symantec Data Loss Prevention autentica a todos los clientes de API de elaboración de informes
que usan la autenticación de contraseña. Si configura Symantec Data Loss Prevention para usar
la autenticación de certificado, cualquier cuenta de usuario que se usa para acceder al servicio
web de API de elaboración de informes debe tener una contraseña válida. Consulte la Guía para
los desarrolladores de API de elaboración de informes de Symantec Data Loss Prevention.
Nota: Si configura la integración de Active Directory con Enforce Server, los usuarios se
autentican usando las contraseñas de Active Directory. En este caso, el campo de contraseña
no aparece en la pantalla Usuarios.
Ver "Integración de Active Directory para la autenticación de usuario" en la página 144.

Opción Instrucciones
Use la Seleccione esta opción para usar la autenticación de certificado y para permitir al usuario iniciar
autenticación de sesión única de forma automática con un certificado generado por una infraestructura de claves
certificado privadas (PKI) independiente. Esta opción está disponible solamente si ha configurado
manualmente el soporte para autenticación de certificado.
Ver "Acerca de autenticar usuarios" en la página 134.
Ver "Acerca de la configuración de autenticación de certificado" en la página 149.
Si selecciona esta opción, debe especificar el valor de nombre común (CN) para el usuario en
el campo Nombre común (CN). El valor de CN aparece en el campo Asunto del certificado del
usuario, que es generado por PKI. Los nombres comunes usan generalmente el formato,
first_name last_name identification_number.
Enforce Server usa el valor de CN para asignar el certificado a esta cuenta de usuario. Si un
certificado autenticado contiene el valor especificado de CN, el resto de los atributos de esta
cuenta de usuario, como las preferencias predeterminadas de rol y de elaboración de informes,
se aplican cuando el usuario inicia sesión.
Nota: No es posible especificar el mismo valor de Nombre común (CN) en varias cuentas de
usuario de Enforce Server.
Cuenta Seleccione esta opción para bloquear al usuario fuera de la consola de administración de Enforce
deshabilitada Server. Esta opción deshabilita el acceso para la cuenta de usuario sin importar qué mecanismo
de autenticación se usa.
Para la seguridad, después de algunos intentos consecutivos de inicio de sesión fallido, el sistema
deshabilita automáticamente la cuenta y bloquea al usuario. En este caso, se selecciona la
opción Cuenta deshabilitada. Para reinstalar la cuenta de usuario y permitir que el usuario inicie
sesión en el sistema, borre esta opción anulando la selección.
5 Opcionalmente, especifique la Dirección de correo electrónico y seleccione

un Idioma para el usuario en la sección General de la página. La selección
del Idioma depende del paquete de idiomas que se haya instalado.
6 En la sección Preferencias de informes de la pantalla Usuarios se especifican
las preferencias para cómo este usuario debe recibir informes de incidentes,
incluidos Codificación del archivo de texto y Delimitador CSV.
Si el rol concede el privilegio para Exportación XML, se puede seleccionar
para incluir infracciones del incidente y el historial del incidente en la
exportación de XML.
Configuración de los valores de aplicación de contraseña
7 En la sección Roles, seleccione los roles que están disponibles para este
usuario para asignar privilegios de acceso al incidente y datos.
Es necesario asignar al usuario al menos un rol para acceder a la consola de
administración de Enforce Server.
8 Seleccione el Rol predeterminado que desea asignar a este usuario al iniciar
sesión.
El rol predeterminado se aplica si no solicita ningún rol específico cuando el
usuario inicia sesión.
Por ejemplo, la consola de administración de Enforce Server usa el rol
predeterminado si el usuario usa el inicio de sesión único con la autenticación
de certificado o usa la página de inicio de sesión.
Nota: Los usuarios individuales pueden cambiar su rol predeterminado haciendo

clic en Perfil y seleccionando una opción de menú diferente del Rol
predeterminado. El nuevo rol predeterminado se aplica en el inicio de sesión
siguiente.
Ver "Acerca de autenticar usuarios" en la página 134.

9 Haga clic en Guardar para guardar la configuración de usuario.
Nota: Una vez que haya guardado un nuevo usuario, no se puede editar el
nombre de usuario.
10 Administre usuarios y roles como sea necesario.

Configuración de los valores de aplicación de

contraseña
En la pantalla Sistemas > Configuración > General puede solicitar a los usuarios
que usen contraseñas fuertes. Las contraseñas fuertes deben contener al menos
ocho caracteres, un número y una letra mayúscula. Las contraseñas fuertes no
pueden tener más de dos caracteres repetidos en una fila. Si habilita contraseñas
fuertes, el efecto se aplica a todo el sistema. Los usuarios existentes sin una
contraseña fuerte deben actualizar sus perfiles en el inicio de sesión siguiente.
Restablecer la contraseña de administrador
También puede solicitar a los usuarios que cambien sus contraseñas en intervalos
regulares. En este caso, al finalizar el intervalo que especifica, el sistema fuerza a
los usuarios a crear una nueva contraseña.
Si usa la autenticación de Active Directory, esta configuración de contraseña solo
se aplica a la contraseña de administrador. Todas las demás contraseñas de la
cuenta de usuario derivan de Active Directory.
Ver "Integración de Active Directory para la autenticación de usuario"
en la página 144.
Para configurar los valores avanzados de autenticación
1 Vaya a Sistema > Configuración > General y haga clic en Configurar.
2 Para solicitar contraseñas seguras, localice la sección Autenticación de
usuarios de DLP y seleccione Requerir contraseñas seguras.
Symantec Data Loss Prevention solicita a los usuarios existentes que no tienen
contraseñas fuertes que creen una en el inicio de sesión siguiente.
3 Para configurar el período durante el cual las contraseñas siguen siendo
válidas, escriba un número (que representa el número de días) en el campo
Período de cambio de contraseña.
Para permitir que las contraseñas permanezcan válidas de manera ilimitada,
escriba 0 (el carácter de cero).
Restablecer la contraseña de administrador

Symantec Data Loss Prevention proporciona la utilidad AdminPasswordReset para
restablecer la contraseña del administrador. No existe un método para recuperar
una contraseña perdida, pero puede usar esta utilidad para asignar una nueva
contraseña. Puede también usar esta utilidad si deshabilita los mecanismos de
autenticación de certificado y aún no ha definido una contraseña para la cuenta
de administrador.
Para usar la utilidad AdminPasswordReset, es necesario especificar la contraseña
en la base de datos de Enforce Server. Use el procedimiento siguiente para
restablecer la contraseña.
Administrar y agregar roles
Para restablecer la contraseña de administrador para el inicio de sesión basado en

formularios
1 Inicie sesión en el equipo de Enforce Server usando la cuenta que creó durante
la instalación de Symantec Data Loss Prevention.
Nota: No cambie los permisos o la propiedad en ningún archivo de

configuración de otra raíz o cuenta de administrador.
2 Cambie el directorio a /opt/SymantecDLP/Protect/bin (Linux) o

c:\SymantecDLP\Protect\bin (Windows). Si instaló Symantec Data Loss
Prevention en otro directorio, substituya la ruta correcta.
3 Ejecute la utilidad AdminPasswordReset con la sintaxis siguiente:
AdminPasswordReset -dbpass oracle_password -newpass new_administrator_password
Reemplace la contraseña_de_oracle por la contraseña de la base de datos

de Enforce Server y reemplace la contraseña_de_administrador_nueva por
la contraseña que desee configurar.
Administrar y agregar roles

La pantalla Sistema > Administración de inicios de sesión > Roles muestra
una lista alfabética de los roles que se definen para su organización.
Los roles detallados en esta pantalla muestran la siguiente información:
■ Nombre : el nombre del rol
■ Descripción : una descripción breve del rol
Asumiendo que cuenta con los privilegios apropiados, puede ver, agregar, modificar
o eliminar roles de la siguiente manera:
■ Agregue un nuevo rol o modifique uno existente.
Haga clic en Agregar rol para comenzar a agregar nuevos roles al sistema.
Haga clic en cualquier lugar de una fila o en el icono del lápiz (en el extremo
derecho) para modificar ese rol
■ Haga clic en el icono de X roja (en el extremo derecho) para eliminar el rol; un
cuadro de diálogo confirma la eliminación.
Antes de editar o eliminar roles, tenga en cuenta las siguientes pautas:
■ Si cambia los privilegios de un rol, los usuarios de ese rol que inician sesión
actualmente en el sistema no se ven afectados. Por ejemplo, si elimina la edición
Administración y adición de usuarios
de privilegios de un rol, los usuarios que inician sesión actualmente conservan

el permiso para editar atributos personalizados para esa sesión. Sin embargo,
la próxima vez que los usuarios inicien sesión, se aplicarán los cambios para
ese rol y los usuarios no podrán seguir editando atributos personalizados.
■ Si revoca un privilegio de vista de incidente para un rol, Enforce Server elimina
automáticamente cualquier informe guardado que se base en el privilegio
revocado. Por ejemplo, si se revoca el privilegio de ver incidentes de red, el
sistema elimina cualquier informe de incidentes de red guardado asociado al
rol recientemente restringido.
■ Antes de eliminar un rol, asegúrese de que no haya usuarios asociados al rol.
■ Cuando elimina un rol, elimina todos los informes guardados compartidos que
guardó un usuario en ese rol.
Administración y adición de usuarios

La pantalla Sistema > Administración de inicios de sesión > Usuarios de DLP
enumera todas las cuentas de usuario activas en el sistema.
De cada cuenta de usuario, se enumera la siguiente información:
■ Nombre de usuario : el nombre que el usuario especifica para iniciar sesión
en Enforce Server
■ Correo electrónico : la dirección de correo electrónico del usuario
■ Acceso : los roles de los cuales el usuario es miembro
Al asumir que cuenta con los privilegios apropiados, puede agregar, editar o eliminar
cuentas de usuario de la siguiente manera:
■ Agregue una nueva cuenta de usuario o modifique la existente.
Haga clic en Agregar para comenzar a agregar nuevos usuarios al sistema.
Haga clic en cualquier lugar de una fila o en el icono de lápiz (en el extremo
derecho) para ver y editar esa cuenta de usuario.
■ Haga clic en el icono de X roja (en el extremo derecho) para eliminar la cuenta
de usuario; un cuadro de diálogo confirma la eliminación.
Nota: La cuenta de administrador se crea durante la instalación y no se puede

eliminar del sistema.
Acerca de autenticar usuarios
Nota: Cuando elimina una cuenta de usuario, también elimina todos los informes
privados guardados que se asocian a ese usuario.

Las opciones de autenticación en el inicio de sesión de la consola de administración
de Enforce Server incluyen SAML, autenticación basada en formularios, Active
Directory/Kerberos y certificados.
Tabla 5-2 proporciona descripciones de estos mecanismos para autenticar a los
usuarios en la consola de administración de Enforce Server:
Tabla 5-2 Mecanismos de autenticación de Enforce Server
Mecanismo de Mecanismo de inicio Descripción

autenticación de sesión
Autenticación de Inicio de sesión único Con autenticación de SAML, la consola de administración de Enforce
SAML Server autentica a cada usuario validando el correo electrónico, el
nombre de usuario u otros atributos de usuario suministrados que se
asignan a atributos usados por el proveedor de Id.
Cuando SAML está habilitado, los usuarios acceden a la URL de la

consola de administración de Enforce Server y son redirigidos a la
página de inicio de sesión del proveedor de Id., donde escriben sus
credenciales. Después de ser autenticados con el proveedor de Id.,
sus atributos de usuario se envían a Enforce Server. Enforce Server
intenta encontrar a un usuario con los mismos atributos. Si lo encuentra,
se inicia la sesión del usuario en la consola de administración de
Enforce Server.
Archivo de plantilla de configuración usado:

springSecurityContext-SAML.xml

Autenticación de Inicio de sesión basado Con la autenticación de contraseña, la consola de administración de

contraseña en formularios Enforce Server autentica a cada usuario determinando si la combinación
proporcionada de nombre de usuario y contraseña coincide con una
cuenta de usuario activa en la configuración de Enforce Server. Se
autentica una cuenta de usuario activa si ha sido asignada a un rol
válido.
Cuando se usa este mecanismo de autenticación, los usuarios escriben

sus credenciales en la página de inicio de sesión de la consola de
administración de Enforce Server y las envía por una conexión HTTPS
al contenedor de Tomcat que alberga la consola de administración.
Con la autenticación de contraseña, es necesario configurar el nombre

de usuario y la contraseña de cada cuenta de usuario directamente en
la consola de administración de Enforce Server. Debe además
asegurarse de que cada cuenta de usuario tenga por lo menos un rol
asignado.

springSecurityContext-Form.xml
Autenticación de Inicio de sesión basado Con la autenticación de Microsoft Active Directory, la consola de
Active Directory en formularios administración de Enforce Server primero evalúa un nombre de usuario
proporcionado para determinar si el nombre existe en un servidor
configurado de Active Directory. Si el nombre de usuario existe en
Active Directory, la contraseña proporcionada para el usuario se evalúa
contra la contraseña de Active Directory. Cualquier contraseña
configurada en la configuración de Enforce Server se omite.
Con la autenticación de Active Directory, es necesario configurar una

cuenta de usuario para cada nuevo usuario de Active Directory en la
consola de administración de Enforce Server. Cuando actualiza a
Symantec Data Loss Prevention 15, sus usuarios existentes no tienen
que volver a configurarse.
No es necesario escribir una contraseña para una cuenta de usuario

de Active Directory. Es posible cambiar la autenticación de Active
Directory una vez que se han creado ya cuentas de usuario en el
sistema. Sin embargo, solamente los nombres de usuario existentes
que coinciden con nombres de usuario de Active Directory siguen
siendo válidos después del cambio.

springSecurityContext-Kerberos.xml
Ver "Verificación de la conexión de Active Directory" en la página 147.


Autenticación de Inicio de sesión único La autenticación de certificado habilita a un usuario a iniciar sesión de
certificado desde la infraestructura forma automática en la consola de administración de Enforce Server
de clave pública (PKI) usando un certificado de cliente X.509 generado por su infraestructura
de clave pública (PKI). Para usar el inicio de sesión único basado en
certificado, debe primero habilitar la autenticación de certificado según
se describe en esta sección.
Ver "Cómo configurar la autenticación de certificado para la consola

de administración de Enforce Server" en la página 151.
El certificado de cliente debe entregarse a Enforce Server cuando un

navegador de cliente ejecuta el protocolo de enlace de SSL con la
consola de administración de Enforce Server. Por ejemplo, es posible
usar un lector de tarjeta inteligente y un software intermedio con su
navegador para presentar de forma automática un certificado a Enforce
Server. O es posible que obtenga un certificado X.509 de una autoridad
de certificación y cargue el certificado a un navegador configurado para
enviar el certificado a Enforce Server.
Cuando un usuario accede a la consola de administración de Enforce

Server, PKI entrega de forma automática el certificado del usuario al
contenedor de Tomcat que alberga la consola de administración. El
contenedor de Tomcat valida el certificado de cliente usando las
autoridades de certificación que ha configurado en el almacenamiento
de confianza de Tomcat.

springSecurityContext-Certificate.xml
Ver "Cómo agregar certificados de autoridad de certificación (CA) al

almacenamiento de confianza de Tomcat" en la página 153.
La consola de administración de Enforce Server usa el certificado

validado para determinar si se ha revocado el certificado.
Ver "Acerca de las comprobaciones de revocación del certificado"

en la página 157.
Si el certificado es válido y no se ha revocado, Enforce Server usa el

nombre común (CN) en el certificado para determinar si ese CN está
asignado a una cuenta de usuario activa con un rol en la configuración
de Enforce Server. Para cada usuario que acceda a la consola de
administración de Enforce Server usando el inicio de sesión único
basado en certificado, es necesario crear una cuenta de usuario en
Enforce Server que defina el valor de CN del usuario correspondiente.
Debe además asignar uno o más roles válidos a la cuenta de usuario.

Estos son algunos aspectos importantes a observar cuando configura la

autenticación de SAML.
■ Es necesario reiniciar el administrador cuando cambia la forma de autenticación
de usuarios en SAML. Por ejemplo, si cambian los criterios de asignación de
nombre de usuario a dirección de correo electrónico. Cambiar el mecanismo
de autenticación sin reiniciar el administrador da como resultado usuarios sin
sincronizar, a medida que el sistema continúa usando el mecanismo anterior.
■ Es necesario reiniciar el administrador cuando cambia la forma de autenticación
de usuarios en SAML. Cambiar este criterio de asignación en el archivo
springSecurityContext para SAML sin reiniciar el administrador hace que
algunos usuarios queden sin sincronizar, ya que el sistema continúa usando la
versión previa del archivo. Por ejemplo, si cambian los criterios de asignación
de nombre de usuario a dirección de correo electrónico, debe reiniciar el
administrador.
■ Debe reasignar cada usuario cuando cambie la manera en que asigna los
usuarios en SAML. Cambiar la asignación de los criterios invalida la asignación
existente del usuario.
■ Es necesario validar la sintaxis del XML antes de reiniciar el administrador.
Algunos caracteres (por ejemplo, "&") que pueden ser parte de un atributo de
usuario hacen que el XML no sea válido. Debe reemplazar estos caracteres
con su cadena de escape en XML. Por ejemplo, en vez de "&", use "&amp".
■ No elimine ningún nodo del XML en los archivos XML.
■ Los nombres del atributo en el XML deben coincidir exactamente (incluyendo
las mayúsculas y minúsculas) con los nombres del atributo en el proveedor de
Id.
■ Al cambiar de la autenticación basada en formulario a SAML, es necesario
revisar cada usuario y deshabilitar el acceso mediante contraseña para los
usuarios que no cuentan con servicios web.
■ Al cambiar de la autenticación de certificado a la autenticación de SAML,
asegúrese de que el valor ClientAuth en server.xml esté fijado en false.
Si actualiza desde una versión anterior de Symantec Data Loss Prevention, puede
habilitar la autenticación de certificado copiando el archivo correspondiente de
springSecuirtyContext.xml en la carpeta WEB-INF de Tomcat.
Configuración de autenticación de usuario

Acerca de la autenticación mediante SAML
La autenticación de usuario mediante SAML (lenguaje de marcado de aserción de
seguridad) está disponible ahora para iniciar sesión en la consola de administración
de Enforce Server. SAML es un formato de datos estándar abierto basado en XML
para intercambiar los datos de autenticación y autorización entre los proveedores
de servicios y los proveedores de identidad. DLP es el proveedor de servicios.
Antes de usar SAML, es necesario configurar el proveedor de servicios y el
proveedor de identidad y asignar los atributos de usuario para identificar al usuario.
Hay tres tipos de asignación disponibles: por correo electrónico, por nombre de
usuario y por atributos de usuario personalizados. Al usar SAML, el inicio de sesión
del ROL\NOMBREDEUSUARIO para usuarios locales no se admite.
Symantec admite los siguientes proveedores de identidad tanto en las instalaciones
como en la nube:
■ SAM (Symantec Access Manager)
■ Okta
■ SSOCircle
Consulte la Guía de requisitos del sistema de Symantec Data Loss Prevention para
obtener información sobre actualizaciones en proveedores de Id. admitidos.
Configuración de la autenticación
Tabla 5-3 muestra un resumen de las tareas para la configuración con vínculos
para obtener más información sobre cada paso.
Tabla 5-3 Pasos para la configuración de la autenticación
Paso Tarea Más información
Paso 1 Edite el archivo del contexto Ver "Configuración del

de Spring para el método de método de autenticación de
autenticación. Spring" en la página 140.
Paso 2 Configure los ajustes de Para SAML:Ver

autenticación. "Configuración de los ajustes
de la autenticación mediante
SAML" en la página 142.
Para Active
Directory/Kerberos:
Ver "Configuración de la
autenticación de Active
Directory " en la página 144.
Para autenticación basada en

formularios:
Ver "Configuración de la
autenticación basada en
formularios" en la página 144.
Para certificados:
Ver "Cómo configurar la

autenticación de certificado "
en la página 144.
Paso 3 Reinicie Enforce Server. Ver "Acerca de los servicios

de Symantec Data Loss
Prevention" en la página 102.
Paso 4 Para SAML, genere y Ver "Generación o descarga

descargue los metadatos de de los metadatos de SAML
SAML del proveedor de de Enforce (proveedores de
servicios. La consola de servicios)" en la página 143.
administración de Enforce
Server es el proveedor de
servicios.
Paso 5 Para SAML, configure Ver "Configure Enforce

Enforce como proveedor de Server como proveedor de
servicios de SAML con el servicios de SAML con el
proveedor de identidad. proveedor de Id. (cree una
aplicación en su proveedor
de identidad) "
en la página 143.
Paso 6 Para SAML, descargue los Ver "Cómo exportar los

metadatos del proveedor de metadatos del proveedor de
Id. Id. a DLP" en la página 144.
Paso 7 Complete el proceso Ver "Acerca de los servicios

reiniciando Enforce Server. de Symantec Data Loss
Paso 8 Inicie sesión en la consola de Ver "URL de omisión de

administración de Enforce administrador"
Server usando la URL de en la página 140.
omisión de administrador.
Nota: La consola de administración de Enforce Server (el proveedor de servicios

en SAML) y el proveedor de Id. intercambian mensajes usando los ajustes de la
configuración. Asegúrese de que su configuración coincida con la configuración y
las funciones de su proveedor de Id. La configuración que no coincide colapsa el
sistema.
Es necesario reiniciar Enforce Server dos veces: una vez después de configurar
las opciones de autenticación en el archivo springSecurityContext.xml y una
vez después de descargar el archivo de metadatos del proveedor de Id. y
reemplazar los contenidos de idp-metadata.xml en el directorio de instalación de
Enforce con los metadatos del proveedor de Id.
URL de omisión de administrador

La URL de omisión de administrador,
https://<hostnameOrlp>/ProtectManager/admin/Logon le permite omitir la
autenticación de SAML. Es posible iniciar sesión en la consola de administración
de Enforce Server y usar autenticación basada en formularios para configurar
usuarios. Es necesario escribir esta URL en su navegador; no puede navegar a
esta URL a través de la interfaz de usuario de la consola de administración de
Enforce Server.
Nota: Solamente un inicio de sesión único está disponible con la URL de omisión.
Configuración del método de autenticación de Spring

Estos pasos presentan una descripción general de las tareas comunes para
configurar todos los métodos de autenticación. Los pasos o cambios adicionales
para cada método se explican en los "Pasos finales" después de la configuración

inicial del archivo de plantilla.
Nota: Los archivos que es necesario modificar están comentados con los detalles
que le ayudan con el proceso de actualización.
Para configuración del método de autenticación de Spring

1 Elimine el archivo springSecurityContext.xml en [su directorio de
instalación]/Protect/tomcat/webapps/ProtectManager/WEB-INF/ (o
cámbiele el nombre).
2 Vaya a la carpeta [su directorio de
instalación]/Protect/tomcat/webapps/ProtectManager/security/template
y seleccione el archivo de plantilla de configuración apropiado para su método
de autenticación:
■ SpringSecurityContext-SAML.xml para configuraciones de autenticación
de SAML
■ SpringSecurityContext-Form.xml para configuraciones de autenticación
basada en certificados de formularios y clientes
■ SpringSecurityContext-Certificate.xml para autenticación basada
en certificados de clientes solamente
■ springSecurityContext-Kerberos.xml para configuraciones de
autenticación de Kerberos y Active Directory
3 Copie el archivo que seleccionó en la carpeta [su directorio de

instalación]/Protect/tomcat/webapps/ProtectManager/WEB-INF/.
4 Cambie el nombre del archivo a springSecurityContext.xml.

5 Configure el archivo springSecurityContext.xml:
6 Pasos finales:
■ SAML: Configuración de los ajustes de la autenticación mediante SAML
para configurar las opciones de autenticación de SAML.
■ Basada en formularios: si el archivo de plantilla que copió es para
autenticación basada en formularios, no hay ajustes adicionales para
configurar. La sección Autenticación de usuario de DLP de la
Configuración general ahora indica que su método de autenticación de
usuario es Basado en formularios.
■ Certificado de cliente: para habilitar la autenticación del certificado de
cliente, fije clientAuthen want o true en <Directorio de
instalación>/Protect/tomcat/config/server.xml. La sección
Autenticación de usuario de DLP de la Configuración general ahora
indica que su método de autenticación de usuario es Certificado.
■ Active Directory: Para habilitar la autenticación de Active Directory,
reemplace el valor por krbConfLocation en [su directorio de
instalación]/Protect/tomcat/webapps/ProtectManager/WEB-INF/
con la ruta a su archivo krb5.ini.
La sección Autenticación de usuario de DLP de la Configuración general
ahora indica que su método de autenticación de usuario es Active
Directory. Es posible configurar la lista de dominios en esta sección de
Autenticación de usuario de DLP de la página Configuración general
Nota: Ya no es posible realizar la configuración inicial de Active Directory

a través de la consola de administración de Enforce Server.
Configuración de los ajustes de la autenticación mediante SAML

Obtenga información acerca de su proveedor de Id., como su opción de métodos
de autenticación, identificadores de usuario disponibles, atributos de usuario
disponibles y los metadatos necesarios del proveedor de servicios.
Abra [su directorio de
instalación]/Protect/tomcat/webapps/ProtectManager/WEB-INF/ y fije la
propiedad entityBaseURL a su URL de Enforce: https://<nombre del host o
IP>/ProtectManager.
Establezca el valor de propiedad de "nameID” editando el valor property name
="nameID” en el archivo de Spring a un identificador de nombre, como
emailAddress, WindowsDomainQualifiedName u otro nameID que su proveedor
de Id. admita. Este es un ejemplo para la dirección de correo electrónico:
<property name="nameID"
value=urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress" />
Si sus usuarios en el proveedor de Id. no pueden ser identificados únicamente por

un nameID simple y desea usar una combinación de atributos de usuario devueltos
desde el proveedor de Id. para identificar a un usuario de Data Loss Prevention,
puede establecer la propiedad userAttributes. Por ejemplo:
<bean id=userLookupService" class="com.vontu.login.spring.VontuSAMLUserDetailsService">

<!--
<property name="user Attributes">
<set>
<value>UserName</value>
<value>EmailAddress</value>
<value>EmployeeID</value>
</set>
</property>
Nota: El nombre del host no puede ser localhost a menos que desee solamente
acceder a la consola de administración de Enforce Server desde el equipo host.
Generación o descarga de los metadatos de SAML de Enforce

(proveedores de servicios)
Para descargar los metadatos de SAML de Enforce
1 Reinicie Enforce Server.
2 Inicie sesión como administrador usando la URL de omisión. Puede acceder
a esta URL de omisión directamente; no necesita iniciar una sesión a la consola
de administración de Enforce Server para acceder a esta URL.
3 Vaya a Sistema > Configuración > General y vaya a la sección Autenticación
de usuario de DLP.
4 Haga clic en el vínculo a la derecha de El archivo de configuración de SAML
para su IDP está en a fin de descargar los metadatos.
Configure Enforce Server como proveedor de servicios de SAML

con el proveedor de Id. (cree una aplicación en su proveedor de
identidad)
Estos pasos varían dependiendo del proveedor de Id. que use. Aquí encontrará
una descripción general amplia de los pasos si se usa Symantec VIP Access
Manager como su proveedor de Id.:
Para configurar Enforce Server como proveedor de servicios de SAML con el
proveedor de Id., cree una aplicación
1 Inicie sesión en la consola de administración de VIP Access Manager como
administrador.
2 Haga clic en la plantilla genérica.
3 Dé un nombre al conector.
4 Seleccione la política de acceso como SSO (inicio de sesión único).
Integración de Active Directory para la autenticación de usuario
5 Configure su portal seleccionando un icono para su sitio (este icono aparece

en el panel de información del proveedor de identidad).
6 Cargue los metadatos de Enforce Server.
Cómo exportar los metadatos del proveedor de Id. a DLP

Descargue los metadatos del proveedor de Id. y reemplace los contenidos del
archivo idp-metadata.xml en <directorio de
instalación>/Protect/tomcat/webapps/ProtectManager/security/idp-metadata.xml
con los metadatos del proveedor de Id. que descargó.
Configuración de la autenticación de Active Directory

Si el archivo de plantilla que copió es para autenticación de Active
Directory/Kerberos, abra
<InstallDirectory>/Protect/tomcat/webapps/ProtectManager/WEB-INF/springSecurityContect.xml
en un programa de edición de texto y establezca el valorkrbConfLocation en su
archivo de autenticación de Kerberos.
Configuración de la autenticación basada en formularios

Después de copiar el archivo de plantilla para la autenticación basada en
formularios, no quedan ajustes por configurar.
Cómo configurar la autenticación de certificado

Después de copiar el archivo de plantilla para autenticación basada en certificado
de cliente, vaya al archivo <Directorio de
instalación>/Protect/tomcat/config/server.xml y establezca el valor de
autorización del cliente a want o a true.
Integración de Active Directory para la autenticación

de usuario
Es posible configurar Enforce Server para usar Microsoft Active Directory para la
autenticación de usuario.
Una vez que se cambia a la autenticación de Active Directory, debe aún definir los
usuarios en la consola de administración de Enforce Server. Si los nombres de
usuario que escribe en la consola de administración coinciden con los usuarios
Active Directory, el sistema asocia cualquier cuenta de usuario nueva con las
contraseñas de Active Directory. Es posible cambiar la autenticación de Active
Directory una vez que se han creado ya cuentas de usuario en el sistema.

Solamente los nombres de usuario existentes que coinciden con nombres de
usuario de Active Directory siguen siendo válidos después del cambio.
Los usuarios deben usar sus contraseñas de Active Directory cuando inician sesión.
Tenga en cuenta que todos los nombres de usuario de Symantec Data Loss
Prevention siguen diferenciando entre mayúsculas y minúsculas, aunque no los
nombres de usuario de Active Directory. Es posible cambiar la autenticación de
Active Directory después de que se han creado nombres de usuario en Symantec
Data Loss Prevention. Sin embargo, los usuarios aún tienen que usar el nombre
de usuario de Symantec Data Loss Prevention que diferencia entre mayúsculas y
minúsculas cuando inician sesión.
Para usar la autenticación de Active Directory
1 Verifique que el host de Enforce Server tenga la hora sincronizada con el
servidor de Active Directory.
Nota: Asegúrese de que el reloj del host de Active Directory esté sincronizado
dentro de una diferencia de cinco minutos con respecto al reloj del host de
Enforce Server.
2 (Linux solamente) Asegúrese de que el siguiente RPM de Red Hat esté

instalado en el host de Enforce Server:
■ krb5-workstation
■ krb5-libs
■ pam_krb5
3 Cree el archivo de configuración krb5.ini (o krb5.conf para Linux) que da

la información de Enforce Server sobre su estructura de dominio de Active
Directory y de las direcciones del servidor de Active Directory.
Ver "Creación de un archivo de configuración para la integración de Active
Directory" en la página 146.
4 Confirme que Enforce Server puede comunicarse con el servidor de Active
Directory.
5 Configure Symantec Data Loss Prevention para usar la autenticación de Active
Directory.
Creación de un archivo de configuración para la integración de Active

Directory
Es necesario crear un archivo de configuración krb5.ini (o krb5.conf en Linux)
para brindar a Symantec Data Loss Prevention información sobre ubicaciones de
servidor y estructura de dominio de Active Directory. Este paso es necesario si
tiene más de un dominio de Active Directory. Sin embargo, aunque la estructura
de Active Directory incluya solamente un dominio, se recomienda crear este archivo.
La utilidad kinit usa este archivo para confirmar que Symantec Data Loss Prevention
puede comunicarse con el servidor de Active Directory.
Nota: Si está ejecutando Symantec Data Loss Prevention en Linux, verifique la

conexión de Active Directory con la utilidad kinit. Es necesario cambiar el nombre
del archivo krb5.ini por krb5.conf. La utilidad kinit requiere que el archivo se
denomine krb5.conf en Linux. Symantec Data Loss Prevention asume que usa
el kinit para verificar la conexión de Active Directory y le solicita que cambie el
nombre del archivo a krb5.conf.
Symantec Data Loss Prevention proporciona un archivo krb5.ini de muestra que

puede modificar para usar con su propio sistema. El archivo de ejemplo se almacena
en SymantecDLP\Protect\config (por ejemplo, \SymantecDLP\Protect\config
en Windows o /opt/SymantecDLP/Protect/config en Linux). Si está ejecutando
Symantec Data Loss Prevention en Linux, Symantec recomienda cambiar el nombre
del archivo a krb5.conf. El archivo de muestra, que se divide en dos secciones,
se ve de la siguiente manera:
[libdefaults]
default_realm = TEST.LAB
[realms]
ENG.COMPANY.COM = {
kdc = engAD.eng.company.com
}
MARK.COMPANY.COM = {
kdc = markAD.eng.company.com
}
QA.COMPANY.COM = {
kdc = qaAD.eng.company.com
}
La sección [libdefaults] identifica el dominio predeterminado. (Tenga en cuenta

que los dominios de Kerberos corresponden a dominios de Active Directory). La
sección [realms] define un servidor de Active Directory para cada dominio. En el
ejemplo anterior, el servidor de Active Directory para ENG.COMPANY.COM es

engAD.eng .company.com.
Para crear el archivo krb5.ini o krb5.conf

1 Vaya a SymantecDLP\Protect\config y localice el archivo krb5.ini de
muestra. Por ejemplo, localice el archivo en \SymantecDLP\Protect\config
(en Windows) o en /opt/SymantecDLP/Protect/config (en Linux).
2 Copie el archivo krb5.ini de muestra en el directorio c:\windows (en
Windows) o en el directorio /etc (en Linux). Si está ejecutando Symantec Data
Loss Prevention en Linux, planee verificar la conexión de Active Directory con
la herramienta de línea de comandos de kinit. Cambie el nombre del archivo
a krb5.conf.
3 Abra el archivo krb5.ini o krb5.conf en un editor de texto.
4 Reemplace el valor default_realm de muestra con el nombre completamente
calificado de su dominio predeterminado. (El valor para default_realm debe
estar todo en letra mayúscula). Por ejemplo, modifique el valor para que se
vea de la siguiente manera:
default_realm = MYDOMAIN.LAB
5 Reemplace los otros nombres de dominio de muestra con los nombres de los
dominios reales. (Los nombres de dominio deben estar escritos todos en letra
mayúscula). Por ejemplo, reemplace ENG.COMPANY.COM con
ADOMAIN.COMPANY.COM.
6 Reemplace los valores kdc de muestra con los nombres de host o las
direcciones IP de los servidores de Active Directory. (Asegúrese de seguir el
formato especificado, en el cual los corchetes de apertura están seguidos
inmediatamente por saltos de línea). Por ejemplo, reemplace
engAD.eng.company.com con ADserver.eng.company.com, etc.
7 Elimine cualquier entrada de kdc sin usar desde el archivo de configuración.

Por ejemplo, si cuenta solamente con dos dominios, además del dominio
predeterminado, elimine la entrada de kdc sin usar.
8 Guarde el archivo.
Verificación de la conexión de Active Directory

Kinit es una herramienta de la línea de comandos que se puede usar para
confirmar que el servidor de Active Directory responde a las solicitudes. Verifica
que Enforce Server tenga acceso al servidor de Active Directory. Para las
instalaciones en Microsoft Windows, la utilidad se instala con el instalador Symantec

Data Loss Prevention en el directorio SymantecDLP\jre\bin. Para las instalaciones
en Linux, la utilidad forma parte de la distribución de Red Hat Enterprise Linux y
está en la ubicación siguiente: /usr/kerberos/bin/kinit. Es posible también
descargar Java SE 6 y localizar la herramienta kinit en
\java_home\jdk1.6.0\bin.
Si ejecuta Enforce Server en Linux, use la utilidad kinit para probar el acceso de
Enforce Server al servidor de Active Directory. Cambie el nombre del archivo
krb5.ini por krb5.conf. La utilidad kinit requiere que el archivo se denomine
krb5.conf en Linux.
Para probar la conexión al servidor de Active Directory

1 En el host de Enforce Server, vaya a la línea de comandos y navegue al
directorio donde se encuentra kinit.
2 Emita un comando kinit con un nombre de usuario y una contraseña
conocidos como parámetros. (Tenga en cuenta que la contraseña es visible
en texto sencillo cuando se escribe en la línea de comandos). Por ejemplo,
emita el siguiente comando:
kinit kchatterjee mypwd10#
La primera vez que se contacte con Active Directory, es posible que reciba un
error de que no puede encontrar el archivo krb5.ini o krb5.conf en la
ubicación esperada. En Windows, el error se ve de la siguiente manera:
krb_error 0 Could not load configuration file c:\winnt\krb5.ini

(The system cannot find the file specified) No error.
En este caso, copie el archivo krb5.ini o krb5.conf en la ubicación esperada

y, luego, vuelva a ejecutar el comando kinit que se detalló previamente.
3 En función de cómo responde el servidor de Active Directory al comando, tome
una de las siguientes medidas:
■ Si el servidor de Active Directory indica que ha creado correctamente un
tique de Kerberos, continúe configurando Symantec Data Loss Prevention.
■ Si recibe un mensaje de error, póngase en contacto con el administrador
de Active Directory.
Acerca de la configuración de autenticación de certificado
Acerca de la configuración de autenticación de

certificado
La autenticación de certificado habilita a un usuario a iniciar sesión automáticamente
en la consola de administración de Enforce Server. El usuario inicia sesión usando
un certificado de cliente que su Public Key Infrastructure (PKI) genera. Cuando un
usuario accede a la consola de administración de Enforce Server, PKI entrega de
forma automática el certificado del usuario al contenedor de Tomcat que alberga
la consola de administración. El contenedor de Tomcat valida el certificado de
cliente usando las autoridades de certificación que ha configurado en el
almacenamiento de confianza de Tomcat.
El certificado de cliente se entrega al equipo Enforce Server cuando un navegador
de cliente ejecuta el protocolo de enlace de SSL con Enforce Server. Por ejemplo,
algunos navegadores pueden ser configurados para funcionar con un lector de
tarjetas inteligentes para presentar el certificado. Alternativamente, puede cargar
el certificado X.509 a un navegador y configurar el navegador para enviar el
certificado a Enforce Server.
Si el certificado es válido, la consola de administración de Enforce Server puede
además determinar si el certificado fue revocado.
Ver "Acerca de las comprobaciones de revocación del certificado" en la página 157.
Si el certificado es válido, Enforce Server usa el nombre común (CN) en el certificado
para determinar si ese CN está asignado a una cuenta de usuario activa con un
rol.
Nota: Algunos navegadores almacenan en memoria caché el certificado de cliente

de un usuario y registran automáticamente el usuario en la consola de
administración después de que el usuario ha elegido cerrar sesión. En este caso,
los usuarios deben cerrar la ventana del navegador para completar el proceso de
cierre de sesión.
La tabla siguiente describe los pasos necesarios para usar la autenticación de

certificado con Symantec Data Loss Prevention.
Tabla 5-4 Pasos para configurar la autenticación de certificado
Fase Acción Descripción
1 Habilite la autenticación de certificado en el Es posible configurar un Enforce Server

equipo Enforce Server. existente para habilitar la autenticación. Todos
los Enforce Server tienen autenticación basada
en formularios de forma predeterminada.
Ver "Cómo configurar la autenticación de

certificado para la consola de administración de
2 Agregue los certificados de autoridad de Es posible añadir certificados de CA a la tienda

certificados (CA) para establecer la cadena de de confianza de Tomcat con la utilidad keytool
confianza. de Java para añadir manualmente los
certificados a un Enforce Server existente.
Ver "Cómo agregar certificados de autoridad de

certificación (CA) al almacenamiento de
confianza de Tomcat" en la página 153.
3 (Opcional) Cambie la contraseña de El instalador de Symantec Data Loss Prevention

almacenamiento de confianza de Tomcat. configura cada nueva instalación de Enforce
Server con una contraseña de almacenamiento
de confianza de Tomcat predeterminada. Siga
estas instrucciones para configurar una
contraseña segura.
Ver "Cómo cambiar la contraseña del

almacenamiento de confianza de Tomcat"
en la página 155.
4 Asigne los valores de nombre comunes (CN) Ver "Asignación de valores de nombre común
del certificado a las cuentas de usuario de (CN) a las cuentas de usuario de Symantec
Enforce Server. Data Loss Prevention" en la página 157.
5 Configure Enforce Server para comprobar la Ver "Acerca de las comprobaciones de

existencia de la revocación de certificado. revocación del certificado" en la página 157.
6 Verifique el acceso a Enforce Server usando un Ver "Solución de problemas de autenticación

inicio de sesión único basado en certificado. de certificado" en la página 165.
7 (Opcional) Deshabilite el inicio de sesión basado Si desea usar un inicio de sesión único basado
en formularios. en certificado para todo el acceso a Enforce
Server, deshabilite el inicio de sesión basado
en formularios.
Ver "Deshabilitación de la autenticación de

contraseña y el inicio de sesión basado en
formularios" en la página 166.
Cómo configurar la autenticación de certificado para la consola de

La autenticación basada en formularios está disponible de forma predeterminada
en Enforce Server. Debe añadir autenticación de certificado manualmente. Siga
este procedimiento para habilitar manualmente la autenticación basada en
formularios y certificados en una instalación de Symantec Data Loss Prevention.
Para habilitar autenticación basada en formularios y certificados para los usuarios
de la consola de administración de Enforce Server

2 Copie el archivo springSecurityContext.xml correspondiente en el directorio

de Tomcat WEB-INF.
3 Edite C:\SymantecDLP\Protect\tomcat\conf\server.xml (Windows) o
/opt/SymantecDLP/Protect/tomcat/conf/server.xml (Linux) y cambie el
valor ClientAuth de false a want. Guarde el archivo.
4 Reinicie Enforce Server. Este cambio al archivo server.xml que editó en el
paso anterior habilita la casilla de selección Utilizar autenticación de
certificado en la interfaz de usuario de la consola de administración de Enforce
Server.
5 Inicie sesión en la consola de administración de Enforce Server y vaya a
Sistema > Administración de inicios de sesión > Usuarios de DLP.
6 Seleccione Usar autenticación de certificado e indique la asignación de CN
correspondiente.
7 Añada los certificados de CA al almacén de confianza de Tomcat usando la
utilidad keytool de Java.
Asegúrese de que haya instalado todos los certificados necesarios y de que
los usuarios puedan iniciar sesión usando la autenticación de certificado.
8 Ahora el usuario tiene la autenticación basada en formularios y autenticación
de certificado.
Para configurar y habilitar la revocación del certificado. Acerca de las

comprobaciones de revocación del certificado
Siga este procedimiento para habilitar la autenticación de certificado en Symantec
Data Loss Prevention.
Para habilitar la autenticación de certificado para los usuarios de la consola de

2 Copie el archivo springSecurityContext.xml correspondiente en el directorio

de Tomcat WEB-INF.
3 Edite C:\SymantecDLP\Protect\tomcat\conf\server.xml (Windows) o
/opt/SymantecDLP/Protect/tomcat/conf/server.xml (Linux) y cambie el
valor ClientAuth de false a want. Guarde el archivo.
4 Reinicie Enforce Server. Este cambio al archivo server.xml que editó en el
paso anterior habilita la casilla de selección Utilizar autenticación de
certificado en la interfaz de usuario de la consola de administración de Enforce
Server.
5 Inicie sesión en la consola de administración de Enforce Server y vaya a
Sistema > Administración de inicios de sesión > Usuarios de DLP.
6 Seleccione Usar autenticación de certificado e indique la asignación de
Nombre común (CN) correspondiente.
7 Añada los certificados de CA al almacén de confianza de Tomcat usando la
utilidad keytool de Java.
Asegúrese de que haya instalado todos los certificados necesarios y de que
los usuarios puedan iniciar sesión usando la autenticación de certificado.
8 Para autenticación de cliente solamente, copie el archivo

springSecurityContext-Certificate.xml desde
C:\SymantecDLP\Protect\tomcat\webapps\ProtectManager\security\template
(Windows) o desde
opt/SymantecDLP/Protect/tomcat/webapps/ProtectManager/WEB-INF
(Linux) y cambie el nombre a springSecurityContext.xml.
9 Edite el archivo C:\SymantecDLP\Protect\tomcat\conf\server.xml
(Windows) o /opt/SymantecDLP/Protect/tomcat/conf/server.xml y cambie
el valor ClientAuth de want a true.
Reinicie Enforce Server.
Ahora el usuario tiene autenticación de certificado solamente.
Para configurar y habilitar la revocación del certificado. Acerca de las

comprobaciones de revocación del certificado
Cómo agregar certificados de autoridad de certificación (CA) al

almacenamiento de confianza de Tomcat
Este procedimiento es necesario solamente si no importó los certificados de CA
durante la instalación de Symantec Data Loss Prevention o si actualizó una
instalación anterior de Symantec Data Loss Prevention y está configurando la
autenticación de certificado. Este procedimiento además se necesita para agregar
certificados del respondedor de OCSP al almacenamiento de confianza para algunas
configuraciones de OCSP.
Para usar autenticación de certificado con Symantec Data Loss Prevention, debe
añadir todos los certificados de CA que se requieran para autenticar usuarios de
su sistema en el almacén de confianza empresarial de Tomcat. Cada certificado
X.509 debe proporcionarse en formato de reglas de codificación distinguidas (DER)
en un archivo .cer. Si varias CA se necesitan para establecer la cadena de
certificación, es necesario agregar varios archivos .cer.
Para agregar los certificados de CA al almacenamiento de confianza de Tomcat


2 Cambie el directorio a /opt/SymantecDLP/Protect/tomcat/conf (Linux) o

c:\SymantecDLP\Protect\tomcat\conf. Si instaló Symantec Data Loss
3 Copie todos los archivos de certificado (archivos .cer) que desee importar al
directorio conf en el equipo Enforce Server.
4 Use la utilidad keytool instalada con Symantec Data Loss Prevention para
agregar un certificado al almacén de confianza empresarial de Tomcat. Para
los sistemas Windows, escriba:
c:\SymantecDLP\jre\bin\keytool -import -trustcacerts

-alias CA_CERT_1
-file certificate_1.cer
-keystore .\truststore.jks
Para los sistemas Linux, escriba:
/opt/SymantecDLP/jre/bin/keytool -import -trustcacerts

-alias CA_CERT_1
-file certificate_1.cer
-keystore ./truststore.jks
En estos comandos, reemplace CA_CERT_1 por un alias único para el

certificado que usted importe. Reemplace certificate_1.cer por el nombre del
archivo de certificado que usted copió en equipo Enforce Server.
5 Escriba la contraseña en el almacén de claves cuando la utilidad keytool se
lo solicite. La contraseña predeterminada del almacén de claves es protect.
6 Repita estos pasos para instalar todos los archivos de certificado que son
necesarios para completar la cadena de certificación.
7 Detenga y después reinicie el servicio de Vontu Manager para aplicar sus

cambios.
8 Si aún no ha cambiado la contraseña predeterminada del almacén de claves
de Tomcat, hágalo ahora.
Ver "Cómo cambiar la contraseña del almacenamiento de confianza de Tomcat"
en la página 155.
Cómo cambiar la contraseña del almacenamiento de confianza

de Tomcat
Cuando instala Symantec Data Loss Prevention, el almacén de confianza
empresarial de Tomcat usa protect como la contraseña predeterminada. Siga
este procedimiento para asignar una contraseña segura al almacenamiento de
confianza de Tomcat usando la autenticación de certificado.
Para cambiar la contraseña del almacenamiento de confianza de Tomcat


3 Use la utilidad keytool instalada con Symantec Data Loss Prevention para
cambiar la contraseña del almacén de confianza empresarial de Tomcat. Para
los sistemas Windows, escriba:
c:\SymantecDLP\jre\bin\keytool -storepasswd -new new_password -keystore ./truststore.jks
Para los sistemas Linux, escriba:
/opt/SymantecDLP/jre/bin/keytool -storepasswd -new new_password -keystore ./truststore.jks
Reemplace new_password con una contraseña segura.

4 Escriba la contraseña actual en el almacén de claves cuando la utilidad keytool
le solicite hacerlo. La contraseña predeterminada es protect.
6 Abra el archivo server.xml con un programa de edición de texto.

7 En la línea siguiente en el archivo, edite la entrada truststorePass="protect"
para especificar su nueva contraseña:
<Connector URIEncoding="UTF-8" acceptCount="100" clientAuth="want"

debug="0" disableUploadTimeout="true" enableLookups="false"
keystoreFile="conf/.keystore" keystorePass="protect"
maxSpareThreads="75" maxThreads="150" minSpareThreads="25"
port="443" scheme="https" secure="true" sslProtocol="TLS"
truststoreFile="conf/truststore.jks" truststorePass="protect"/>
Reemplace protect por la nueva contraseña que usted definió en el comando

keytool.
8 Guarde sus cambios y salga del programa de edición de texto.

9 Cambie el directorio a /opt/SymantecDLP/Protect/config (Linux) o
c:\SymantecDLP\Protect\config (Windows). Si instaló Symantec Data Loss
10 Abra el archivo Manager.properties con un programa de edición de texto.
Agregue la línea siguiente al archivo para especificar la nueva contraseña:
com.vontu.manager.tomcat.truststore.password = password
Reemplace password por la nueva contraseña. No encierre la contraseña

entre comillas.
12 Abra el archivo Protect.properties con un programa de edición de texto.
13 Edite (si no está presente, agregue) la línea siguiente al archivo para especificar
la nueva contraseña:
com.vontu.manager.tomcat.truststore.password = password
Reemplace password por la nueva contraseña. No encierre la contraseña

entre comillas.
cambios.
Asignación de valores de nombre común (CN) a las cuentas de

usuario de Symantec Data Loss Prevention
Cada usuario que acceda a la consola de administración de Enforce Server usando
un inicio de sesión único basado en certificado debe tener una cuenta de usuario
activa en la configuración de Enforce Server. La cuenta de usuario asocia el valor
de nombre común (CN) del certificado de cliente del usuario a uno o más roles en
la consola de administración de Enforce Server. Es posible asignar un valor de CN
solamente a una cuenta de usuario de Enforce Server.
La cuenta de usuario que se crea no necesita una contraseña aparte de la consola
de administración de Enforce Server. Puede configurar opcionalmente una
contraseña si desea permitir que el usuario además inicie sesión desde la página
de inicio de sesión de la consola de administración de Enforce Server. Si habilita
la autenticación de contraseña y el usuario no proporciona un certificado cuando
el navegador pide uno, Enforce Server muestra la página de inicio de sesión.
Aparece un error de inicio de sesión si se deshabilita la autenticación de contraseña
y el usuario no proporciona un certificado.
Una cuenta de usuario activa debe identificar el valor de CN de un usuario y tener
un rol válido asignado en Enforce Server para iniciar sesión usando inicio de sesión
único con autenticación de certificado. Es posible deshabilitar o eliminar la cuenta
de usuario asociada de Enforce Server para evitar que un usuario acceda a la
consola de administración de Enforce Server sin revocar su certificado de cliente.
Acerca de las comprobaciones de revocación del certificado

Mientras administra su infraestructura de clave pública, es posible que deba revocar
un certificado de cliente con CA. Por ejemplo, es posible que revoque un certificado
si un empleado sale de la compañía o si se pierden o se roban las credenciales
de un empleado. Cuando revoca un certificado, las aplicaciones de CA usan una
o más listas de revocación de certificados (CRL) para publicar esos certificados
que ya no son válidos. Symantec Data Loss Prevention también admite el uso de
un respondedor de OCSP (protocolo de estado de certificados en línea), que los
clientes pueden usar para determinar si se ha revocado un certificado en particular.
El respondedor de OCSP se puede implementar como servicio en su servidor de
CA o como servidor OCSP aparte.
Nota: La comprobación de revocación del certificado está deshabilitada de forma

predeterminada. Es necesario habilitarla y configurarla. Ver "Cómo configurar
comprobaciones de revocación de certificado" en la página 160.
OCSP es el primer mecanismo que Symantec Data Loss Prevention usa para
realizar las comprobaciones de revocación de certificado. Una vez que el contenedor
de Tomcat ha determinado que un certificado de cliente es válido, Enforce Server
envía una solicitud de OCSP a un respondedor de OCSP designado para determinar
si el certificado fue revocado. La información usada para contactar al respondedor
de OCSP se puede proporcionar de una de dos maneras:
■ El campo Acceso a la información de entidad emisora (AIA) en un certificado
de cliente. El certificado de cliente mismo puede incluir la URL del respondedor
de OCSP en un campo AIA. A continuación, se muestra un ejemplo de campo
AIA que define un respondedor de OCSP:
[1]Authority Info Access Access Method=On-line

Certificate Status Protocol (1.3.6.1.5.5.7.48.1)
Alternative Name: URL=http://my_ocsp_responder
Este método se usa generalmente cuando configura una CA interna para

proporcionar el servicio del respondedor de OCSP. Si el respondedor de OCSP
especificado en el campo AIA es directamente accesible desde el equipo Enforce
Server, ninguna configuración adicional es necesaria para realizar
comprobaciones de revocación. Sin embargo, si el respondedor de OCSP es
accesible solamente por un servidor proxy, es necesario establecer la
configuración del servidor proxy en la configuración de Symantec Data Loss
Prevention.
■ El archivo de configuración de OCSP. Como una alternativa, puede configurar
manualmente propiedades del respondedor de OCSP usando el archivo de
configuración manager-certauth.security. Si elige usar este archivo, la
configuración en el archivo anula cualquier información que esté presente en
el campo AIA de un certificado de cliente. Este método se utiliza generalmente
si desea usar un respondedor OCSP local en vez del que está especificado en
el campo AIA o si los certificados de los clientes no incluyen un campo AIA.
Ver "Configuración manual de propiedades del respondedor de OCSP"
en la página 163.
Nota: Si el respondedor de OCSP que configura en este archivo no usa el

certificado de CA para firmar sus respuestas, es necesario agregar el certificado
del respondedor de OCSP al almacenamiento de confianza de Tomcat.
Si el estado de la revocación de un certificado no se puede determinar usando

OCSP, Symantec Data Loss Prevention recupera listas de revocación del Punto
de distribución de listas de revocación de certificados (CRLDP). Para comprobar

la revocación usando un CRLDP, el certificado de cliente debe incluir un campo
de punto de distribución de CRL. A continuación, se muestra un ejemplo de
definición de campo CRLDP:
[1]CRL Distribution Point

Distribution Point Name:
Full Name: URL=http://my_crldp
Nota: Symantec Data Loss Prevention no admite la especificación de CRLDP

usando una URL LDAP.
Si el punto de distribución de CRL se define en cada certificado y Enforce Server

puede acceder directamente al servidor, ninguna configuración adicional es
necesaria para realizar comprobaciones de revocación. Si el punto de distribución
de CRL es accesible solamente por un servidor proxy, es necesario establecer la
configuración del servidor proxy en la configuración de Symantec Data Loss
Prevention.
Ver "Como acceder al respondedor de OCSP o CRLDP con un proxy"
en la página 161.
Sin importar qué método de comprobación de revocación use, es necesario habilitar
comprobaciones de revocación de certificado en el equipo Enforce Server. Los
análisis de revocación de certificado se habilitan de forma predeterminada si se
selecciona la instalación del certificado durante la instalación de Enforce Server.
Si actualizó una instalación de Symantec Data Loss Prevention existente, la
revocación de certificado no se habilita de forma predeterminada.
Ver "Cómo configurar comprobaciones de revocación de certificado" en la página 160.
Si el equipo Enforce Server debe usar un proxy para acceder al servicio del
respondedor OCSP o CRLDP, es necesario establecer la configuración de proxy
en el equipo Enforce Server.
Ver "Como acceder al respondedor de OCSP o CRLDP con un proxy"
en la página 161.
Si está utilizando OCSP para las comprobaciones de revocación, pero los campos
AIA del certificado de cliente no especifican un respondedor válido de OCSP, es
necesario configurar manualmente propiedades del respondedor de OCSP en el
archivo manager-certauth.security.
en la página 163.
Cómo configurar comprobaciones de revocación de certificado

Cuando habilita las comprobaciones de revocación de certificados, Symantec Data
Loss Prevention usa OCSP para determinar si la autoridad de certificación revocó
cada certificado de cliente. Si el estado del certificado no se puede determinar
usando OCSP, Symantec Data Loss Prevention usa un CRLDP para determinar
el estado de revocación.
Siga este procedimiento para habilitar comprobaciones de revocación de certificado.
Para configurar comprobaciones de revocación de certificado
1 Asegúrese de configurar el respondedor de OCSP, ya sea en el campo AIA
de cada certificado o en el archivo manager-certauth.security.
en la página 157.
en la página 163.
2 Asegúrese de que CRLDP esté definido en el campo del punto de distribución
de CRL de cada certificado de cliente.


5 Abra el archivo VontuManager.conf con un programa de edición de texto.
6 Para habilitar comprobaciones de revocación de certificado, agregue o edite
la línea siguiente en el archivo:
wrapper.java.additional.19=-Dcom.sun.net.ssl.checkRevocation=true
Para deshabilitar las comprobaciones, cambie el valor a false.

7 Para configurar el servidor del respondedor de OCSP manualmente, en lugar

de usar el campo AIA en certificados de cliente, edite la línea siguiente en el
archivo:
wrapper.java.additional.20=-Djava.security.properties=../config/manager-certauth.security
Además habilite esta línea en el archivo si desea deshabilitar la comprobación

de revocación de OCSP. También puede configurar una propiedad en
manager-certauth.security para deshabilitar las comprobaciones de OCSP.
Asegúrese de que el parámetro de configuración apunte al archivo de

configuración de OCSP indicado. Siempre edite el archivo existente
manager-certauth.security, en lugar de crear un nuevo archivo.

en la página 163.
8 Para habilitar la comprobación de revocación usando un CRLDP, agregue o
quite la marca de comentario de la línea siguiente en el archivo:
wrapper.java.additional.22=-Dcom.sun.security.enableCRLDP=true
Esta opción está habilitada de forma predeterminada para las nuevas

instalaciones de Symantec Data Loss Prevention.
9 Si usa comprobaciones de revocación de CRLDP, configure opcionalmente
la duración de la memoria caché usando la propiedad:
wrapper.java.additional.22=-Dsun.security.certpath.ldap.cache.lifetime=30
Este parámetro especifica la cantidad de tiempo, en segundos, para almacenar

en memoria caché las listas de revocación que se obtienen de un punto de
distribución de CRL. Una vez que se alcanza este período, se realizan
operaciones de búsqueda para actualizar la memoria caché la próxima vez
que haya una solicitud de autenticación. 30 segundos es la duración
predeterminada de la memoria caché. Especifique 0 para deshabilitar la
memoria caché o -1 para almacenar resultados de memoria caché
indefinidamente.
cambios.
Como acceder al respondedor de OCSP o CRLDP con un proxy

Symantec recomienda que permita el acceso directo desde el equipo Enforce
Server a todos los servidores del respondedor de OCSP y los servidores CRLDP
que son necesarios para realizarse comprobaciones de revocación de certificado.
Si el respondedor de OCSP o los servidores CRLDP es accesible solamente con
un proxy, es necesario establecer la configuración proxy en el equipo Enforce

Server.
Cuando se configura un proxy, Enforce Server usa su configuración de proxy para
todas las conexiones HTTP, como las conexiones que se crean para conectarse
a un servidor Data Insight para recuperar certificados. Consulte con a su
administrador de proxy antes de establecer esta configuración proxy y considere
permitir el acceso directo a los servidores OCSP y CRDLP si es posible.
Para establecer la configuración del proxy para un respondedor OCSP o servidor
CRLDP
1 Asegúrese de que el respondedor de OCSP esté configurado en el campo
AIA de cada certificado.
en la página 157.
2 Asegúrese de que CRLDP esté definido en el campo del punto de distribución
de CRL de cada certificado de cliente.


5 Abra el archivo VontuManager.conf con un programa de edición de texto.
6 Agregue o edite las propiedades de configuración siguientes para identificar

el proxy:
wrapper.java.additional.22=-Dhttp.proxyHost=myproxy.mydomain.com
wrapper.java.additional.23=-Dhttp.proxyPort=8080
wrapper.java.additional.24=-Dhttp.nonProxyHosts=hosts
Reemplace myproxy.mydomain.com y 8080 por el nombre del host y el puerto

de su servidor proxy. Reemplace hosts por uno o más respondedores de OCSP
accesibles para usar si el proxy no está disponible. Es posible incluir nombres
de host, nombres de dominio completo o las direcciones IP del servidor
separados por un carácter de barra vertical. Por ejemplo:
wrapper.java.additional.24=-Dhttp.nonProxyHosts=ocsp-server|
127.0.0.1|DataInsight_Server_Host
7 Guarde sus cambios en el archivo de configuración.

cambios.
Configuración manual de propiedades del respondedor de

OCSP
Opcionalmente, es posible editar el archivo manager-certauth.security para
configurar los parámetros de conexión de OCSP para su sistema. De forma
predeterminada, este archivo habilita las comprobaciones de OCSP, pero el resto
de las opciones están comentadas e inactivas. Si quita la marca de comentario de
algunos parámetros en el archivo, esos parámetros anulan la configuración de
OCSP que está presente en los campos AIA de un certificado de cliente.
Ver "Acerca de las comprobaciones de revocación del certificado" en la página 157.
Nota: Si el respondedor de OCSP que configura en este archivo no usa el certificado

de CA para firmar sus respuestas, es necesario agregar el certificado del
respondedor de OCSP al almacenamiento de confianza de Tomcat.
Ver "Cómo agregar certificados de autoridad de certificación (CA) al almacenamiento
de confianza de Tomcat" en la página 153.
manager-certauth.security se encuentra en el directorio

/opt/SymantecDLP/Protect/config (Linux) o c:\SymantecDLP\Protect\config
(Windows). Siempre edite el archivo existente manager-certauth.security, en
lugar de crear un nuevo archivo. Es recomendable hacer copia de seguridad del
archivo antes de realizar sus cambios para conservar el contenido original.
manager-certauth.security contiene información adicional sobre estos

parámetros.
El archivo contiene los parámetros siguientes.
Tabla 5-5 Parámetros de configuración de OCSP
Parámetros de configuración con ejemplo Descripción
ocsp.enable=true Este parámetro habilita OCSP para las comprobaciones

de revocación si la revocación del certificado también está
habilitada en el archivo VontuManager.properties.
Este parámetro está habilitado de forma predeterminada
para todas las instalaciones de Symantec Data Loss
Prevention. Deshabilite las propiedades si desea usar
solamente comprobaciones de CRLDP en vez de OCSP.
ocsp.responderURL=http://ocsp.example.net:80 Define la URL del respondedor de OCSP. Si no define

este parámetro, la URL se toma del campo AIA en el
certificado de cliente, si está disponible.
ocsp.responderCertSubjectName=CN=OCSP Define el nombre de asunto del certificado que

Responder, O=XYZ Corp corresponde al respondedor de OCSP. De forma
predeterminada, Symantec Data Loss Prevention asume
que el certificado del emisor del certificado de cliente
corresponde al certificado del respondedor OCSP. Si no
usa esta configuración predeterminada, deberá identificar
el certificado del respondedor de OCSP de alguna otra
manera. Debe además agregar el certificado del
respondedor de OCSP al almacenamiento de confianza
de Tomcat.
Ver "Cómo agregar certificados de autoridad de

certificación (CA) al almacenamiento de confianza de
Tomcat" en la página 153.
Si no se puede identificar con certeza el certificado del

respondedor OCSP usando solamente el nombre del
asunto, use los parámetros
ocsp.responderCertIssuerName y
ocsp.responderCertSerialNumber en vez de
ocsp.responderCertSubjectName. Si define
ocsp.responderCertSubjectName, los dos
parámetros restantes en esta tabla se omiten.
Parámetros de configuración con ejemplo Descripción
ocsp.responderCertIssuerName=CN=Enterprise Use este parámetro conjuntamente con

CA, O=XYZ Corp ocsp.responderCertSerialNumber para identificar
el certificado del respondedor de OCSP. Este parámetro
define el emisor del certificado del respondedor de OCSP.
Si usa este parámetro, no use también el parámetro

ocsp.responderCertSubjectName.
ocsp.responderCertSerialNumber=2A:FF:00 Use este parámetro conjuntamente con

ocsp.responderCertIssuerName para identificar el
certificado del respondedor de OCSP. Este parámetro
define el número de serie del certificado del respondedor
de OCSP.
Si usa este parámetro, no use también el parámetro

ocsp.responderCertSubjectName.
Solución de problemas de autenticación de certificado

De forma predeterminada, Symantec Data Loss Prevention registra cada solicitud
de inicio de sesión correcta a la consola de administración de Enforce Server.
Symantec Data Loss Prevention también registra un mensaje de error si se realiza
una solicitud de inicio de sesión sin proporcionar un certificado o si un certificado
válido presenta un CN que no está asignado a una cuenta de usuario válida en la
configuración de Enforce Server.
Nota: Si la autenticación de certificado falla mientras el navegador está

estableciendo una conexión HTTPS con la consola de administración de Enforce
Server, Symantec Data Loss Prevention no puede registrar un mensaje de error.
Es posible registrar opcionalmente información adicional sobre la comprobación

de revocación de certificado agregando o quitando la marca de comentario de las
propiedades del sistema siguientes en el archivo VontuManager.conf:
wrapper.java.additional.90=-Djava.security.debug=certpath
VontuManager.conf se encuentra en el directorio c:\SymantecDLP\Protect\config

(Windows) o /opt/SymantecDLP/Protect/config (Linux). Todos los mensajes de
depuración se registran en
c:\SymantecDLP\Protect\logs\debug\VontuManager.log (Windows) o
/var/log/SymantecDLP/debug/VontuManager.log (Linux).
Deshabilitación de la autenticación de contraseña y el inicio de sesión

basado en formularios
El inicio de sesión basado en formularios con la autenticación de contraseña se
puede usar como mecanismo de acceso de reserva mientras configura y prueba
la autenticación de certificado. Después de configurar la autenticación de certificado,
puede deshabilitar el inicio de sesión basado en formularios y la autenticación de
contraseña. Su infraestructura de clave pública controlará todas las solicitudes de
inicio de sesión.
Una vez que configure el nombre común (CN) con formularios y certificados
habilitados, puede cambiar a certificado solamente. Reemplace el archivo
springSecurityContext.xml con el archivo
springSecurityContext-Certificate.xml y reinicie Enforce Server. El inicio de
sesión basado en formularios se deshabilita completamente.
Nota: Cuando deshabilita el inicio de sesión basado en formularios, deshabilita la

función para todos los usuarios, incluyendo aquellos con privilegios de administrador.
Como alternativa, puede deshabilitar el inicio de sesión basado en formularios o
la autenticación de certificado para un usuario individual configurando la cuenta
de ese usuario.
Si activa más tarde el inicio de sesión basado en formularios, pero la cuenta de

usuario del administrador no tiene una contraseña configurada, puede restablecer
la contraseña del administrador. Restablezca la contraseña usando la utilidad
AdminPasswordReset.
Ver "Restablecer la contraseña de administrador" en la página 131.

Capítulo 6
Cómo conectarse a los
directorios del grupo
■ Crear las conexiones a los servidores LDAP
■ Cómo configurar las conexiones al servidor de directorio
■ Programación de la indización del servidor del directorio
Crear las conexiones a los servidores LDAP

Symantec Data Loss Prevention admite las conexiones del servidor de directorio
a los servidores de directorio compatibles con LDAP, como Microsoft Active Directory
(AD). Una conexión del directorio del grupo especifica cómo Enforce Server o
Discover Server se conecta al servidor de directorio.
La conexión al servidor del directorio se debe establecer antes de crear cualquier
grupo de usuarios en Enforce Server. Enforce Server o el servidor Discover usan
la conexión de obtener detalles sobre los grupos. Si esta conexión no se crea, no
se pueden definir Grupos de usuarios. La conexión no es permanente, pero puede
configurar la conexión para sincronizarla en intervalos especificados. El servidor
de directorio contiene toda la información que necesita para crear Grupos de
usuarios.
Ver "Grupos de usuarios" en la página 400.
Cómo conectarse a los directorios del grupo 168
Cómo configurar las conexiones al servidor de directorio
Nota: Si usa un servidor de directorio que contiene un certificado de autenticación

autofirmado, debe agregar el certificado a Enforce Server o al servidor de Discover.
Si el servidor de directorio usa un certificado previamente autorizado, se agrega
automáticamente a Enforce Server o al servidor de Discover. Ver "importación de
certificados SSL para servidores Discover o Enforcer" en la página 283.
Para crear una conexión del directorio del grupo

1 Vaya a la pantalla Sistema > Configuración > Conexiones al directorio.
2 Haga clic en Agregar conexión.
3 Configure la conexión del directorio.
Ver "Cómo configurar las conexiones al servidor de directorio" en la página 168.
Cómo configurar las conexiones al servidor de

directorio
La página Conexiones al directorio es la página principal para configurar las
conexiones del servidor de directorio. Una vez que defina la conexión al directorio,
puede crear uno o más grupos de usuarios.
Ver "Configurar los grupos de usuarios" en la página 882.
Tabla 6-1 Cómo configurar las conexiones al servidor de directorio
Paso Acción Descripción
1 Vaya a la página Conexiones al directorio Esta página está disponible en Sistema > Configuración
(si no está allí). > Conexiones al directorio.
2 Haga clic en Crear nueva conexión. Esta acción le lleva a la página Configurar conexión al
directorio.
3 Escriba un Nombre para la conexión al Nombre de conexión es el nombre definido por el usuario
servidor de directorio. para la conexión. Aparece en la página principal
Conexiones al directorio una vez que se configura la
conexión.
4 Especifique los Parámetros de red para Tabla 6-2 proporciona detalles sobre estos parámetros.
la conexión al servidor de directorio. Especifique los parámetros siguientes:
■ El Nombre del host del equipo donde el servidor de
directorio está instalado.
■ El Puerto en el servidor de directorio que admite
conexiones.
■ El DN base (nombre distinguido) del servidor de
directorio.
■ El Método de cifrado para la conexión, ya sea, Ninguno
o Seguro.
5 Especifique el modo Autenticación para Tabla 6-3 proporciona detalles sobre la configuración de
conectarse al servidor de directorio. parámetros de autenticación.
6 Haga clic en Probar conexión para Si hay algún problema en la conexión, el sistema muestra
verificar la conexión. un mensaje de error que describe el problema.
7 Haga clic en Guardar para guardar la El sistema indexa de forma automática el servidor de
configuración de conexión de dirección. directorio una vez que se crea, prueba y guarda
correctamente la conexión al servidor de directorio.
8 Seleccione la ficha Estado del índice y la Verifique que se haya indizado el servidor de directorio.
replicación. Después de un tiempo (dependiendo del tamaño de la
consulta del servidor de directorio), debería ver que el
Estado de replicación es "<fecha> <hora> completado".
Si no ve que el estado se haya completado, verifique que
se haya configurado y probado la conexión al directorio
correctamente. Contacte a su administrador del servidor de
directorio para obtener ayuda.
9 Seleccione la ficha Configuración de Es posible ajustar la programación de indización del servidor

índice. de directorio según sea necesario en la ficha Configuración
de índice.
Ver "Programación de la indización del servidor del

directorio" en la página 171.
Tabla 6-2 Parámetros de red de conexión del directorio
Parámetros de red Descripción
Nombre del host El Nombre del host del servidor de directorio.

Por ejemplo: enforce.dlp.symantec.com
Debe especificar el nombre completo (FQN) del servidor de directorio. No use la

dirección IP.
Puerto Especifique la conexión al Puerto para el servidor de directorio.
Por ejemplo: 389
Típicamente, el puerto es 389 o 636 para las conexiones seguras.
DN base Especifique el DN base para el servidor de directorio. Este campo solo acepta una
entrada de servidor de directorio.
Por ejemplo: dc=enforce,dc=dlp,dc=symantec,dc=com
La cadena de DN base no puede contener ningún carácter de espacio.
El DN base es el nombre distinguido base del servidor de directorio. Típicamente,

este nombre es el nombre de dominio del servidor de directorio. El parámetro de DN
base define la profundidad inicial de la búsqueda del servidor de directorio.
Método de cifrado Seleccione la opción Seguro si desea cifrar la comunicación entre el servidor de
directorio y Enforce Server al cifrarse con SSL.
Nota: Si elige usar una conexión segura, es posible que sea necesario importar el
certificado SSL para el servidor de directorio al almacén de claves de Enforce Server.
Ver "importación de certificados SSL para servidores Discover o Enforcer"
en la página 283.
Tabla 6-3 Parámetros de autenticación de conexión al directorio
Autenticación Descripción
Autenticación Seleccione la opción Autenticación para conectarse al servidor de directorio

mediante el modo de autenticación. Seleccione Conectarse con credenciales para
agregar su nombre de usuario y contraseña para autenticar el servidor de directorio.
Programación de la indización del servidor del directorio
Autenticación Descripción
Nombre de usuario Para autenticar con Active Directory, use uno de los siguientes métodos:
■ Dominio y nombre de usuario, por ejemplo: Domain\username

■ Nombre de usuario y dominio, por ejemplo: username@domain.com
■ Nombre de usuario y dominio completamente distintivos (sin espacios), por
ejemplo: cn=username,cn=Users,dc=domain,dc=com
Para autenticar con otro tipo de servidor de directorio:
■ Puede ser necesaria una sintaxis diferente, por ejemplo:

uid=username,ou=people,o=company
Contraseña Especifique la contraseña para el nombre de usuario que se especificó en el campo

anterior.
La contraseña se oculta cuando la especifica.
Programación de la indización del servidor del

directorio
Cada conexión del directorio se configura para indizar de forma automática el
servidor LDAP configurado una vez a las 12:00 a. m. el día posterior a la creación
de la conexión inicial. Es posible modificar la programación de indización para
especificar cuándo y cuántas veces se sincroniza el índice.
Cada conexión del servidor de directorio se configura para indizar automáticamente
los grupos de usuarios configurados albergados en el servidor de directorio una
vez a las 12:00 a. m. el día posterior a la creación de la conexión inicial.
Una vez que se crea, se prueba y se guarda la conexión del servidor del directorio,
el sistema indiza automáticamente todos los grupos de usuarios que se alojan en
el directorio cuya conexión se ha establecido. Es posible modificar esta configuración
y programar la indización una vez por día, una vez por semana o una vez por mes.
Para programar la indización del directorio del grupo
1 Seleccione una conexión de servidor del directorio del grupo existente desde
la pantalla Sistema > Configuración > Directorio de conexiones. O cree
una nueva conexión.
2 Ajuste la configuración de Índice a la programación deseada.
Programación de la indización del servidor del directorio
Tabla 6-4 Programe la indización del servidor del directorio del grupo y el
estado de visualización
Configuración de Descripción
Índice
Indexe el servidor del La configuración Una vez se selecciona de forma predeterminada

directorio una vez. e indiza automáticamente el servidor del director a las 12:00 a. m.
una vez que se crea la conexión inicial.
Es posible modificar la opción predeterminada Una vez que indiza

la programación especificando cuándo y cuántas veces debe
reconstruirse el índice.
Indexe del servidor Seleccione la opción Diariamente para programar la indización una
del directorio a diario. vez por día.
Especifique la hora y, opcionalmente, la duración en Hasta para

esta programación.
Indexe el servidor del Seleccione la opción Semanalmente para programar el índice una
directorio una vez por vez por semana.
semana.
Especifique el día de la semana para indizar.
Especifique la hora para indizar.
Opcionalmente, especifique la duración en Hasta para esta

programación.
Indexe el servidor del Especifique el día del mes para indizar el directorio y la hora.
directorio todos los
Opcionalmente, especifique la duración en Hasta para esta
meses.
programación.
Consulte el estado de Seleccione la ficha Estado del índice y la replicación para ver el
la indización y la estado del proceso de indización.
replicación.
■ Estado de indización
Muestra la hora y la fecha de la siguiente indización programada.
■ Nombre del servidor de detección
Muestra el servidor de detección donde se implementa el perfil
del grupo de usuario.
■ Estado de la replicación
■ Muestra la fecha y la hora de la sincronización más reciente con
el servidor del grupo del directorio.
Capítulo 7
Cómo administrar
credenciales almacenadas
■ Acerca del almacenamiento de credencial
■ Cómo agregar nuevas credenciales al almacenamiento de credenciales
■ Configuración de credenciales de endpoint
■ Cómo administrar las credenciales en el almacenamiento de credenciales
■ Cómo administrar credenciales almacenadas
Acerca del almacenamiento de credencial

Una credencial de autentificación se puede almacenar como una credencial
denominada en un almacenamiento central de credenciales. Puede ser definida
una vez y después cualquier cantidad de destinos de Discover puede hacer
referencia a ella. Se cifran las contraseñas antes de que se almacenen.
El almacenamiento de credenciales simplifica la administración de los cambios de
nombre de usuario y contraseña.
Es posible agregar, eliminar o editar credenciales almacenadas.
Ver "Cómo agregar nuevas credenciales al almacenamiento de credenciales"
en la página 174.
Ver "Cómo administrar las credenciales en el almacenamiento de credenciales"
en la página 175.
La pantalla de administración de credenciales es accesible a los usuarios con el
privilegio de "Administración de credenciales".
Cómo administrar credenciales almacenadas 174
Cómo agregar nuevas credenciales al almacenamiento de credenciales
Las credenciales almacenadas pueden usarse cuando se edita o crea un destino

de Discover
Ver "Opciones de configuración de destino de análisis de Network Discover/Cloud
Storage Discover" en la página 1790.
Cómo agregar nuevas credenciales al almacenamiento

de credenciales
Es posible agregar nuevas credenciales al almacenamiento de credenciales. Se
puede hacer referencia a estas credenciales más tarde con el nombre de credencial.
Para agregar una credencial almacenada
1 Haga clic en Sistema > Configuración > Credenciales y haga clic en Agregar
credencial.
2 Escriba la siguiente información:
Nombre de credencial Escriba un nombre para esta credencial

almacenada.
El nombre de credencial debe ser único

en el almacenamiento de credenciales. El
nombre se usa solamente para identificar
la credencial.
Nombre de usuario de acceso Escriba el nombre de usuario para la

autenticación.
Contraseña de acceso Escriba la contraseña para la

autenticación.
Confirmar contraseña de acceso Escriba nuevamente la contraseña.

4 Es posible editar o eliminar más tarde las credenciales del almacenamiento
de credenciales.
Ver "Cómo administrar las credenciales en el almacenamiento de credenciales"
en la página 175.
Ver "Configuración de credenciales de endpoint" en la página 175.
Configuración de credenciales de endpoint
Configuración de credenciales de endpoint

Es necesario agregar credenciales al almacenamiento de credenciales antes de
acceder a las credenciales de Endpoint FlexResponse o de la regla de respuesta
de cuarentena de Endpoint Discover. Las credenciales se almacenan en una
carpeta cifrada en todos los endpoints que estén conectados a un servidor de
endpoints. Como todos los endpoints almacenan las credenciales, es necesario
tener cuidado con el tipo de credenciales que se almacenan. Use las credenciales
que no pueden acceder a áreas de su sistema. Antes de que sus credenciales de
endpoint puedan ser usadas, es necesario permitir que Enforce Server las
reconozca.
Para crear credenciales de endpoint
1 Vaya a: Sistema > Configuración > General.
2 Haga clic en Configurar.
3 En la sección Administración de credenciales, asegúrese de que la casilla
de selección Permitir credenciales guardadas en agentes endpoint esté
seleccionada.
5 Vaya a: Sistema > Configuración > Credenciales.
6 Haga clic en Agregar credencial.
7 En la sección General, introduzca los detalles de la credencial que desee
agregar.
8 En Permiso de uso, seleccione Servidores y agentes endpoint.
Ver "Acerca del almacenamiento de credencial" en la página 173.
Ver "Configurar la acción Endpoint Discover: Archivo en cuarentena"
en la página 1488.
Cómo administrar las credenciales en el

almacenamiento de credenciales
Es posible eliminar o editar una credencial almacenada.
Cómo administrar credenciales almacenadas
Para eliminar una credencial almacenada

1 Haga clic en Sistema > Configuración > Credenciales. Localice el nombre
de la credencial almacenada que desea eliminar.
2 Haga clic en el icono de eliminación, a la derecha del nombre. Una credencial
se puede eliminar solamente si no se le hace referencia actualmente en un
destino de Discover o en un perfil de documento indizado.
Para editar una credencial almacenada
1 Haga clic en Sistema > Configuración > Credenciales. Localice el nombre
de la credencial almacenada que desee editar.
2 Haga clic en el icono de edición (lápiz), a la derecha del nombre.
3 Actualice el nombre de usuario o la contraseña.
5 Si cambia la contraseña para una credencial dada, la nueva contraseña se
usa para todos los análisis de detección subsiguientes que usen esa credencial.

Una credencial de autentificación se puede almacenar en un almacenamiento
central de credenciales. Se puede definir una vez como una credencial con nombre
y, después, hacer referencia a ella por cualquier cantidad de destinos de Network
Discover/Cloud Storage Discover.
Almacene sus credenciales de autentificación en un almacenamiento central para
simplificar la administración de los cambios de nombre de usuario y contraseña.
Es posible agregar, eliminar o editar credenciales almacenadas.
Para agregar una credencial almacenada

1 En Sistema > Configuración > Credenciales, haga clic en Agregar
credencial.
2 Escriba la siguiente información:
Nombre de credencial Escriba un nombre para esta credencial

almacenada.
El nombre de credencial debe ser único

en el almacenamiento de credenciales. El
nombre se usa solamente para identificar
la credencial.
Nombre de usuario de acceso Escriba el nombre de usuario para la

autenticación.
Contraseña de acceso Escriba la contraseña para la

autenticación.
Confirmar contraseña de acceso Escriba nuevamente la contraseña.

Para eliminar una credencial almacenada
1 En Sistema > Configuración > Credenciales, localice el nombre de la
credencial almacenada que desee eliminar.
2 Haga clic en el icono de eliminación, a la derecha del nombre. Una credencial
se puede eliminar solamente si no se le hace referencia actualmente en un
destino de Discover o en un perfil de documento indizado.
Para editar una credencial almacenada
1 En Sistema > Configuración > Credenciales, localice el nombre de la
credencial almacenada que desee editar.
2 Haga clic en el icono de edición (lápiz), a la derecha del nombre.
3 Actualice el nombre de usuario o la contraseña.
5 Si cambia la contraseña para una credencial dada, la nueva contraseña se
usa para todos los análisis de detección subsiguientes que usen esa credencial.
Ver "Cómo proporcionar la autenticación de contraseña para el contenido analizado
de Network Discover" en la página 1796.
Capítulo 8
Cómo administrar eventos
y mensajes del sistema
■ Acerca de los eventos del sistema
■ Informes de los eventos del sistema
■ Utilización de informes guardados del sistema
■ Detalles de eventos de servidor y detectores
■ Configurar umbrales y activadores de eventos
■ Acerca de las respuestas de eventos del sistema
■ Cómo habilitar un servidor Syslog
■ Acerca de alertas del sistema
■ Cómo configurar Enforce Server para enviar alertas de correos electrónicos
■ Configuración de alertas del sistema
■ Acerca de la revisión del registro
■ Códigos y mensajes de eventos del sistema
Acerca de los eventos del sistema

Los eventos del sistema relacionados con su instalación de Symantec Data Loss
Prevention se supervisan, se informan y se registran. Los eventos del sistema
incluyen las notificaciones de las operaciones en la nube para los servicios en la
nube.
Cómo administrar eventos y mensajes del sistema 179
Informes de los eventos del sistema
Los informes de eventos del sistema se visualizan en la consola de administración

de Enforce Server:
■ Los cinco eventos del sistema más recientes con estado de Advertencia o Grave
se detallan en la pantalla Descripción general ( Sistema > Servidores y
detectores > Descripción general ).
■ Los informes de todos los eventos del sistema de cualquier gravedad se pueden
ver en Sistema > Servidores y detectores > Eventos.
Ver "Informes de los eventos del sistema" en la página 179.
■ Los eventos del sistema recientes para un servidor de detección determinado
o un servicio en la nube se detallan en la pantalla Detalles del servidor/detector
para ese servidor o detector.
Ver "Pantalla Detalles del servidor/detector" en la página 291.
■ Haga clic en cualquier evento en una lista de eventos para ir a la pantalla
Detalles de eventos para ese evento. La pantalla Detalles de eventos
proporciona información adicional sobre el evento.
Ver "Detalles de eventos de servidor y detectores" en la página 184.
Hay tres maneras en que se pueden mostrar los eventos del sistema:
■ Informes de eventos del sistema mostrados en la consola de administración
■ Mensajes de correo electrónico de alertas del sistema
Ver "Acerca de alertas del sistema" en la página 191.
■ Funcionalidad de syslog
Ver "Cómo habilitar un servidor Syslog" en la página 190.
Algunos eventos del sistema necesitan una respuesta.
Ver "Acerca de las respuestas de eventos del sistema" en la página 187.
Para limitar el foco de la administración de eventos del sistema puede:
■ Usar los filtros en los diversos métodos de notificación de eventos del sistema.
■ Configurar los umbrales de eventos del sistema para los servidores individuales.
Ver "Configurar umbrales y activadores de eventos" en la página 185.

Para ver todos los eventos del sistema, vaya a la pantalla del informe de los eventos
del sistema ( Sistema > Servidores y detectores > Eventos ). Esta pantalla
enumera los eventos, un evento por línea. La lista contiene los eventos que
coincidan con el intervalo de datos seleccionado y cualquier opción del filtro que
se detalle en la barra de Filtros aplicados. Para cada evento, se muestra la
siguiente información:
Tabla 8-1
Eventos Descripción
Tipo El tipo (gravedad) del evento. Tipo puede ser uno de esos detallados en
Tabla 8-2.
Hora La fecha y la hora del evento.
Servidor El nombre del servidor en donde el evento ocurrió.
Host La dirección IP o el nombre del host del servidor en el cual el evento ocurrió.
Código Un número que identifica la clase de evento.
Consulte la Guía de administración de Symantec Data Loss Prevention para

obtener información sobre los números de código de eventos.
Resumen Una descripción abreviada del evento. Haga clic en el resumen para obtener
más detalles sobre el evento.
Tabla 8-2 Tipos de eventos del sistema
Evento Descripción
Información del
sistema
Advertencia
Grave
Es posible seleccionar de varias opciones de administración del informe.

Ver "Funciones comunes del informe de incidentes" en la página 1620.
Haga clic en cualquier evento en la lista para ir a la pantalla Detalles del evento
para ese evento. La pantalla Detalles de eventos proporciona información adicional
sobre el evento.
Puesto que la lista de eventos puede ser larga, hay filtros disponibles para ayudarle
a seleccionar solamente los eventos en los que está interesado. De forma
predeterminada, solamente se habilita el filtro de la fecha y se configura inicialmente
en Todas las fechas. El filtro de fecha selecciona eventos por las fechas en que
ocurrieron los eventos.
Para filtrar la lista de eventos del sistema por la fecha de la incidencia
1 Vaya a la sección Filtro de la pantalla del informe de los eventos y seleccione
una de las opciones del intervalo de fechas.
2 Haga clic en Aplicar.
3 Seleccione Personalizado de la lista de fechas para especificar las fechas de
inicio y de finalización.
Además de filtrar por el intervalo de fechas, se pueden también aplicar los filtros
avanzados. Los filtros avanzados son acumulativos con el filtro de fecha actual.
Esto significa que los eventos están detallados solamente si coinciden con el filtro
avanzado y además están dentro del intervalo de fechas actual. Varios filtros
avanzados pueden ser aplicados. Si se aplican varios filtros, los eventos se detallan
solamente si coinciden con todos los filtros y el intervalo de fechas.
Para aplicar los filtros avanzados adicionales
1 Haga clic en Filtros avanzados y resúmenes.
2 Haga clic en Agregar filtro.
3 Elija el filtro que desee usar de la lista desplegable de la izquierda. Los filtros
disponibles se detallan en Tabla 8-3.
4 Elija el operador de filtro de la lista desplegable del medio.
Nota: Es posible usar el valor del filtro Operaciones en la nube para ver los
eventos de las operaciones en la nube para sus detectores.
Para cada filtro avanzado se puede especificar a un operador de filtro Es

alguno de o No es ninguno de.
5 Escriba el valor del filtro o los valores, en el cuadro de texto derecho o haga
clic en un valor en la lista para seleccionarla.
■ Para seleccionar valores varios de una lista, mantenga pulsada la tecla
Ctrl y haga clic en cada uno.
■ Para seleccionar un intervalo de valores de una lista, haga clic en el primero;
luego, mantenga pulsada la tecla Mayús y haga clic en el valor más actual
del intervalo que desee.
6 (Opcional) Especifique los filtros avanzados adicionales si es necesario.

7 Cuando haya finalizado la especificación de un filtro o conjunto de filtros, haga
clic en Aplicar.
Haga clic en la X roja para eliminar un filtro avanzado.
La barra de Filtros aplicados enumera los filtros que se usan para generar la lista
de eventos que se muestra. Tenga en cuenta que los filtros son acumulativos. Para
que un evento aparezca en la lista debe pasar todos los filtros aplicados.
Los filtros avanzados siguientes están disponibles:
Tabla 8-3 Opciones de filtros avanzados de los eventos del sistema
Filtro Descripción
Código de eventos Filtre los eventos por los números de código

que identifican cada clase de evento. Es
posible filtrar por un número de código único
o varios números de código separados por
comas (2121, 1202, 1204). El filtrado por los
intervalos de números de código, o por los
operadores mayor que o menor que no se
admite.
Tipo de evento Filtre los eventos por el tipo de gravedad de

evento (informativo, advertencia o grave).
Servidor Filtre los eventos por el servidor en el cual el

evento ocurrió.
Nota: Un pequeño subconjunto de los parámetros que activan los eventos del
sistema tiene umbrales que pueden ser configurados. Estos parámetros se deben
ajustar solamente con el consejo del Soporte de Symantec. Antes de cambiar esta
configuración, es necesario tener una comprensión completa de las implicaciones
que están implicadas. Los valores predeterminados son apropiados para la mayoría
de las instalaciones.
Ver "Acerca de los eventos del sistema" en la página 178.

Ver " Utilización de informes guardados del sistema" en la página 183.
Utilización de informes guardados del sistema
Utilización de informes guardados del sistema

La pantalla Informes de sistema enumera los informes del sistema y relacionados
con el agente que se han guardado previamente. Para mostrar la pantalla Informes
de sistema, haga clic en Sistema > Informes de sistema. Use esta pantalla para
trabajar con los informes guardados del sistema.
Para crear un informe guardado del sistema
1 Vaya a una de los siguientes las pantallas:
■ Eventos del sistema ( Sistema > Eventos )
■ Descripción general de los agentes ( Sistema > Agentes > Descripción
general )
■ Eventos de los agentes ( Sistema > Agentes > Eventos )
Ver "Acerca de la consola de administración de Enforce Server"
en la página 79.
2 Seleccione los filtros y los resúmenes para su informe personalizado.
Ver "Acerca de informes y paneles de información personalizados"
en la página 1597.
3 Seleccione Informe > Guardar como.
4 Escriba la información guardada del informe.
Ver "Cómo guardar Informes de incidentes personalizados" en la página 1600.
La pantalla Informes de sistema se divide en dos secciones:
■ Evento del sistema - Informes guardados enumera informes guardados por
el sistema.
■ Administración de agentes - Informes guardados enumera informes
guardados por el agente.
Para cada informe guardado se pueden realizar las operaciones siguientes:
■ Compartir el informe. Haga clic en compartir para permitir que otros usuarios
de Symantec Data Loss Prevention que tengan el mismo rol que usted
compartan el informe. Una vez que se comparte un informe, no se puede volver
a hacerlo privado. Una vez que se comparte un informe, los usuarios con quienes
se comparte pueden ver, editar o eliminar el informe.
■ Cambie el nombre o la descripción del informe. Haga clic en el icono del lápiz
a la derecha del nombre del informe para editarlo.
Detalles de eventos de servidor y detectores
■ Cambie la programación del informe. Haga clic en el icono del calendario situado
a la derecha del nombre del informe para editar la programación de entrega
del informe y a quién se envía.
Ver "Opciones de programación de entrega para informes de incidentes y de
sistema" en la página 1604.
■ Elimine el informe. Haga clic en la X de color rojo a la derecha del nombre del
informe para eliminar el informe.
Detalles de eventos de servidor y detectores

Para ver la pantalla Detalles de eventos de servidor y detectores, vaya a Sistema
> Servidores y detectores > Eventos y haga clic en uno de los eventos
enumerados.
La pantalla Detalles de eventos de servidor y detectores muestra toda la
información disponible para el evento seleccionado. La información en esta pantalla
no es editable.
La pantalla Detalles de eventos de servidor y detectores se divide en dos
secciones: General y Mensaje.
Tabla 8-4 Detalles del evento - General
Elemento Descripción
Tipo El evento es de uno de los siguientes tipos:
■ Información: Información sobre el sistema.

■ Advertencia: Un problema que no es suficientemente grave para generar
un error.
■ Grave: Un error que necesita la atención inmediata.
Hora La fecha y la hora del evento.
Servidor o El nombre del servidor o del detector.

detector
Host El nombre del host o la dirección IP del servidor.

Configurar umbrales y activadores de eventos
Tabla 8-5 Detalles del evento - Mensaje
Código Un número que identifica la clase de evento.

Ver "Códigos y mensajes de eventos del sistema" en la página 196.
Resumen Una descripción abreviada del evento.
Detalle Información detallada sobre el evento.


Un pequeño subconjunto de los parámetros que activan los eventos del sistema
tiene umbrales que pueden ser configurados. Estos parámetros se configuran para
cada servidor de detección o detector por separado. Estos parámetros se deben
ajustar solamente con el consejo del Soporte de Symantec. Antes de cambiar esta
configuración, es necesario tener una comprensión completa de las implicaciones.
Los valores predeterminados son apropiados para la mayoría de las instalaciones.
Para ver y cambiar los parámetros configurables que activan eventos del sistema
1 Vaya a la pantalla Descripción general ( Sistema > Servidores y detectores
> Descripción general ).
2 Haga clic en el nombre de un servidor de detección o de un detector para
visualizar la pantalla Detalles del servidor/detector de ese servidor.
3 Haga clic en Configuración de servidor/detector.
Aparece la pantalla Configuración avanzada de servidor/detector de ese
servidor.
4 Cambie los parámetros configurables, según sea necesario.
Tabla 8-6 Parámetros configurables que activan eventos
Parámetro Descripción Evento
BoxMonitor.DiskUsageError Indica la cantidad de espacio en disco Bajo espacio libre en el disco

ocupado (como porcentaje) que activa
un grave evento del sistema. Por
ejemplo, un grave evento ocurre si un
servidor de detección está instalado en
la unidad C y el valor del error del
espacio libre en disco es 90. El servidor
de detección crea un grave evento del
sistema cuando el uso de la unidad C
es del 90 % o más. La opción
predeterminada es 90.
BoxMonitor.DiskUsageWarning Indica la cantidad de espacio en disco Bajo espacio libre en el disco

ocupado (como porcentaje) que activa
un evento de advertencia del sistema.
Por ejemplo, un evento de advertencia
ocurre si el servidor de detección está
instalado en la unidad C y el valor de
advertencia del espacio libre en disco
es 80. A continuación, el servidor de
detección genera un evento del sistema
de advertencia cuando el uso de la
unidad C es del 80 % o más. La opción
BoxMonitor.MaxRestartCount Indica la cantidad de veces que un Nombre del proceso se reinicia

proceso del sistema se puede reiniciar excesivamente
en una hora antes de que un grave
evento del sistema se genere. La opción
IncidentDetection.MessageWaitSevere Indica la cantidad de minutos que los Tiempo de espera de mensaje

mensajes deben esperar para ser extenso
procesados antes de que un grave
evento del sistema se envíe acerca de
los tiempos de espera del mensaje. La
opción predeterminada es 240.
IncidentDetection.MessageWaitWarning Indica la cantidad de minutos que los Tiempo de espera de mensaje

mensajes deben esperar para ser extenso
procesados antes de que un grave
evento del sistema se envíe acerca de
los tiempos de espera del mensaje. La
Acerca de las respuestas de eventos del sistema
Parámetro Descripción Evento
IncidentWriter.BacklogInfo Indica la cantidad de incidentes que se N incidentes en cola

pueden colocar en cola antes de que se
genere un evento del sistema de
información. Este tipo de registro indica
generalmente que los incidentes no
están procesados o no se están
procesando correctamente porque el
sistema se ha ralentizado o detenido.
La opción predeterminada es 1000.
IncidentWriter.BacklogWarning Indica la cantidad de incidentes que N incidentes en cola

pueden colocarse en cola antes de
generar un evento de advertencia del
sistema. Este tipo de registro indica
IncidentWriter.BacklogSevere Indica la cantidad de incidentes que se N incidentes en cola

pueden colocar en cola antes de que se
genere un evento grave del sistema.
Este tipo de registro indica

Hay tres maneras en que se pueden mostrar los eventos del sistema:
■ Informes de eventos del sistema mostrados en la consola de administración
■ Mensajes de correo electrónico de alertas del sistema
■ Funcionalidad de syslog
Ver "Cómo habilitar un servidor Syslog" en la página 190.
En la mayoría de los casos, el resumen de eventos del sistema y la información
detallada deben proporcionar bastante información a los pasos directos de la
investigación y de la reparación. La tabla siguiente proporciona algunas pautas

generales para responder a los eventos del sistema.
Tabla 8-7 Respuestas de eventos del sistema
Evento o categoría del sistema Respuesta apropiada
Bajo espacio libre en el disco Si este evento se informa en un servidor de

detección, recicle los servicios de Symantec Data
Loss Prevention en el servidor de detección. El
servidor de detección pudo haber perdido su
conexión a Enforce Server. El servidor de detección
pone en cola sus incidentes localmente y llena el
disco.
Si este evento se informa en Enforce Server,

compruebe el estado de los servicios de Oracle y
Vontu Incident Persister. Bajo espacio libre en el
disco puede resultar si los incidentes no se
transfieren correctamente del sistema de archivos
a la base de datos. Este evento puede además
indicar una necesidad de agregar el espacio libre en
disco adicional.
El espacio de tabla está casi completo Agregue archivos de datos adicionales a la base de
datos. Cuando el disco duro esté en el 80% de
capacidad, obtenga un disco más grande en vez de
agregar archivos de datos adicionales.
Consulte la Guía de instalación de Symantec Data

Loss Prevention.
Concesión de licencias y versiones Comuníquese con el soporte de Symantec.
Monitor no responde Reinicie el servicio Symantec Monitor. Si persiste el

evento, compruebe las conexiones de red.
Asegúrese de que el equipo que alberga el servidor
de detecciones esté activado conectándolo a él. Es
posible conectarlo con servicios de terminal u otro
método de conexión de escritorio remoto. Si es
necesario, comuníquese con el soporte de
Symantec.
Ver "Acerca de los servicios de Symantec Data Loss

Error de envío de alerta o informe Vaya a Sistema > Configuración > General y
programado asegúrese de que la configuración en Informes y
alertas y las secciones de SMTP estén configuradas
correctamente. Compruebe la conectividad de red
entre Enforce Server y el servidor SMTP.
Comuníquese con el soporte de Symantec.
Error de activación de clave Comuníquese con el soporte de Symantec.

automática
Las claves de cifrado son Comuníquese con el soporte de Symantec.

incoherentes
Tiempo de espera de mensaje Aumente la capacidad del servidor de detección

extenso agregando más CPU o reemplazando el equipo por
uno más eficaz.
Disminuya la carga en el servidor de detección. Es

posible disminuir la carga aplicando los filtros del
tráfico que se han configurado para detectar menos
incidentes. Es posible también reencaminar las
porciones del tráfico a otros servidores de detección.
Aumente los tiempos de espera del umbral si todos

los puntos siguientes son verdades:
■ Este mensaje se emite durante horas pico.

■ El tiempo de espera del mensaje baja a cero
antes del pico siguiente.
■ El negocio está dispuesto a tener tales retrasos
en el procesamiento de los mensajes.
nombre_proceso se reinicia Para comprobar el proceso vaya a Sistema >

excesivamente Servidores > Descripción general. Para ver
procesos individuales en esta pantalla, habilite
Control de procesos en Sistema > Configuración
> General > Configurar.
Cómo habilitar un servidor Syslog
N incidentes en cola Investigue el motivo de los incidentes que llenan la

cola.
Los motivos más probables son los siguientes:
■ Problemas de conexión. Respuesta: Asegúrese

de que el enlace de comunicaciones entre el
servidor de endpoints y el servidor de detección
sea estable.
■ Ancho de banda de conexión escaso para el
número de incidentes generados (típico de las
conexiones WAN). Respuesta: Considere
cambiar las políticas (configurando los filtros) de
modo que generen menos incidentes.
Cómo habilitar un servidor Syslog

La funcionalidad Syslog envía eventos graves del sistema a un servidor Syslog.
Los servidores Syslog permiten que los administradores del sistema filtren y dirijan
las notificaciones de eventos del sistema en un nivel más granular. Los
administradores del sistema que usan Syslog regularmente para supervisar sus
sistemas pueden preferir usar Syslog en vez de alertas. Syslog puede ser preferido
si el volumen de alertas parece poco manejable para el correo electrónico.
La funcionalidad Syslog es una opción que se puede activar o desactivar. Si se
activa Syslog, todos los eventos graves se envían al servidor Syslog.
Para habilitar funcionalidad Syslog
1 Vaya al directorio \SymantecDLP\Protect\config en Windows o al directorio
/opt/SymantecDLP/Protect/config en Linux.
2 Abra el archivo Manager.properties.

3 Quite los comentarios de la línea #systemevent.syslog.host= eliminando el
símbolo # del principio de la línea e introduzca el nombre del host o la dirección
IP del servidor Syslog.
4 Quite los comentarios de la línea #systemevent.syslog.port= eliminando el
símbolo # del principio de la línea. Escriba el número de puerto que debe
aceptar las conexiones del servidor de Enforce Server. La opción
5 Quite los comentarios de la línea #systemevent.syslog.format= [{0}] {1}
- {2} eliminando el símbolo # del principio de la línea. A continuación, defina
el formato del mensaje del evento del sistema que se enviará al servidor Syslog:
Acerca de alertas del sistema
Si la línea no tiene comentarios ni cambios, los mensajes de notificación se

envían en el formato: [nombre de servidor] resumen - detalles. Las variables
del formato son:
■ {0}: el nombre del servidor donde el evento ocurrió.
■ {1}: el resumen de eventos
■ {2}: el detalle de eventos
Por ejemplo, la configuración siguiente especifica que las notificaciones de
eventos graves del sistema se envían a un host de Syslog denominado server1
que usa el puerto 600.
systemevent.syslog.host=server1
systemevent.syslog.port=600
systemevent.syslog.format= [{0}] {1} - {2}
Usando este ejemplo, una notificación de bajo espacio libre en el disco de un

servidor Enforce Server en un host denominado dlp-1 sería similar a:
dlp-1 Low disk space - Hard disk space for

incident data storage server is low. Disk usage is over 82%.
Acerca de alertas del sistema

Las alertas del sistema son los mensajes de correo electrónico que se envían a
las direcciones designadas cuando ocurre un evento del sistema determinado. Se
define qué alertas (si hubiera) desea usar para su instalación. Las alertas se
especifican y se editan en la pantalla Configurar alerta, a la cual se llega por
Sistema > Servidores y detectores > Alertas > Agregar alerta.
Las alertas se pueden especificar según la gravedad de eventos, el nombre del
servidor o el código de eventos, o una combinación de esos factores. Las alertas
se pueden enviar para cualquier evento del sistema.
El correo electrónico que es generado por la alerta tiene una línea de asunto que
comienza con Alerta de sistema Symantec Data Loss Prevention seguido
por un resumen de eventos corto. El cuerpo del correo electrónico contiene la
misma información que es mostrada por la pantalla Detalles del evento para
proporcionar la información completa sobre el evento.
Ver "Cómo configurar Enforce Server para enviar alertas de correos electrónicos"
en la página 192.
Ver "Configuración de alertas del sistema" en la página 193.
Cómo configurar Enforce Server para enviar alertas de correos electrónicos
Cómo configurar Enforce Server para enviar alertas

de correos electrónicos
Para enviar alertas de correos electrónicos con respecto a eventos del sistema
especificados, Enforce Server debe ser configurado para admitir el envío de alertas
y de informes. Esta sección describe cómo especificar el formato de informe y
cómo configurar Symantec Data Loss Prevention para comunicarse con un servidor
SMTP.
Una vez completada la configuración descrita aquí, puede programar el envío de
informes específicos y crear alertas específicas del sistema.
Para configurar Symantec Data Loss Prevention para enviar alertas e informes
2 En la sección Informes y alertas, seleccione uno de los siguientes métodos
de distribución:
■ Enviar informes como vínculos, inicio de sesión requerido para ver.
Symantec Data Loss Prevention envía mensajes de correo electrónico con
vínculos a los informes. Es necesario iniciar sesión en Enforce Server para
ver los informes.
Nota: Los informes con datos de incidentes no pueden ser distribuidos si

se configura esta opción.
■ Enviar datos de informes por correo electrónico. Symantec Data Loss

Prevention envía mensajes de correo electrónico y adjunta los datos del
informe.
3 Escriba el nombre de dominio Enforce Server o la dirección IP en el campo

Nombre del administrador plenamente calificado.
Si envía informes como vínculos, Symantec Data Loss Prevention usa el
nombre de dominio como la base de la URL en el correo electrónico del informe.
No especifique un número de puerto, a menos que se haya modificado Enforce
Server para ejecutarse en un puerto que no sea la opción predeterminada
443.
Configuración de alertas del sistema
4 Si desea que los destinatarios de alertas vean cualquier incidente con el que
se ha establecido una correlación, seleccione Correlaciones habilitadas.
Cuando se habilitan las correlaciones, los usuarios las ven en la pantalla
Instantánea de incidente.
5 En la sección SMTP, identifique el servidor SMTP para usar para enviar alertas
e informes.
Introduzca la información relevante en los campos siguientes:
■ Servidor: nombre de host o dirección IP plenamente calificada del servidor
SMTP que Symantec Data Loss Prevention usa para entregar eventos del
sistema e informes programados.
■ Correo electrónico del sistema: la dirección de correo electrónico para el
remitente de la alerta. Symantec Data Loss Prevention especifica esta
dirección de correo electrónico como el remitente de todos los mensajes
de correo electrónico salientes. Su departamento de TI puede necesitar el
correo electrónico del sistema para ser una dirección de correo electrónico
válida en su servidor SMTP.
■ Id. de usuario: si su servidor SMTP lo necesita, escriba un nombre de
usuario válido para acceder al servidor. Por ejemplo, escriba
DOMINIO\bsmith.
■ Contraseña: si su servidor SMTP lo necesita, escriba la contraseña para

el Id. de usuario.

Ver "Configuración de alertas del sistema" en la página 193.

Es posible configurar Symantec Data Loss Prevention para enviar una alerta de
correo electrónico cuando se detecta un evento del sistema especificado. Las
alertas se pueden especificar según la gravedad de eventos, el nombre del servidor
o el código de eventos, o una combinación de esos factores. Las alertas se pueden
enviar para cualquier evento del sistema.
Tenga en cuenta que Enforce Server se debe configurar primero para enviar alertas
e informes.
en la página 192.
Las alertas se especifican y se editan en la pantalla Configurar alerta. Para crear
una nueva alerta, vaya a Sistema > Servidores > Alertas y Agregar alerta. Para
modificar una alerta, haga clic en el nombre de una alerta existente.
Para crear o modificar una alerta
1 Vaya a la pantalla Alertas ( Sistema > Servidores y detectores > Alertas ).
2 Haga clic en la ficha Agregar alerta para crear una nueva alerta o haga clic
en el nombre de una alerta para modificarla.
Se muestra la pantalla Configurar alerta.
3 Completar (o modificar) el nombre de la alerta. El nombre de la alerta se
muestra en la línea de asunto del mensaje de alerta de correo electrónico.
4 Completar (o modificar) una descripción de la alerta.
5 Haga clic en Agregar condición para especificar una condición que activará
la alerta.
Cada vez que hace clic en Agregar condición, puede agregar otra condición.
Si especifica varias condiciones, deben cumplirse todas las condiciones para
activar la alerta.
Haga clic en X rojo junto a una condición para eliminarla de una alerta existente.
6 Escriba la dirección de correo electrónico a la que se va a enviar la alerta.
Separe varias direcciones con comas.
7 Para limitar la cantidad máxima de veces que esta alerta se puede enviar en
una hora, especifique un número en la casilla Máximo por hora.
Si no escribe ningún número en esta casilla, no existe un límite para la cantidad
de veces que esta alerta se puede enviar. La práctica recomendada es limitar
las alertas a una o dos por hora, y sustituir el número por uno más alto si es
necesario. Si especifica un número alto (o si no especifica ninguno), los
buzones de los destinatarios se pueden sobrecargar con alertas continuas.
8 Haga clic en Guardar para finalizar.
Se muestra la lista Alertas.
Existen tres clases de condiciones que se puedan especificar para activar una
alerta:
■ Tipo de evento: la gravedad del evento.
■ Servidor: el servidor asociado al evento.
Acerca de la revisión del registro
■ Código del evento: un número de código que identifica una clase determinada
de evento.
Para cada tipo de condición, puede elegir uno de dos operadores:
■ Es alguno de.
■ No es ninguno de.
Para cada tipo de condición, puede especificar parámetros apropiados:
■ Tipo de evento. Es posible seleccionar uno, o una combinación, en Información,
Advertencia, Grave. Haga clic en un tipo de evento para especificarlo. Para
especificar varios tipos, mantenga pulsada la tecla Ctrl mientras hace clic en
los tipos de evento. Es posible especificar uno, dos o tres tipos.
■ Servidor Es posible seleccionar uno o más servidores de la lista de servidores
disponibles. Haga clic en el nombre del servidor para especificarlo. Para
especificar varios servidores, mantenga pulsada la tecla Ctrl mientras hace clic
en los nombres de servidor. Es posible especificar tantos servidores diferentes
como sea necesario.
■ Código del evento. Especifique el número de código. Para especificar varios
números de código, sepárelos con comas o use la tecla Retorno para escribir
cada código en una línea separada.
Ver "Códigos y mensajes de eventos del sistema" en la página 196.
Al combinar varias condiciones, puede definir las alertas que abarcan una amplia
variedad de condiciones del sistema.
Nota: Si define más de una condición, las condiciones se tratan como si estuvieran
conectadas por el operador booleano “AND” (y). Esto significa que Enforce Server
envía solamente la alerta si se cumplen todas las condiciones. Por ejemplo, si
define una condición de tipo de evento y una condición de servidor, Enforce Server
envía solamente la alerta si el evento especificado ocurre en el servidor designado.

en la página 192.
Acerca de la revisión del registro

Su instalación de Symantec Data Loss Prevention incluye varios archivos de registro.
Estos archivos proporcionan información acerca de la comunicación del servidor,
Códigos y mensajes de eventos del sistema
Enforce Server y el funcionamiento del servidor de detección, la detección de

incidentes, etc.
De forma predeterminada, los registros para Enforce Server y para el servidor de
detección se almacenan en los siguientes directorios:
■ Windows: SymantecDLP\Protect\logs
■ Linux: /var/log/SymantecDLP
Ver "Acerca de los archivos de registro" en la página 351.
Consulte además la Guía de mantenimiento del sistema de Symantec Data Loss
Prevention para obtener más información sobre la utilización de registros.

Los eventos del sistema de Symantec Data Loss Prevention se supervisan, se
informan y se registran. Cada evento es identificado por el número de código
detallado en las tablas.
Las listas y los informes de eventos del sistema se pueden filtrar por códigos de
eventos.
Nota: Los números entre paréntesis, por ejemplo {0}, indican las cadenas de texto
que se insertan dinámicamente en el nombre de evento real o en el mensaje de
la descripción.
Tabla 8-8 Eventos generales del servidor de detección
Código Resumen Descripción
1000 Supervisor iniciado Se han iniciado todos los procesos del supervisor.
1001 Supervisor local iniciado Se han iniciado todos los procesos del supervisor.
1002 Supervisor iniciado Algunos procesos del monitor están deshabilitados y no se

han iniciado.
1003 Supervisor local iniciado Algunos procesos del monitor están deshabilitados y no se
han iniciado.
1004 Supervisor detenido Se han detenido todos los procesos del supervisor.
1005 Supervisor local detenido Se han detenido todos los procesos del supervisor.
1006 {0} no pudo iniciarse El proceso {0} no puede iniciarse. Consulte los archivos de
registro para obtener más detalles.
1007 {0} se reinicia excesivamente El proceso {0} se reinició {1} veces durante los últimos {2}
minutos.
1008 {0} está inactivo El proceso {0} dejó de funcionar antes de que se iniciara
completamente.
1010 Se reinició {0} El proceso {0} se reinició porque dejó de funcionar de forma
inesperada.
1011 Se reinició {0} {0} se reinició porque no respondía.
1012 No se puede iniciar {0} No se puede enlazar al zócalo de datagrama apagado Se

volverá a intentar.
1013 {0} reanudó el inicio Se enlazó al zócalo apagado de manera correcta.
1014 Bajo espacio libre en el disco Bajo espacio en el disco duro. El uso del disco de Symantec
Data Loss Prevention Server es superior al {0}%.
Tabla 8-9 Eventos del servidor de endpoints
1100 Agregador iniciado Ninguna
1101 No se pudo iniciar el agregador Error al iniciar el agregador. {0} No se detectará ningún
incidente.
1102 Las comunicaciones con los El almacén de claves y el almacenamiento de confianza de

agentes que no son de versiones SSL no están configurados para este servidor de endpoints.
anteriores se deshabilitan Vaya a configurar la página del servidor para configurar el
almacén de claves y el almacenamiento de confianza de
SSL.
Tabla 8-10 Eventos de la configuración de la detección
1200 Se cargó la política "{0}" La política "{0}" v{1} ({2}) se ha cargado correctamente.
1201 Políticas cargadas: {0} Ninguna
1202 No se cargó ninguna política No se encontraron políticas relevantes. No se detectará

ningún incidente. 1203 Se descargó la política "{0}"La política
"{0}" se ha descargado.
1204 Se actualizó la política "{0}" La política "{0}" ha sido actualizada correctamente. La versión
actual de política es {1}. Canales activos: {2}.
1205 La política "{0}" alcanzó el límite La política "{0}" encontró incidentes en más de {1} mensajes
de incidentes en las últimas {2} horas. No se exigirá el cumplimiento de la
política hasta que sea modificada o hasta que se alcance el
período de restablecimiento de {2} horas.
1206 Tiempo de espera de mensaje El tiempo de espera del mensaje fue {0}:{1}:{2}:{3}.
extenso
1207 No se pudo cargar el perfil de No se pudo cargar el perfil de Aprendizaje de máquina

Aprendizaje de máquina vectorial vectorial [{0}]. Consulte los registros del servidor para obtener
más detalles.
1208 No se pudo descargar el perfil de No se pudo descargar el perfil de Aprendizaje de máquina

Aprendizaje de máquina vectorial vectorial [{0}]. Consulte los registros del servidor para obtener
más detalles.
1209 Perfil cargado de Aprendizaje de Perfil de Aprendizaje de máquina vectorial [{0}] cargado.
máquina vectorial
1210 Perfil de Aprendizaje de máquina Perfil de Aprendizaje de máquina vectorial [{0}] descargado.
vectorial descargado
1211 Entrenamiento de Aprendizaje de Aprendizaje ejecutado correctamente para el perfil de

máquina vectorial correcto Aprendizaje de máquina vectorial [{0}].
1212 Entrenamiento de Aprendizaje de Aprendizaje ejecutado incorrectamente para el perfil de

máquina vectorial con errores Aprendizaje de máquina vectorial [{0}].
1213 {0} mensajes superaron el tiempo {0} mensajes superaron el tiempo de espera en la detección
de espera en la detección en los últimos {1} minutos. Habilite los registros de rastreo
recientemente de la ejecución de la detección para obtener información.
1214 Se detectaron reglas de La política configurada contiene reglas de expresiones

expresiones regulares con regulares con patrones no válidos. Consulte FileReader.log
patrones no válidos para obtener información.
Tabla 8-11 Eventos del programa de lectura de archivos
1301 Lector de archivos iniciado Ninguna
1302 No se pudo iniciar el lector de Error al iniciar el lector de archivo. {0} No se detectará ningún
archivos incidente.
1303 No se pudo eliminar la carpeta El lector de archivos no puede eliminar la carpeta "{0}" del
sistema de archivos. Investíguelo, porque puede provocar
un error de funcionamiento en el sistema.
1304 Canal habilitado Se ha habilitado el canal de supervisor "{0}".
1305 Canal deshabilitado Se deshabilitó el canal de supervisor "{0}". 1306 Licencia

recibida. {0}.
1306 Licencia recibida. Ninguna
1307 iniciado Se inició el proceso.
1308 inactivo El proceso está inactivo.
Tabla 8-12 Eventos de ICAP
1400 Canal ICAP configurado El canal está en modo {0}
1401 Licencia no válida El canal ICAP no tiene licencia o la licencia ha caducado. El

canal ICAP no detectará ni evitará ningún incidente.
1402 Configuración incorrecta de La regla de configuración en línea {0} está desactualizada o

eliminación escrita en un formato de gramática incorrecto. Elimínela del
archivo de configuración o actualícela.
1403 Error de memoria insuficiente Al procesar una solicitud de conexión id={0} se produjo un
(Web Prevent) al procesar el error de memoria insuficiente. Optimice el programa de
mensaje instalación para carga de tráfico.
1404 Restricción de host Ninguno de los hosts (cliente ICAP) puede conectarse al
servidor ICAP.
1405 Error de restricción de host No se puede obtener la dirección IP del host {0}.
1406 Error de restricción de host No se puede obtener la dirección IP de ningún host de

Icap.AllowHosts.
1407 Rastreo de protocolo habilitado Rastreos habilitados disponibles en {0}.
1408 ICAP de factor de balanceo de LoadBalanceFactor se configuró en 0. Se lo tratará como 1.

carga no válido
Tabla 8-13 Eventos del MTA
1500 Licencia no válida El canal SMTP Prevent no tiene licencia o la licencia ha

caducado. El canal SMTP Prevent no detectará ni evitará
ningún incidente.
1501 Error de dirección enlazada No se pudo enlazar {0}. Consulte la dirección configurada o
el registro RequestProcessor para obtener más información.
1502 Error de restricción de MTA No se pudo resolver el host
{0}.
1503 Todos los MTA restringidos Los MTA clientes están restringidos, pero no se resolvió
ningún host. Consulte el registro RequestProcessor para
obtener más información y corrija la configuración de
RequestProcessor.AllowHosts para este Prevent Server.
1504 Error en el protocolo de enlace Error en el protocolo de enlace TLS con MTA descendente
TLS descendente {0}. Consulte los registros SmtpPrevent y RequestProcessor
para obtener más información.
1505 Protocolo de enlace TLS El protocolo de enlace TLS con el MTA descendente {0} se
descendente correcto completó correctamente.
Tabla 8-14 Eventos del inductor de archivos
1600 Anular carpeta no válida El canal del supervisor {0} tiene una carpeta de origen no
válida: {1} Uso de carpeta: {2}.
1601 Carpeta de origen no válida El canal del supervisor {0} tiene una carpeta de origen no
válida: {1} El canal está deshabilitado.
Tabla 8-15 Eventos del análisis de archivos
1700 Error al iniciar el análisis No existe un destino de Discover con el Id. {0}. 1701 Análisis
terminado {0}
1702 Análisis completado. El destino de Discover "{0}" completó un análisis

correctamente.
1703 Error al iniciar el análisis {0}
1704 La lista de recursos compartidos {0}

contenía errores
1705 Error en el análisis programado No se pudo iniciar un análisis programado del destino de
Discover {0}. {1}
1706 Error en la suspensión del {0}

análisis
1707 Error al reanudar el análisis {0}
1708 Error en la suspensión del Error de suspensión programada del análisis de destino de
análisis programado Discover {0}. {1}
1709 Error al reanudar análisis Error de suspensión programada del análisis de destino de
programado Discover {0}. {1}
1710 Se produjo el tiempo de espera El destino de Discover "{0}" agotó el tiempo de espera debido
máximo de análisis a la Duración máxima del análisis.
1711 Se produjo un error en el tiempo Se agotó el máximo del tiempo de espera de análisis: {0}.
de espera máximo de análisis Sin embargo, se produjo un error al intentar anular el análisis.
1712 Se produjo el tiempo de espera El destino de Discover "{0}" agotó el tiempo de espera debido
de inactividad de análisis al Tiempo de espera de inactividad de análisis.
1713 Se produjo un error en el Tiempo Se agotó el máximo del tiempo de inactividad de análisis:
de espera de inactividad de {0}. Sin embargo, se produjo un error al intentar anular el
análisis análisis.
1714 Análisis finalizado: estado del Ha finalizado el análisis del destino de Discover "{0}" del
servidor no válido estado de "{1}" porque el servidor de Discover asociado {2}
ingresó en un estado inesperado de "{3}".
1715 Análisis finalizado: servidor Ha finalizado el análisis del destino de Discover "{0}" porque
eliminado el servidor de Discover asociado {1} ya no está disponible.
1716 Análisis finalizado: servidor Ha finalizado el análisis del destino de Discover "{0}" porque
reasignado el servidor de Discover asociado {1} ya está analizando los
destinos de Discover "{2}".
1717 Análisis finalizado: error de No se pudo controlar el cambio de estado del servidor de
transición Discover {1} mientras se analizaba el destino de Discover
"{0}". Consulte los archivos de registro para obtener más
detalles.
1718 Error al iniciar el análisis No se pudo iniciar el análisis del destino de Discover "{0}".
Consulte los archivos de registro para obtener una
descripción detallada del error.
1719 Error de inicio de análisis debido El análisis del destino de Discover "{0}" ha fallado, ya que
al tipo de destino no admitido su tipo de destino no se admite.
Tabla 8-16 Eventos de almacenamiento externo del archivo adjunto de

incidentes
1750 Se inició la migración de archivos Se inició la migración de archivos adjuntos de incidentes de

adjuntos de incidentes la base de datos al directorio de almacenamiento externo.
1751 Se completó la migración de Se completó la migración de archivos adjuntos de incidentes

archivos adjuntos de incidentes de la base de datos al directorio de almacenamiento externo.
1752 No se pudo completar la No se pudieron migrar uno o más archivos adjuntos de

migración de archivos adjuntos incidentes de la base de datos al directorio de
de incidentes almacenamiento externo. Consulte el registro de Incident
Persister para obtener más detalles. Una vez resuelto el
error, reinicie el servicio VontuIncidentPersister para
reanudar la migración.
1753 Error durante la migración de Se produjo un error durante la migración de uno o más
archivos adjuntos de incidentes. archivos adjuntos de incidentes de la base de datos al
directorio de almacenamiento externo. Consulte el registro
de Incident Persister para obtener más detalles. La migración
continuará y volverá a intentar migrar el archivo adjunto con
error más tarde.
1754 No se pudo actualizar la No se pudo actualizar la programación para eliminar los

programación de eliminación de archivos adjuntos de incidentes en el directorio externo.
archivos adjuntos de incidentes Consulte el registro de Incident Persister para obtener más
detalles.
1755 Se inició la eliminación de Se inició la eliminación de archivos adjuntos de incidentes

archivos adjuntos de incidentes obsoletos del directorio de almacenamiento externo.
1756 Se completó la eliminación de Se completó la eliminación de archivos adjuntos de incidentes

archivos adjuntos de incidentes obsoletos del directorio de almacenamiento externo.
1757 No se pudo eliminar el archivo No se pudieron eliminar uno o más archivos adjuntos de
adjunto de incidentes incidentes del directorio de almacenamiento externo. Consulte
el registro de Incident Persister para obtener más detalles.
1758 No se puede acceder al directorio No se puede acceder al directorio de almacenamiento externo

de almacenamiento externo de de archivos adjuntos de incidentes. Consulte el registro de
archivos adjuntos de incidentes Incident Persister para obtener más detalles.
Se puede acceder al directorio Se puede acceder al directorio de almacenamiento externo

de almacenamiento externo de de archivos adjuntos de incidentes.
archivos adjuntos de incidentes
Tabla 8-17 Eventos de Incident Persister y del escritor de incidentes
1800 Incident Persister no puede insuficiente de Incident Persister al procesar el incidente {0}.
procesar el incidente
1801 Incident Persister no pudo

procesar el incidente {0}
1802 Se recibió un incidente dañado Se recibió un incidente dañado y se cambió su nombre a {0}.
1803 Política mal configurada La política "{0}" no tiene una gravedad asociada.
1804 Incident Persister no se puede Incident Persister no se puede iniciar porque no puede
iniciar acceder a la carpeta de incidentes {0}. Compruebe los
permisos de carpeta.
1805 Incident Persister no puede Carpeta de incidentes Incident Persister no puede acceder
acceder a a la carpeta de incidentes {0}. Compruebe los permisos de
carpeta.
1806 El procesamiento de la regla de El procesamiento de la regla de respuesta no se pudo iniciar:

respuesta no se pudo iniciar {0}.
1807 Error de ejecución del No se pudo realizar el tiempo de ejecución del comando de
procesamiento de la regla de regla de respuesta a partir del error: {0}.
respuesta
1808 No se puede escribir el incidente No se pudo eliminar el archivo temporal anterior {0}.
1809 No se puede escribir el incidente No se pudo cambiar el nombre del archivo temporal de
incidente {0}.
1810 No se puede generar lista de No se pudo generar la lista de archivos de incidentes en la

incidentes carpeta {0}. Compruebe los permisos de carpeta.
1811 Error al enviar incidente Se produjo un error inesperado al enviar un incidente. {0}
Consulte el registro del escritor de incidentes para obtener
más información.
1812 El escritor de incidentes se No se pudo eliminar el archivo de incidentes {0} después de

detuvo enviarlo. Elimine el archivo de forma manual, corrija el
problema y reinicie el escritor de incidentes.
1813 No se pudo generar lista de No se pudo generar la lista de archivos de incidentes en la

incidentes carpeta {0}. Compruebe los permisos de carpeta.
1814 Cola de incidentes pendiente Hay {0} incidentes en la cola de este servidor.
1815 El espacio libre en disco del El espacio en el disco duro es insuficiente para el servidor
servidor de incidentes es de almacenamiento de datos de incidentes. El uso del disco
insuficiente supera el {0}%.
1816 No se pudieron actualizar las No se pudieron actualizar las estadísticas de la política {0}.
estadísticas de política
1817 Se superó la cantidad máxima de Se ha superado la cantidad máxima de incidentes diarios

incidentes diarios para la política {0}.\n No se generarán más incidentes.
1818 El incidente es de tamaño El incidente es de tamaño excesivo, parcialmente se ha

excesivo, se ha persistido con un persistido con el Id. de mensaje {0} y el nombre de archivo
número limitado de componentes del incidente {1}.
o de infracciones
1821 No se pudo procesar un incidente Se produjo un error inesperado al enviar un incidente {0}
que se recibió del gateway de la
nube
Tabla 8-18 Eventos de la instalación o de la actualización
1900 No se pudo cargar el paquete de Se produjo un error de conexión de base de datos al cargar
actualización. el paquete de actualización de software {0}.
1901 Se produjo un error en la No se pudo aplicar la actualización de software del paquete

actualización de software {0}. Consulte el registro del servicio de actualización.
Tabla 8-19 Eventos de la contraseña de activación de clave
2000 Error de ignición de clave No se pudieron activar las claves con la nueva contraseña
de activación. Se deshabilitará la detección de perfiles de
datos exactos.
2001 No se puede actualizar la La contraseña de activación de clave no se actualizará

contraseña de ignición de clave. porque las claves criptográficas no están activadas. Se
deshabilitará la coincidencia de datos estructurados.
Tabla 8-20 Código del evento de restablecimiento de la contraseña del

administrador
2099 Restablecimiento de la Se restableció la contraseña del administrador con la

contraseña de administrador herramienta de restablecimiento de contraseña.
Tabla 8-21 Eventos de administrador y de políticas del administrador
2100 Administrador guardado La configuración del administrador se guardó correctamente.
2101 Origen de datos eliminado El origen de datos cuyo Id. es {0} fue eliminado por {1}.
2102 Origen de datos guardado El origen de datos {0} fue guardado por {1}.
2103 Origen de documento eliminado El origen de documento cuyo Id. es {0} fue eliminado por {1}.
2104 Origen de documento guardado El origen de documento {0} fue guardado por {1}.
2105 Nuevo protocolo creado El nuevo protocolo {0} fue creado por {1}.
2106 Orden de protocolo modificado El protocolo {0} fue movido {1} por {2}.
2107 Protocolo eliminado El protocolo {0} fue eliminado por {1}.
2108 Protocolo guardado El protocolo {0} fue editado por {1}.
2109 Usuario eliminado El usuario cuyo Id. es {0} fue eliminado por {1}.
2110 Usuario guardado El usuario {0} fue guardado por {1}.
2111 Se detectó una búsqueda Uno de los complementos de búsqueda de atributos no se

consecutiva completó correctamente y dejó un subproceso en ejecución
en el sistema. Es posible que sea necesario reiniciar el
administrador para la limpieza.
2112 Personalizado cargado Complementos de búsqueda de atributos Se cargaron los

siguientes complementos de búsqueda de atributos
personalizados: {0}.
2113 No se cargó ningún complemento No se encontró ningún complemento de búsqueda de atributo

de búsqueda de atributo personalizado.
personalizado
2114 Error en la búsqueda de atributos Se agotó el tiempo de espera del complemento de búsqueda
personalizados {0}. Se descargó.
2115 Error en la búsqueda de atributos No se pudo crear una instancia del complemento de
personalizados búsqueda {0}. Se descargó. Mensaje de error: {1}
2116 Política modificada La política {0} fue modificada por {1}.
2117 Política eliminada La política {0} fue eliminada por {1}.
2118 Error de envío de alerta o informe configurado por {1} contiene las siguientes direcciones de
programado. {0} correo electrónico inaccesibles: {2}. Las direcciones son
incorrectas o el servidor de correo electrónico no permite la
retransmisión a dichas direcciones.
2119 Configuración del sistema La configuración del sistema fue modificada por {0}.
modificada
2120 Configuración de ubicación de La configuración de ubicación de endpoint fue modificada

endpoint modificada por {0}.
2121 La cuenta ''{1}'' fue bloqueada Se superó la cantidad máxima de {0} intentos fallidos
consecutivos de inicio de sesión en la cuenta ''{1}'' y, por lo
tanto, fue bloqueada.
2122 Acciones FlexResponse Se cargaron las siguientes acciones FlexResponse: {0}.

cargadas
2123 No se cargó ninguna acción No se encontró ninguna acción FlexResponse:

FlexResponse:
2124 Se detectó una acción Uno de los complementos FlexResponse no se completó

FlexResponse consecutiva. correctamente y dejó un subproceso en ejecución en el
sistema. Es posible que sea necesario reiniciar el
administrador para la limpieza.
2125 Configuración de Data Insight La configuración de Data Insight fue modificada por {0}.
cambiada.
2126 Configuración de agente creada La configuración de agente {0} fue creada por {1}.
2127 Configuración de agente La configuración de agente {0} fue modificada por {1}.
modificada
2128 Configuración de agente La configuración de agente {0} fue eliminada por {1}.
eliminada
2129 Configuración de agente aplicada La configuración de agente {0} fue aplicada al servidor de
endpoints {1} por {2}.
2130 Origen de conexión de directorio El origen de conexión del directorio con el Id. {0} fue
eliminado eliminado por {1}.
2131 Origen de conexión de directorio El origen de conexión de directorio {0} fue guardado por {1}.
guardado
2132 Tarea de solución de problemas La tarea de solución de problemas de agente de tipo {0} fue
de agente creada por el usuario {1}.
2133 Archivo de autoridad de Archivo de autoridad de certificación {0} generado.

certificación generado.
2134 El archivo de autoridad de El archivo de autoridad de certificación {0} está dañado.

certificación está dañado.
2135 La contraseña cambió para el La contraseña cambió para el archivo de autoridad de

archivo de autoridad de certificación {0}. El nuevo archivo de autoridad de certificación
certificación. es {1}.
2136 Almacén de claves del servidor Almacén de claves del servidor {0} generado para el servidor
generado. de endpoints {1}.
2137 Falta el almacén de claves del Falta el almacén de claves del servidor {0} para el servidor
servidor o está dañado. de endpoints {1} o está dañado.
2138 Almacenamiento de confianza Almacenamiento de confianza del servidor {0} generado para
del servidor generado. el servidor de endpoints {1}.
2139 Falta el almacenamiento de Falta el almacenamiento de confianza del servidor {0} para
confianza del servidor o está el servidor de endpoints {1} o está dañado.
dañado.
2140 Clave y certificados de clientes Clave y certificados de clientes generados.

generados.
2141 Paquete del instalador de agente Paquete del instalador de agente generado para plataformas
generado. {0}.
Tabla 8-22 Eventos de concesión de licencias y activación de clave de Enforce
2200 Acuerdo de licencia para el El acuerdo de licencia para el usuario final de Symantec Data
usuario final aceptado Loss Prevention fue aceptado por {0}, {1}, {2}.
2201 La licencia no es válida Ninguna

2202 El período de la licencia ha Al menos una de las licencias de producto ha caducado. Es

caducado posible que se haya deshabilitado alguna función del sistema.
Compruebe el estado de las licencias en la página de
configuración del sistema.
2203 La licencia está a punto de Al menos una de las licencias de producto caducará pronto.
caducar Compruebe el estado de las licencias en la página de
configuración del sistema.
2204 Sin licencia La licencia no existe, ha caducado o no es válida. No se

detectará ningún incidente.
2205 Claves activadas Las claves criptográficas fueron activadas por el inicio de
sesión de administrador.
2206 Error de activación de clave No se pudieron activar las claves criptográficas de forma
manual. Consulte los registros de Enforce Server para
obtener más información. No se podrán crear perfiles de
datos exactos.
2207 Activación de clave automática Las claves criptográficas se activaron automáticamente.
2208 Se requiere activación manual de No está configurada la generación automática de claves

clave criptográficas. Se debe iniciar sesión de administrador para
activar las claves criptográficas. No es posible crear nuevos
perfiles de datos estructurados hasta que se inicie sesión de
administrador.
Tabla 8-23 Eventos principales del administrador
2300 Bajo espacio libre en el disco Bajo espacio en el disco duro. El uso del disco de Enforce
Server de Symantec Data Loss Prevention es superior al
{0}%.
2301 El espacio de tabla está casi El espacio de tabla de Oracle {0} está completo en más de
completo {1}%.
2302 {0} no responde El servidor de detección {0} no actualizó su latido durante al

menos 20 minutos.
2303 Configuración de monitor La configuración de monitor {0} fue modificada por {1}.
modificada
2304 Actualización de sistema cargada Se cargó una actualización de sistema que afectó los
siguientes componentes: {0}.
2305 El servidor SMTP no está El servidor SMTP no está accesible. No es posible enviar
accesible. alertas ni programar informes.
2306 Se inició Enforce Server Se inició Enforce Server.
2307 Enforce Server se detuvo Se detuvo Enforce Server.
2308 Excepción de actualizador de El actualizador de estado de monitor encontró una excepción

estado de monitor general. Consulte los registros de Enforce Server para
obtener más información.
2309 Error de actualización de No se pueden actualizar las estadísticas de uso del disco de
estadísticas del sistema Enforce Server ni de uso de la base de datos. Consulte los
registros de Enforce Server para obtener más información.
2310 Error de agregación de La tarea de resumen de estadísticas encontró una excepción

estadísticas general. Consulte los registros de Enforce Server para
2311 Discrepancia de versiones La versión de Enforce es {0}, mientras que la versión de

Monitor es {1}.
2312 No se pudo eliminar el incidente No se pudo eliminar el incidente .
2313 Eliminación de incidente La eliminación de incidentes se ejecutó en {0} y eliminó {1}

finalizada incidente(s).
2314 Error de eliminación de datos de Error de eliminación de datos de endpoint.

endpoint
2315 El espacio libre en disco del El espacio en el disco duro es insuficiente para el servidor
servidor de incidentes es de almacenamiento de datos de incidentes. El uso del disco
insuficiente supera el {0}%.
2316 Contiene actualmente más de {0} Los más de {0} incidentes persistentes pueden disminuir el
incidentes en la base de datos rendimiento de la base de datos.
Tabla 8-24 Eventos de compatibilidad de la versión de Monitor
2320 Versión obsoleta El servidor de detección no se admite cuando hay dos

versiones principales anteriores a la versión del Enforce
Server. La versión de Enforce es {0}, y la versión de este
servidor de detección es {1}. Este servidor de detección debe
actualizarse.
2321 Versión anterior a la de Enforce Enforce no tendrá visibilidad de este servidor de detección
y no podrá enviarle actualizaciones. Los incidentes del
servidor de detección se recibirán y se procesarán
normalmente. La versión de Enforce es {0}, y la versión de
este servidor de detección es {1}.
2322 Versión anterior a la de Enforce Este servidor de detección no admitirá las funciones incluidas
en las versiones más recientes de Enforce que se refieran
a este tipo de servidor de detección. La versión de Enforce
es {0}, y la versión de este servidor de detección es {1}.
2323 Versión secundaria anterior a la Este servidor de detección no admitirá las funciones incluidas
versión secundaria de Enforce en las versiones más recientes de Enforce que se refieran
a este tipo de servidor de detección. Además, dichas
funciones pueden ser incompatibles con él. La versión de
Enforce es {0}, y la versión de este servidor de detección es
{1}. Este servidor de detección debería actualizarse.
2324 Versión más reciente que la de El servidor de detección no se admite cuando su versión es
Enforce más reciente que la versión de Enforce Server. La versión
de Enforce es {0}, y la versión de este servidor de detección
es {1}. Se debe actualizar Enforce, o se debe degradar el
servidor de detección.
Tabla 8-25 Eventos de elaboración de informes del administrador
2400 Exportación de archivo de El archivo de almacenamiento "{0}" del usuario {1} se creó
almacenamiento web finalizada correctamente.
2401 Exportación de archivo de El archivo de almacenamiento "{0}" del usuario {1} se canceló.
almacenamiento web cancelada
2402 Error de exportación de archivo No se pudo crear el archivo de almacenamiento "{0}" del
de almacenamiento web usuario {1}. El informe especificado contenía más de {2}
incidentes.
2403 Error de exportación de archivo No se pudo crear el archivo de almacenamiento "{0}" del
de almacenamiento web usuario {1}. Se produjo un error en el incidente {2}.
2404 No se puede ejecutar el informe El trabajo de informe programado {0} no era válido y fue
programado eliminado.
2405 No se puede ejecutar el informe El informe programado {0} perteneciente a {1} encontró un
programado error: {2}.
2406 La programación de informes El informe programado {0} perteneciente a {1} no se puede

está deshabilitada ejecutar porque la programación de informes está
deshabilitada.
2407 La programación de informes El informe programado no se puede ejecutar porque la

está deshabilitada programación de informes está deshabilitada.
2408 No se puede ejecutar el informe No se puede conectar al servidor de correo mientras se

programado entrega el informe programado {0}{1}.
2409 No se puede ejecutar el informe El usuario {0} ya no está en el rol {1} al cual pertenece el
programado informe programado {2}. La programación se ha eliminado.
2410 No se puede ejecutar el informe No se puede ejecutar el informe programado {0} del usuario
programado {1} porque la cuenta actualmente está bloqueada.
2411 Informe programado enviado El informe programado {0} perteneciente a {1} se envió
correctamente.
2412 Error en el informe de XML de Error de exportación XML de informe del usuario [{0}] Error
exportación de exportación XML de informe del usuario [{0}].
2420 No se puede ejecutar la No se puede distribuir el informe {0} (id={1}) por propietario
distribución programada de de datos, ya que el envío de datos de informes se ha
informes de propietarios de datos deshabilitado.
2421 Se produjo un error en la Se produjo un error en la distribución de informe {0} (id={1})

distribución de informe por por propietario de datos.
propietario de datos
2422 Distribución de informe por Distribución del informe {0} (id={1}) por propietario de datos
propietario de datos finalizada finalizada con {2} incidentes para propietarios de datos {3}.
No se pudieron exportar {4} incidentes para propietarios de
datos {5}.
2423 Se truncó la distribución de La distribución del informe {1} (id={2}) para el propietario de
informe a propietario de datos datos "{0}" superó el tamaño máximo permitido. Solamente
se enviaron los primeros {3} incidentes a "{0}".
Tabla 8-26 Eventos de la mensajería
2500 Error inesperado al procesar {0} encontró un error inesperado al procesar un mensaje.
mensaje Consulte el archivo de registro para obtener más detalles.
2501 Regulador de memoria Se requieren {0} x {1} bytes disponibles para restricción de
deshabilitado memoria. Solamente había {2} bytes disponibles. El regulador
de memoria se ha deshabilitado.
Tabla 8-27 Eventos de comunicación del servidor de detección
2600 Error de comunicación Se produjo un error inesperado al enviar actualizaciones {1}

a {0}. {2} Consulte los registros de Monitor Controller para
2650 Error de comunicación (VML) Un error inesperado ocurrió mientras enviaba el conjunto de
configuraciones de actualizaciones de perfil {0} a {1} {2}.
Consulte los registros de Monitor Controller para obtener
más información.
Tabla 8-28 Eventos de Monitor Controller
2700 Se inició Monitor Controller Se inició el servicio de Monitor Controller.
2701 Se detuvo Monitor Controller Se detuvo el servicio Monitor Controller.
2702 Actualización transferida a {0} Se transfirió correctamente el paquete de actualización {1}

al servidor de detección {0}.
2703 Transferencia de actualización Se transfirió correctamente el paquete de actualización {0}

finalizada a todos los servidores de detección.
2704 No se pudo actualizar {0} No se pudo transferir el paquete de actualización al servidor

de detección {0}.
2705 Entrega de archivo de Se transfirió correctamente el archivo de configuración {0}

configuración finalizada al servidor de detección.
2706 Solicitud de carga de registro La solicitud de carga de registro {0} se envió correctamente.
enviada.
2707 No se puede enviar la solicitud Se encontró un error recuperable al intentar entregar la

de carga de registro solicitud de carga de registro {0}.
2708 No se puede enviar la solicitud Se encontró un error irrecuperable al intentar entregar la

de carga de registro solicitud de carga de registro {0}.
2709 Uso de certificado integrado Uso de un certificado integrado para asegurar la

comunicación entre Enforce y los servidores de detección.
2710 Uso de certificado generado por Uso de un certificado generado por el usuario para asegurar
el usuario la comunicación entre Enforce y los servidores de detección.
2711 Desfase horario entre Enforce y Desfase horario entre Enforce y Monitor. Se recomienda
Monitor. Esto puede afectar arreglar la hora en el supervisor mediante la sincronización
ciertas funcionalidades del automática de hora.
sistema.
2712 Conectado al detector en la nube Conectado al detector en la nube.
2713 Conector en la nube Error {0}: Revise la configuración de la red.

desconectado
Tabla 8-29 Eventos de captura de paquetes
2800 El directorio de cola configurado La captura de paquetes ha sido configurada con un directorio
para captura de paquetes es de cola: {0}. El directorio no tiene privilegios de escritura.
incorrecto Compruebe los permisos del directorio y el archivo de
configuración del monitor. A continuación, reinicie el monitor.
2801 No se pudo enviar lista de NIC. {0}.

{0}
Tabla 8-30 Eventos y mensajes del índice de EDM
2900 Error de búsqueda de perfil EDM {0}.
2901 Las claves no están activadas Se deshabilitará la coincidencia de datos estructurados hasta
que las claves criptográficas se activen.
2902 No se puede acceder a la carpeta No se pudo generar una lista de los archivos de la carpeta
de índices de índices {0}. Compruebe la configuración y los permisos
de carpeta.
2903 Se creó una carpeta de índices La carpeta de índices local {0} especificada en la
configuración no existía. Fue creada.
2904 Carpeta de índice no válida La carpeta de índices {0} especificada en la configuración

no existe.
2905 Error en la creación de perfil de No se creó el archivo de datos para el perfil de datos exactos
datos estructurados "{0}". Consulte los registros de Enforce Server para obtener
más información.
2906 Se canceló la indización Se canceló la creación del perfil de base de datos "{0}".
2907 Replicación cancelada Se canceló la replicación del perfil de base de datos "{0}",
versión {1}, al servidor {2}.
2908 Error de replicación Se perdió la conexión con la base de datos al replicar el perfil
de base de datos {0} al servidor {1}.
2909 Error de replicación Se produjo un error en la base de datos al replicar el perfil

de base de datos {0} al servidor {1}.
2910 No se pudo eliminar el archivo de No se pudo eliminar el archivo de índice {1} del perfil de base
índice de datos {0}.
2911 No se pudieron eliminar los No se pudieron eliminar los archivos de índice {1} del perfil
archivos de índice de base de datos {0}.
2912 No se pudo eliminar el archivo No se pudo eliminar el archivo de índice de perfiles de bases
huérfano de datos huérfano {0}.
2913 Error de replicación Se produjo un error en la replicación del perfil de la base de

datos {0} al servidor {2}. {1} Consulte el registro de Monitor
Controller para obtener más detalles.
2914 Replicación finalizada Se completó la replicación del perfil de base de datos {0} al
servidor {2}. El archivo {1} se transfirió correctamente.
2915 Replicación finalizada Se completó la replicación del perfil de base de datos {0} al
servidor {2}. Los archivos {1} se transfirieron correctamente.
2916 Perfil de base de datos eliminado Se eliminó el perfil de base de datos {0}. El archivo {1} se
eliminó correctamente.
2917 Perfil de base de datos eliminado Se eliminó el perfil de base de datos {0}. Los archivos {1} se
eliminaron correctamente.
2918 Perfil de base de datos cargado Se cargó el perfil de base de datos {0} de {1}.
2919 Perfil de base de datos Se descargó el perfil de base de datos {0}.

descargado
2920 No se pudo cargar el perfil de {2} No se detectará ningún incidente en el perfil de base de
base de datos datos "{0}", versión {1}.
2921 No se pudo descargar el perfil de {2} Es probable que no sea posible volver a cargar el perfil
base de datos de base de datos "{0}", versión {1}, en el futuro sin el reinicio
del servidor de detección.
2922 No se pudo encontrar el No se encontró en la base de datos el contenido registrado

contenido registrado con el Id. {0} durante la indización.
2923 Error en base de datos Se produjo un error en la base de datos durante la indización.
{0}
2924 Proceso cerrado durante la El proceso ha sido cerrado durante la indización. Es posible
indización que no se haya podido crear algún contenido registrado.
2925 La política es incorrecta La política "{0}" tiene una o más reglas cuya precisión de
detección no es satisfactoria con respecto a {1}.{2}
2926 Perfil de datos estructurados Se creó {0} del archivo "{1}". \nFilas procesadas: {2}\nFilas
creado no válidas: {3}\nEl perfil de datos exactos no será replicado
a todos los servidores de Symantec Data Loss Prevention.
2927 Error de sincronización del grupo Los siguientes directorios del grupo de usuarios se han
de usuarios "{0}" eliminado/se han cambiado de nombre en el servidor de
directorio y no pudieron ser sincronizados: {1}. Actualice la
página del grupo de usuarios "{2}" para reflejar tales cambios.
2928 Uno o más perfiles EDM están Consulte la página "Administrar > Perfiles de datos > Datos
desactualizados y se deben exactos" para obtener más detalles. Los perfiles siguientes
reindexar EDM están desactualizados: {0}.
Tabla 8-31 Eventos y mensajes del índice de IDM
3000 {0} No se creó el perfil de documento {1}.
3001 Se canceló la indización Se canceló la creación del perfil de documento "{0}".
3002 Replicación cancelada Se canceló la replicación del perfil de documento "{0}",

versión {1}, al servidor {2}.
3003 Error de replicación Se perdió la conexión con la base de datos al replicar el perfil
de documento "{0}", versión {1}, al servidor {2}.
3004 Error de replicación Se produjo un error en la base de datos al replicar el perfil

de documento "{0}", versión {1}, al servidor {2}.
3005 No se pudo eliminar el archivo de No se pudo eliminar el archivo de índice {2} del perfil de
índice documento "{0}", versión {1}.
3006 No se pudieron eliminar los No se pudieron eliminar los archivos de índice {2} del perfil
archivos de índice de documento "{0}", versión {1}.
3007 No se pudo eliminar el archivo {0}

huérfano
3008 Error de replicación Se produjo un error en la replicación del perfil de documento

"{0}", versión {1}, al servidor {3}. {2}\nConsulte el registro de
Monitor Controller para obtener más detalles.
3009 Replicación finalizada Se completó la replicación del perfil de documento "{0}",

versión {1}, al servidor {3}. El archivo {2} se transfirió
correctamente.
3010 Replicación finalizada Se completó la replicación del perfil de documento "{0}",

versión {1}, al servidor {3}.\nLos archivos {2} se transfirieron
correctamente.
3011 Perfil de documento eliminado Se eliminó el perfil de documento "{0}", versión {1}. El archivo
{2} se eliminó correctamente.
3012 Perfil de documento eliminado Se eliminó el perfil de documento "{0}", versión {1}. Los
archivos {2} se eliminaron correctamente.
3013 Perfil de documento cargado Se cargó el perfil de documento "{0}", versión {1}, de {2}.
3014 Perfil de documento descargado Se descargó el perfil de documento "{0}", versión {1}.
3015 No se pudo cargar el perfil de {2}No se detectará ningún incidente en el perfil de documento
documento "{0}", versión {1}.
3016 No se pudo descargar el perfil de {2} En el futuro es posible que no se pueda volver a cargar
documento el perfil de documento "{0}", versión {1}, sin reiniciar el
supervisor.
3017 Perfil de documento creado Se creó "{0}" de "{1}". Hay {2} archivos accesibles en la raíz
del contenido. {3} El perfil contiene el índice de {4}
documentos. {5} El perfil de documento se replicará ahora a
todos los servidores de Symantec Data Loss Prevention.
3018 Perfil de documento {0} ha alcanzado el tamaño máximo. Documentos indizados:

{1} de {2}.
3019 No hay elementos para indizar El origen de documento "{0}" no encontró archivos para
indexar.
3020 Perfil de documento creado Se creó "{0}" de "{1}". Hay {2} archivos accesibles en la raíz
del contenido. {3} El perfil contiene el índice de {4}
documentos. En comparación con la última ejecución de
indización, se agregaron {5} documentos nuevos, se
actualizaron {6} documentos, {7} documentos permanecieron
sin modificación y se eliminaron {8} documentos. El perfil de
documento se replicará ahora a todos los servidores de
Symantec Data Loss Prevention.
3021 No hay elementos para indizar El nuevo perfil de IDM remoto para el origen "{0}" era idéntico
a la versión importada anterior.
3022 Conversión de perfil El perfil de IDM {0} se convirtió a {1} en el endpoint.
3023 Uso de memoria de los perfiles El tamaño del perfil de IDM {0} más el tamaño de los perfiles
de IDM del endpoint ya implementados son demasiado grandes para entrar en el
endpoint, y solo estarán disponibles las coincidencias
exactas.
Tabla 8-32 Eventos de la búsqueda de atributos
3100 Se detectaron atributos no Durante la ejecución del script se eliminaron atributos no

válidos con el complemento de válidos o inseguros transferidos desde entrada de estándar.
búsqueda de script Consulte los registros para obtener más detalles.
3101 Se detectaron atributos no Durante la ejecución de script se eliminaron atributos no

válidos con el complemento de válidos o inseguros transferidos a salida de estándar.
búsqueda de script Consulte los registros para obtener más detalles.
Tabla 8-33 Eventos de código auxiliar de Monitor
3200 AggregatorStub iniciado Ninguna
3201 {0} actualizado Lista de actualizaciones: {1}.
3202 Almacenamiento de {0} Elementos iniciales: {1}.

inicializado
3203 {0} recibido Tamaño: {1} bytes.
3204 FileReaderStub iniciado Ninguna
3205 IncidentWriterStub iniciado Uso de la carpeta de incidentes de prueba {0}.

3206 Configuración de {0} recibida {1}.
3207 PacketCaptureStub iniciado Ninguna
3208 RequestProcessorStub iniciado Ninguna
3209 Configuración avanzada recibida Ninguna
3210 Configuración actualizada Configuración actualizada: {0}.
3211 Se cargó la configuración Ninguna

avanzada
3212 UpdateServiceStub iniciado Ninguna
3213 DetectionServerDatabaseStub Ninguna

iniciado
Tabla 8-34 Eventos de captura de paquetes
3300 Captura de paquetes iniciada La captura de paquetes se ha iniciado correctamente.
3301 Error al iniciar la captura en el El dispositivo {0} está configurado para captura, pero no pudo
dispositivo {0} inicializarse. Consulte PacketCapture.log para obtener más
información.
3302 PacketCapture no pudo elevar su PacketCapture no pudo elevar sus privilegios. Es posible
nivel de privilegio que se produzcan errores en algunas tareas de inicialización.
Compruebe la propiedad y los permisos del archivo ejecutable
PacketCapture.
3303 PacketCapture no pudo reducir Los privilegios de raíz pueden alcanzarse incluso después
su nivel de privilegio. de intentar reducirlos. PacketCapture no continuará.
3304 La captura de paquetes se inició La captura de paquetes volvió a iniciar el procesamiento, ya

nuevamente, ya que hay más que se liberó espacio en los discos duros de Monitor.
espacio libre en disco disponible.
3305 La captura de paquetes se La captura de paquetes detuvo el procesamiento de paquetes

detuvo debido al límite de porque el espacio disponible en los discos duros de Monitor
espacio libre en el disco es muy escaso.
3306 El controlador Endace DAG no La captura de paquetes no pudo activar la compatibilidad

está disponible con el dispositivo Endace. Consulte PacketCapture.log para
3307 El controlador PF_RING no está La captura de paquetes no pudo activar los dispositivos
disponible mediante la interfaz PF_RING. Consulte PacketCapture.log
y los registros del sistema para obtener más información.
3308 El controlador PACKET_MMAP La captura de paquetes no pudo activar los dispositivos

no está disponible mediante la interfaz PACKET_MMAP. Consulte
PacketCapture.log y los registros del sistema para obtener
más información.
3309 {0} no está disponible La captura de paquetes no pudo cargar {0}. Ninguna interfaz
de captura nativa está disponible. Consulte PacketCapture.log
3310 No se capturó tráfico de {0} El tráfico de {0} no se ha capturado en los últimos {1}
segundos. Compruebe los filtros de protocolo y el tráfico
enviado a la NIC de supervisión.
3311 No se pudo crear el directorio No se pudo crear el directorio {0} : {1}.
Tabla 8-35 Eventos de recopilación de registros
3400 No se pudieron agregar los Los archivos que se solicitó recopilar no pudieron escribirse
archivos a zip en un archivo de almacenamiento.
3401 No se pudo enviar la recopilación Los archivos que se solicitó recopilar no pudieron enviarse.
de registros
3402 No se pudieron leer las No se pudo leer un archivo de propiedades. No se aplicaron

propiedades de registro los cambios de configuración de registro.
3403 No se pudo descomprimir el No se pudo desempaquetar el archivo zip que contiene los
paquete de configuración de cambios de configuración de registro. Los cambios de
registro configuración no se aplicarán.
3404 No se encontraron archivos para No se encontraron archivos para la última solicitud de

recopilar recopilación de registros enviada al servidor.
3405 Error al crear el archivo No se pudo crear un archivo para recopilar los registros de
endpoint.
3406 Se superó el uso del disco Error en la creación del archivo debido a espacio insuficiente
en disco.
3407 Se superó el límite máximo de Error en la creación del archivo debido a que el número
archivos abiertos máximo de archivos ya está abierto.
Tabla 8-36 Eventos de SPC de Enforce
3500 Se registró correctamente el Se registró correctamente el servidor SPC. Id. de la instancia

servidor SPC. del producto [{0}].
3501 Se anuló correctamente el Se anuló correctamente el registro del servidor SPC. Id. de
registro del servidor SPC. la instancia del producto [{0}].
3502 Se generó un certificado Se generó un certificado autofirmado. Alias del certificado

autofirmado. [{0}].
Tabla 8-37 Eventos de los orígenes de datos de usuario de Enforce
3600 La importación de usuario se La importación de usuario del origen {0} se completó

completó correctamente. correctamente.
3601 Error de importación de usuario. Error en la importación de usuario del origen de datos {0}.
3602 Los datos del usuario actualizado Los datos de usuario actualizado se vincularon a los {0}
se vincularon a incidentes. eventos de incidente existentes.
Tabla 8-38 Eventos relacionados con la distribución de elementos del catálogo
3700 No se pudo escribir el elemento No se pudo eliminar el archivo temporal anterior {0}.
del catálogo
3701 No se pudo cambiar el nombre No se pudo cambiar el nombre del archivo temporal del
del elemento del catálogo elemento del catálogo {0}.
3702 No se pudo generar una lista de No se pudo generar una lista de archivos de elementos del
elementos del catálogo catálogo en la carpeta {0}. Compruebe los permisos de
carpeta.
3703 Error al enviar elementos del Error inesperado al enviar un elemento del
catálogo catálogo.{0}Consulte el registro del programa de lectura de
archivos para obtener más información.
3704 El programa de lectura de No se pudo eliminar el archivo de catálogo {0} después de

archivos no pudo eliminar los enviarlo.\nElimine el archivo manualmente, corrija el problema
archivos. y reinicie el programa de lectura de archivos.
3705 No se pudo generar una lista de No se pudo generar una lista de archivos de elementos del
archivos de elementos del catálogo en la carpeta {0}. Compruebe los permisos de
catálogo carpeta.
3706 La configuración no es válida. La propiedad {0} se configuró con un valor no válido {1}.
Asegúrese de que se haya proporcionado el valor correcto.
3707 No se pudo completar el análisis: Se agotó el tiempo de actualización del catálogo de detección
no se pudo actualizar el catálogo de reparaciones después de {0} segundos para el destino
de detección de reparaciones {1}.
Tabla 8-39 Eventos de base de datos del servidor de detección
3800 DetectionServerDatabase Ninguna

iniciado
3801 DetectionServerDatabase no Error al iniciar DetectionServerDatabase. Motivo: {0}.

pudo iniciarse
3802 Puerto no válido para No se pudo recuperar el puerto del proceso

DetectionServerDatabase DetectionServerDatabase para escuchar la conexión. Motivo:
{0}. Compruebe si la configuración del archivo de propiedad
tiene un número de puerto válido.
Tabla 8-40 Código del evento de telemetría
3803 Error de transmisión de Error de transmisión de telemetría. Estado de la transmisión:

telemetría. {0}
Tabla 8-41 Eventos de capa de comunicación de endpoint
3900 Error de comunicaciones Error de comunicaciones internas. Consulte {0} en busca de

internas. errores. Busque la cadena {1}.
3901 Los eventos del sistema se han Se superó el límite de regulación de eventos del sistema. Se
suprimido. suprimieron {0} eventos. Código de error interno = {1}.
Tabla 8-42 Código del evento de comunicación del agente
4000 Error en el protocolo de enlace Error en el protocolo de enlace del agente. Consulte {0} en
del agente busca de errores. Busque la cadena {1}.
Tabla 8-43 Eventos de error en la aplicación de capa de comunicación de

replicación de Monitor Controller
4050 Error de persistencia de lote de Un error inesperado ocurrió mientras los datos del agente
datos del agente eran persistidos: {0}. Consulte los registros de Monitor
Controller para obtener más información.
4051 Error de persistencia de lote de Los datos del atributo de estado para los agentes {0} no se
atributo del estado del agente pudieron persistir. Consulte los registros de Monitor Controller
4052 Persistencia de lote del evento Los datos del evento para los agentes {0} no se pudieron
del agente persistir. Consulte los registros de Monitor Controller para
Tabla 8-44 Código del evento de los servicios web de Enforce Server
4101 Error de base de datos de La búsqueda de la solicitud falló incluso después {0} intentos.
servicio de ejecución de regla de La conexión de base de datos aún está inactiva. Detendrán
respuesta durante la búsqueda el servicio.
de solicitud
Tabla 8-45 Eventos de inscripción del servicio en la nube
4200 Inscripción del servicio en la Inscripción del servicio en la nube: se recibió correctamente
nube: se recibió correctamente el certificado de cliente del servicio de Symantec Managed
el certificado de cliente del PKI.
servicio de Symantec Managed
PKI
4201 Inscripción del servicio en la ERROR {0}.

nube: se produjo un error al
solicitar el certificado de cliente
del servicio de Symantec
Managed PKI
4205 El certificado del servicio de El certificado del servicio de Symantec Managed PKI caduca
Symantec Managed PKI caduca en {0} días.
en {0} días
4206 El certificado del servicio de El certificado del servicio de Symantec Managed PKI ha
Symantec Managed PKI ha caducado.
caducado
4210 Error en el paquete de inscripción Contenido de archivo de inscripción no válido.

del servicio en la nube
4211 Error en el paquete de inscripción Falta el archivo de inscripción en el paquete .ZIP.

del servicio en la nube
4212 Paquete de inscripción del La información del detector no coincide con la configuración
detector en la nube no válido existente.
Tabla 8-46 Código del evento del detector en la nube
4300 Detector en la nube creado en Detector en la nube {0} creado en Enforce.

Enforce
Tabla 8-47 Código de evento del perfil de grupos de usuarios
4400 Uno o más perfiles de Grupos Consulte la página Administrar > Políticas > Grupos de
de usuarios están usuarios para más información. Los siguientes perfiles de
desactualizados y deben Grupos de usuarios están desactualizados: {0}.
reindizarse.
Tabla 8-48 Código de evento de las operaciones en la nube
4701 Eventos o notificaciones de las Las operaciones en la nube emitieron un evento o una
operaciones en la nube notificación sobre el servicio de la nube.
Capítulo 9
Administrar la base de
datos de Symantec Data
Loss Prevention
■ Utilización de las herramientas de diagnóstico de base de datos de Symantec

Data Loss Prevention
■ Visualización de asignaciones del archivo de datos y de espacios de tabla
■ Ver tabla de detalles
■ Comprobación de la preparación de actualización de la base de datos
Utilización de las herramientas de diagnóstico de

base de datos de Symantec Data Loss Prevention
La consola de administración de Enforce Server le permite ver la información de
diagnóstico sobre los espacios de tabla y las tablas en su base de datos para
ayudarle a administrar mejor sus recursos de base de datos. Es posible ver el nivel
de espacio de tabla y tablas y si los archivos en las tablas se extienden de forma
automática para acomodar más datos. Esta información puede ayudarle a
administrar su base de datos comprendiendo donde se puede habilitar la función
de la extensión automática de Oracle en los archivos de datos o administrar los
recursos de base de datos. Es posible también generar un informe de base de
datos detallado para compartir con el Soporte técnico de Symantec para ayudar
con la solución de problemas de la base de datos.
Administrar la base de datos de Symantec Data Loss Prevention 225
Visualización de asignaciones del archivo de datos y de espacios de tabla
Es posible ver la asignación de los espacios de tabla, incluyendo el tamaño, el uso

de la memoria, la extensibilidad, el estado y el número de archivos en cada espacio
de tabla. Es posible también ver el nombre, el tamaño y la configuración de la
extensión automática para cada archivo en un espacio de tabla. Además, puede
ver las asignaciones del nivel de tabla para las tablas de datos del incidente, otras
tablas, los índices y las tablas del objeto del localizador (LOB).
Es posible generar un informe de base de datos completo en el formato HTML para
compartir con el Soporte técnico de Symantec en cualquier momento haciendo clic
en Obtener informe completo. Los datos en el informe pueden ayudar al Soporte
técnico de Symantec a solucionar problemas en los problemas en su base de datos.
Ver "Generar un informe de base de datos" en la página 227.
Visualización de asignaciones del archivo de datos y

de espacios de tabla
Es posible ver las asignaciones del archivo de datos y de espacios de tabla en la
página Resumen de espacios de tabla de bases de datos ( Sistema > Base de
datos > Resumen de espacios de tabla ).
La página Resumen de espacios de tabla de bases de datos muestra la siguiente
información:
■ Nombre : El nombre del espacio de tabla.
■ Tamaño : El tamaño del espacio de tabla en megabytes.
■ % completo : El porcentaje del espacio de tabla actualmente en uso.
■ Utilizado (MB) : La cantidad del espacio de tabla actualmente en uso, en
megabytes.
■ Extensible a (MB) : El tamaño al cual el espacio de tabla se puede extender.
Este valor se basa en la configuración de extensión automática de archivos
dentro del espacio de tabla.
■ Estado : El estado actual del espacio de tabla según el porcentaje del espacio
de tabla actualmente en uso, dependiendo de los umbrales de advertencia. Si
está utilizando la configuración del umbral de advertencia predeterminado, el
estado es:
■ Correcto : El espacio de tabla está debajo el 80% completo o el espacio de
tabla puede ser extendido de forma automática.
■ Advertencia : El espacio de tabla está entre un 80% y un 90% completo.
Si ve una advertencia en un espacio de tabla, puede considerar habilitar la
Visualización de asignaciones del archivo de datos y de espacios de tabla
extensión automática en los archivos de datos en el espacio de tabla o

ampliar el valor máximo de extensión automática del archivo de datos.
■ Grave : El espacio de tabla es superior al 90% completo. Si ve una
advertencia grave en un espacio de tabla, es necesario habilitar la extensión
automática en los archivos de datos en el espacio de tabla, ampliar el valor
máximo para extender automáticamente el archivo de datos o determinar
si se pueden depurar algunos de los datos en el espacio de tabla.
■ Número de archivos : El número de archivos de datos en el espacio de tabla.

Seleccione un espacio de tabla de la lista para ver los detalles sobre los archivos
que contiene. La vista del archivo del espacio de tabla muestra la siguiente
información:
■ Nombre : El nombre del archivo.
■ Tamaño : El tamaño del archivo, en megabytes.
■ Extensible automáticamente : Especifica si el archivo es extensible de forma
automática basado en la configuración de la extensión automática del archivo
en la base de datos de Oracle.
■ Extensible a (MB) : El tamaño máximo al cual el archivo puede ser extendido
de forma automática, en megabytes.
■ Ruta : La ruta al archivo.
Ajustar los umbrales de advertencia según el uso del espacio de

tabla en las bases de datos grandes
Si su base de datos contiene una gran cantidad de datos (1 terabyte o más), puede
ajustar los umbrales de advertencia para uso del espacio de tabla. Para tales bases
de datos grandes, Symantec recomienda ajustar del umbral Advertencia en 85%
completo y el umbral Gravedad en 95% completo. Es conveniente configurar estos
umbrales incluso más altos para bases de datos más grandes. Es posible especificar
estos valores en el archivo /SymantecDLP/protect/config/Manager.properties.
Para ajustar los umbrales de advertencia de uso del espacio de tabla
1 Abra el archivo Manager.properties con un programa de edición de texto.
2 Configure los umbrales Advertencia y Gravedad en los valores siguientes:
com.vontu.manager.tablespaceThreshold.warning=85
com.vontu.manager.tablespaceThreshold.severe=95
3 Guarde los cambios al archivo Manager.properties y ciérrelos.

4 Reinicie el servicio de Vontu Manager para aplicar los cambios.
Ver tabla de detalles
Generar un informe de base de datos

Es posible generar un informe de base de datos completo en formato HTML en
cualquier momento haciendo clic en Obtener informe completo en la página
Resumen de espacios de tabla de bases de datos. El informe de base de datos
incluye la siguiente información:
■ Información de base de datos detallada
■ Distribución de datos del incidente
■ Distribución de datos del mensaje
■ Información del grupo de políticas
■ Información de políticas
■ Información del agente endpoint
■ Información del servidor de detección (supervisor)
El Soporte técnico de Symantec puede solicitar este informe para ayudarle a
solucionar problemas de base de datos.
Para generar un informe de base de datos
1 Navegue a Sistema > Base de datos > Espacios de tabla.
2 Haga clic en Obtener informe completo.
3 El informe tarda varios minutos en generarse. Actualice su pantalla después
de varios minutos para ver el vínculo al informe.
4 Para abrir o guardar el informe, haga clic en el vínculo sobre la tabla
Asignación de espacios de tabla. El vínculo incluye la marca de fecha del
informe para su conveniencia.
5 En el cuadro de diálogo Abrir archivo, elija si desea abrir el archivo o
guardarlo.
6 Para ver el informe, ábralo en un navegador web o un programa de edición
de texto.
7 Para actualizar el informe, haga clic en Actualizar informe completo.

Es posible ver las asignaciones de nivel de tabla en la página Detalles de la tabla
de la base de datos ( Sistema > Base de datos > Detalles de la tabla ). Las
asignaciones del nivel de tabla pueden ser útiles después de una depuración grande
para ver la liberación del espacio del espacio dentro de los segmentos de base de
datos. Es posible actualizar la información mostrada en esta página haciendo clic

en Actualizar datos de tabla en cualquier momento.
La página Detalles de la tabla de la base de datos muestra las asignaciones del
nivel de tabla en una de cuatro fichas:
■ Tablas de incidentes : esta ficha enumera todas las tablas de datos de
incidentes en el esquema de la base de datos Symantec Data Loss Prevention.
La ficha muestra la siguiente información:
■ Nombre de la tabla : El nombre de la tabla.
■ Espacio de tabla : El nombre del espacio de tabla que contiene la tabla.
■ Tamaño (MB) : El tamaño de la tabla, en megabytes.
■ % completo : El porcentaje de la tabla actualmente en uso.
■ Otras tablas : Esta ficha enumera el resto de las tablas en el esquema. La ficha
muestra la siguiente información:
■ Índices : Esta tabla enumera todos los índices en el esquema. La ficha muestra
la siguiente información:
■ Nombre de índice : El nombre del índice.
■ Nombre de la tabla : El nombre de la tabla que contiene el índice.
■ Segmentos de LOB : Esta tabla enumera todas las tablas del objeto (LOB) del
localizador en el esquema. La ficha muestra la siguiente información:
■ Nombre de la columna : El nombre de la columna de la tabla contiene los
datos de LOB.
■ Tamaño del segmento de LOB (MB) : El tamaño del segmento de LOB,
en megabytes.
Comprobación de la preparación de actualización de la base de datos
■ Tamaño del índice de LOB : El tamaño del índice de LOB, en megabytes.

Nota: El valor de porcentaje usado para cada tabla muestra el porcentaje de la

tabla actualmente en uso según lo informado por la base de datos de Oracle en
azul oscuro. Además incluye el intervalo usado de porcentaje estimado adicional
en azul claro. Symantec Data Loss Prevention calcula este intervalo basado en la
utilización del espacio de tabla.
Comprobación de la preparación de actualización de

la base de datos
Se usa la herramienta Preparación de la actualización para confirmar que la base
de datos de Oracle está lista para actualizarse a la siguiente versión de Symantec
La herramienta Preparación de la actualización prueba los elementos siguientes
en el esquema de la base de datos:
■ Versión de Oracle
■ Parches de Oracle
■ Permisos
■ Espacios de tabla
■ Esquema existente comparado con el esquema estándar
■ Clústeres de aplicaciones reales
■ Captura de datos modificados
■ Columnas virtuales
■ Tablas particionadas
■ Desbordamiento numérico
■ Espacio temporal de Oracle
Tabla 9-1 enumera las tareas que completa para ejecutar la herramienta.
Tabla 9-1 Uso de la herramienta Preparación de la actualización
Paso Tarea Detalles
1 Localice la última versión de la Ver "Ubicación de la herramienta Preparación

herramienta. de la actualización" en la página 230.
2 Cree la cuenta de la base de Ver "Creación de la cuenta de la base de datos

datos de la herramienta de la herramienta Preparación de actualización"
Preparación de actualización. en la página 230.
3 Ejecute la herramienta. Ver "Ejecución de la herramienta Preparación

de la actualización para Symantec Data Loss
Prevention versión 14.x" en la página 232.
4 Revise los resultados de la Ver "Revisión de los resultados de la

preparación de la actualización. preparación de la actualización" en la página 234.
Ubicación de la herramienta Preparación de la actualización

Es posible obtener la última versión de la herramienta (tanto para las versiones
principales como para las secundarias de Symantec Data Loss Prevention) en
FileConnect. Vaya a https://fileconnect.symantec.com/ para descargar la
herramienta. Symantec recomienda que descargue la herramienta al directorio
DLPDownloadHome\DLP\15.0\.
El nombre del archivo de la herramienta es

Symantec_DLP_15.0_Update_Readiness_Tool.zip. La versión de la herramienta
cambia cuando se liberan herramientas actualizadas.
Nota: Revise el archivo Léame incluido con la herramienta para obtener una lista
de las versiones de la herramienta que Symantec Data Loss Prevention puede
probar.
Ver "Comprobación de la preparación de actualización de la base de datos"

en la página 229.
Creación de la cuenta de la base de datos de la herramienta

Preparación de actualización
Antes de que pueda ejecutar la herramienta Preparación de actualización, es
necesario crear una cuenta de base de datos.
Para crear la nueva cuenta de base de datos de Preparación de actualización

1 Navegue a la carpeta /script donde extrajo la herramienta Preparación de
actualización.
2 Inicie SQL*Plus:
sqlplus /nolog
3 Ejecute el script oracle_create_user.sql:
SQL> @oracle_create_user.sql
4 En la indicación Escriba la contraseña para el usuario de sistema, escriba

la contraseña para el usuario del sistema.
5 En la indicación Escriba el SID, escriba un nombre de usuario.
6 En la indicación Escriba el nombre de usuario necesario para crearlo,
escriba un nombre para la nueva cuenta de la base de datos de preparación
de la actualización.
7 En la indicación Escriba una contraseña para el nuevo nombre de usuario,
escriba una contraseña para la nueva cuenta de la base de datos de
preparación de la actualización.
Use las instrucciones siguientes para crear una contraseña aceptable:
■ Las contraseñas no pueden contener más de 30 caracteres.
■ Las contraseñas no pueden contener comillas, comas o barras diagonales
inversas.
■ Evite usar el carácter &.
■ Las contraseñas distinguen entre mayúsculas y minúsculas de forma
predeterminada. Es posible cambiar la distinción de mayúsculas y
minúsculas a través de una opción de configuración de Oracle.
■ Si su contraseña usa caracteres especiales diferentes a_, # o $, o si su
contraseña comienza con un número, es necesario encerrar la contraseña
entre comillas dobles cuando la configura.
Almacene el nombre de usuario y la contraseña en una ubicación segura para

su uso en el futuro. Use este nombre de usuario y contraseña para ejecutar
la herramienta Preparación de actualización.
8 Como el usuario SYSDBA de la base de datos, otorgue el permiso para
"proteger" al usuario de los objetos de base de datos siguientes:
sqlplus sys/protect as sysdba

GRANT READ,WRITE ON directory DATA_PUMP_DIR TO protect;
GRANT SELECT ON dba_registry_history TO protect;
GRANT SELECT ON dba_temp_free_space TO protect;
Ver "Ubicación de la herramienta Preparación de la actualización" en la página 230.

en la página 229.
Ejecución de la herramienta Preparación de la actualización para

Symantec Data Loss Prevention versión 14.x
Después de ubicar la herramienta Preparación de la actualización, ejecútela desde
la línea de comandos.
Para ejecutar la herramienta Preparación de la actualización

1 Desde una ventana de comando, vaya al directorio donde extrajo la herramienta
Preparación de la actualización.
2 Ejecute la herramienta Preparación de la actualización usando el comando
siguiente:
java UpdateReadinessTool
--username <username>
--password <password>
--sid <database_system_id>
--readiness_username <readiness_username>
--readiness_password <readiness_password>
[--quick]
La tabla siguiente identifica los comandos:
<nombredeusuario> El nombre de usuario de la base de datos de protección.
<contraseña> La contraseña de la base de datos de protección.
<id_sistema_base_de_datos> El Id. del sistema de la base de datos (SID).
<usuario_preparación> El usuario de la cuenta de la base de datos de la

herramienta de Preparación de la actualización que creó.
Ver "Creación de la cuenta de la base de datos de la

herramienta Preparación de actualización" en la página 230.
<contraseña_preparación> La contraseña para el usuario de la cuenta de la base de

datos de la herramienta de Preparación de la actualización.
[--quick] El comando opcional solo ejecuta la comprobación del

objeto de la base de datos y omite la prueba de preparación
de la actualización.
Después de que la prueba finalice, puede localizar los resultados en un archivo

de registro en el directorio /output. Este directorio se encuentra donde extrajo
la herramienta Preparación de la actualización. Si no incluye [--quick] cuando
ejecuta la herramienta, la prueba puede tardar hasta una hora en completarse.
Es posible verificar el estado de la prueba revisando los archivos de registro
en el directorio /output.
Ver "Ubicación de la herramienta Preparación de la actualización" en la página 230.
Ver "Revisión de los resultados de la preparación de la actualización"
en la página 234.
Revisión de los resultados de la preparación de la actualización

Después de ejecutar la herramienta Preparación de la actualización, la herramienta
devuelve los resultados de la prueba en un archivo de registro. Tabla 9-2 enumera
los resultados resumidos en el archivo de registro.
Tabla 9-2 Resultados de la Preparación de la actualización
Estado Descripción
Aprobado Los elementos que se muestran en esta sección están confirmados y listos
para la actualización.
Advertencia Si no se solucionan, los elementos que se muestran en esta sección pueden

evitar que la base de datos se actualice correctamente.
Error Estos elementos evitan que la actualización se complete y deben ser

solucionados.

en la página 229.
Capítulo 10
Utilización de Symantec
Information Centric
Encryption
■ Acerca de Symantec Information Centric Encryption
■ Acerca de la utilidad Symantec ICE
■ Descripción general de la implementación de funciones de Information Centric

Encryption
■ Configuración de Enforce Server para conectarse a la nube de Symantec ICE
Acerca de Symantec Information Centric Encryption

Symantec Information Centric Encryption (ICE) es una solución de reducción de
riesgo que les permite a sus empleados, partners y personas de confianza compartir
con seguridad los archivos y los documentos de la compañía. Symantec ICE puede
ayudarle a detectar archivos confidenciales y a cifrarlos de modo que solamente
los usuarios autorizados puedan acceder a ellos.
Las tecnologías de cifrado típicas pueden provocar pérdidas de datos después de
descifrar los archivos. Una vez que los archivos se descifran, pueden ser enviados
a otros individuos y ya no contarán con protección. Sin embargo, la tecnología de
cifrado de ICE cifra y protege archivos durante toda la vida de un archivo, sin
importar a dónde viaje.
Utilización de Symantec Information Centric Encryption 236
Acerca de Symantec Information Centric Encryption
Cuando se determina que un archivo es confidencial o crítico, ICE lo cifra

automáticamente en el lugar usando la biblioteca y los servicios de cifrado de ICE.
Una vez que se cifra, solo los usuarios que autorice pueden leerlo.
ICE además incluye Information Centric Encryption Cloud Console, que le
proporciona con visibilidad en el uso de archivos cifrados por ICE. Es posible
supervisar quién ha accedido a los archivos, desde donde se accede a esos archivos
y cómo se usan. También puede usar ICE Cloud Console para configurar permisos
de grupo determinado. Es posible configurar permisos para guardado, uso
compartido y edición de archivos para grupos de usuarios, así como revocar el
acceso a archivos o derechos individuales o los derechos de acceso a archivos
de grupos de usuarios específicos.
Cuando ICE se combina con la tecnología de Symantec Data Loss Prevention o
Symantec CloudSOC (se requiere una licencia de ICE separada), puede buscar y
cifrar archivos confidenciales que se encuentren en estas ubicaciones:
■ Recursos compartidos de archivos empresariales: servidores de sistemas de
archivos o Microsoft SharePoint
Es posible usar las funciones integradas de ICE para cifrar archivos
confidenciales en las ubicaciones de servidores de sistemas de archivos y
Microsoft SharePoint.
Symantec Data Loss Prevention Network Discover tiene la capacidad integrada
de aplicar Information Centric Encryption a archivos confidenciales que se
almacenan en:
■ Ubicaciones de servidores de sistemas de archivos. Configure una regla de
respuesta para usar la acción Network Protect: Cifrar archivo.
■ Microsoft SharePoint. Configure una regla de respuesta para usar la acción
SharePoint Encrypt de Server FlexResponse. Las funciones del cifrado se
habilitan usando un nuevo complemento de Server FlexResponse que se
implementa de forma automática cuando se instala o se actualiza a Symantec
Data Loss Prevention 15.0 (se requiere la licencia adecuada de Network
Discover). No se requiere ninguna personalización ni configuración adicional
para implementar este complemento de Server FlexResponse.
■ Unidades extraíbles: unidades de disco duro externas y memorias USB

Es posible usar las funciones integradas de ICE para cifrar archivos
confidenciales que se copian o se transfieren a dispositivos de almacenamiento
extraíbles USB.
Los agentes DLP tienen la capacidad integrada de aplicar ICE para cifrar
archivos confidenciales que se copien a dispositivos de almacenamiento
extraíbles USB. Use la acción Prevent: Cifrar en su regla de respuesta. Es
posible administrar su entorno de ICE implementando una utilidad de ICE para
Acerca de la utilidad Symantec ICE
descifrado; la utilidad de ICE está disponible en FileConnect con sus

componentes descargables de Data Loss Prevention.
■ Almacenamiento de archivos en la nube
ICE admite la inspección de contenido de sus entornos empresariales de Box
o OneDrive. Cuando los usuarios en su organización envían archivos al servicio
Box de su empresa, Symantec CloudSOC usa el Gatelet de CloudSOC para
analizarlos en tiempo real. Symantec CloudSOC usa el Securlet de CloudSOC
para analizar periódicamente los archivos que están ya presentes en las cuentas
de Microsoft OneDrive de su empresa.
Es posible usar la consola de administración de Enforce Server de Symantec
Data Loss Prevention o la consola de Symantec CloudSOC para definir sus
políticas para identificar archivos confidenciales. Es posible usar ICE solamente
con Symantec CloudSOC. Sin embargo, usar Symantec Data Loss Prevention
le permite aprovechar las importantes prestaciones de autoridad y reparación
de políticas.

La utilidad Symantec ICE permite que un usuario autorizado descifre un archivo
que ha sido cifrado por ICE. Si un usuario intenta acceder a un archivo que ICE
protege, ICE Utility le indica al usuario que se autentique. Si el usuario se autentica,
ICE Utility descifra el archivo. ICE Utility además aplica cualquier conjunto de
permisos asignado al usuario en ICE Cloud Console. Por ejemplo, si se ha
deshabilitado la impresión para el usuario o el grupo de usuarios, el usuario no
puede imprimir el documento.
Nota: En dispositivos móviles, ICE Utility se llama ICE Workspace.
ICE Utility reconoce el contexto, lo que significa que reconoce un entorno de usuario.
ICE Utility se puede implementar en dos tipos de entornos: entornos administrados
y entornos no administrados.
■ En los entornos administrados, su organización proporciona y mantiene los
dispositivos en los cuales los usuarios acceden a archivos protegidos.
En entornos administrados, ICE Utility aprovecha las políticas y los controles
de seguridad que su organización establece sobre los dispositivos de usuario.
En este entorno, ICE Utility brinda la mayor flexibilidad para el usuario con
descifrado y utilización de archivos protegidos. Los archivos se abren en su
aplicación nativa y el usuario tiene acceso total para editar, compartir, guardar,
guardar como e imprimir el archivo. Los usuarios deben autenticarse por lo
menos una vez cada 180 días.
La versión administrada de ICE Utility funciona en plataformas Windows y

macOS.
Nota: Su organización puede instalar ICE Utility en el dispositivo administrado

en la inicialización.
■ Si usa ICE Utility con Data Loss Prevention y desea usarla con Network
Discover y Endpoint Discover, puede descargarla de FileConnect con sus
otros componentes de Data Loss Prevention.
■ Si usa ICE Utility solo con CloudSOC o con Data Loss Prevention para la
protección del contenido del almacenamiento en la nube solamente, puede
descargarla de Information Centric Encryption Cloud Console. Descargue
la versión administrada de ICE Utility de la página Configuración >
Descargas de ICE Cloud Console.
■ En los entornos no administrados, como los de sus partners o aquellos a los

cuales los empleados traen sus propios dispositivos, los dispositivos de los
usuarios están fuera de su control directo.
Puesto que no tiene ningún control directo sobre la seguridad de los dispositivos
de los usuarios en los entornos no administrados, ICE Utility proporciona
seguridad adicional. ICE Utility impone restricciones más estrictas sobre cuándo
y cómo se descifra un archivo y le brinda un mayor control del contenido con
el uso de conjuntos de permisos.
Los usuarios deberán autenticarse la primera vez que intenten acceder a un
archivo cifrado cada 24 horas.
■ En Windows, los tipos de archivo admitidos se abren en su aplicación nativa,
pero se aplican los permisos que usted le asignó al usuario. Por lo tanto, si
ha restringido la impresión para el usuario o el grupo de usuarios, el usuario
no podrá imprimir el archivo.
Los archivos que no son compatibles con ICE se abren en su aplicación
nativa, pero ICE no aplica permisos.
■ En los dispositivos macOS y iOS, todos los archivos que ICE protege se
abren en Quick Look, en el modo de lectura solamente.
En todos los entornos, cuando el usuario finaliza con el archivo, ICE Utility lo cifra
de nuevo, manteniendo la seguridad del archivo durante todo su período de vida.
Nota: Si se permite a un usuario guardar el archivo con un nuevo nombre, el nuevo

archivo no se cifra.
Los usuarios cuyos dispositivos usted no administra, por ejemplo, los partners, los
clientes externos y los empleados que traen sus propios dispositivos, pueden
obtener ICE Utility de las siguientes maneras:
■ Cuando intentan abrir un archivo protegido en un dispositivo sin ICE Utility, se
les indica que descarguen ICE Utility.
■ Pueden descargar ICE Utility directamente de Symantec en:
https://sice.enc.protect.symantec.com/auth/client/download.html.
Autenticación con ICE Utility

Cuando un usuario accede a un archivo protegido, ICE Utility autentica al usuario.
Si el usuario es autenticado, el archivo se descifra para el usuario y el usuario
puede trabajar con el archivo según los permisos o el entorno del usuario. Los
usuarios se autentican de una de dos maneras:
■ Si ha configurado un proveedor de identidad (IdP) y el usuario está en un grupo
asignado al IdP, el servicio del IdP autentica al usuario.
■ En todos los demás casos, se solicita a los usuarios que se registren en una
cuenta de Symantec Identity para autenticarse.
Registro de errores para ICE Utility

Si un usuario encuentra cualquier error mientras usa Symantec ICE Utility, ICE
guarda la información sobre los errores en un archivo de registro.
ICE Utility almacena el archivo de registro en las siguientes ubicaciones:
■ En Microsoft Windows, en: ~/Library/Logs/SymantecICE.log
■ En macOS, en: ~/Library/Logs/SymantecICE.log
Uso de ICE en dispositivos móviles

ICE permite ver archivos cifrados por ICE en dispositivos móviles. Las funciones
de ICE se incluyen en la aplicación VIP Access y se llaman ICE Workspace. Para
dispositivos móviles, los usuarios pueden instalar la aplicación gratuita Symantec
VIP Access. La aplicación VIP Access facilita la autenticación e incluye funciones
de ICE para ver archivos cifrados por ICE en dispositivos móviles.
Los siguientes párrafos de esta sección describen la experiencia de usuario para
usar ICE en un dispositivo móvil.
Cuando un usuario intenta por primera vez abrir un archivo protegido por ICE en
un dispositivo móvil, ICE inicia una página web. La página explica que el archivo
está protegido y que se debe instalar ICE para acceder al archivo. Si ICE no está
en el dispositivo móvil, el usuario puede tocar el botón Iniciar. Este botón abre otra
página para ayudar al usuario a configurar y usar ICE en el dispositivo móvil. La
página además incluye un vínculo para instalar la aplicación VIP Access.
Después de que VIP Access está instalado en el dispositivo móvil, cada vez que
el usuario intente abrir un archivo cifrado por ICE, la página web se abre para
indicar que el archivo está protegido. Para acceder al archivo, el usuario debe tocar
la opción de la aplicación de nube para importar y exportar. El usuario debe elegir
abrir el archivo en la aplicación VIP Access. La opción específica que el usuario
debe seleccionar para abrir el archivo varía dependiendo de la aplicación de nube
que se esté usando, por ejemplo, una de las siguientes opciones:
Nota: Un usuario debe usar la aplicación móvil de un proveedor de almacenamiento

en la nube para abrir archivos cifrados por ICE. No se puede usar un navegador
móvil para acceder a archivos cifrados por ICE.
Después de que un usuario intenta abrir un archivo protegido por ICE con VIP
Access, la aplicación VIP Access solicita al usuario las credenciales de
autentificación. Si un usuario tiene más de una cuenta, puede usar una opción para
abrir una sesión con otra cuenta. Si se requiere autenticación de múltiples factores,
el usuario debe además proporcionar la autenticación adicional, por ejemplo, usando
su Touch ID o proporcionando una contraseña.
Un usuario puede autenticarse de una de las siguientes formas:
■ Para los usuarios internos, el usuario puede tener que usar credenciales
corporativas si usted así lo ha configurado.
■ Para los partners, el usuario puede tener que registrarse con Symantec Identity.
El usuario debe usar la dirección de correo electrónico que se asocia al archivo
que se comparte con ellos.
Después de que el usuario se autentica correctamente, y siempre que el usuario
esté autorizado para ver el archivo, VIP Access usa ICE para descifrar el archivo
y abrirlo para el usuario en modo de lectura solamente.
Descripción general de la implementación de funciones de Information Centric Encryption
Descripción general de la implementación de

funciones de Information Centric Encryption
Los pasos de nivel superior para implementar Information Centric Encryption con
Symantec Data Loss Prevention se proporcionan en la Tabla 1-1. Los pasos
específicos de la tarea se proporcionan en los temas mencionados en la columna
“Detalles”.
Para obtener más información sobre Information Centric Encryption, consulte la
Guía de implementación de Symantec Information Centric Encryption en
http://www.symantec.com/docs/DOC9707.
Tabla 10-1 Descripción general de la implementación de funciones de

Information Centric Encryption
Paso Acción Detalles
1 Dependiendo de las Ver "Instalación de un nuevo archivo de licencia"

necesidades de en la página 244.
seguridad de su
organización, instale
una o ambas de las
siguientes licencias:
■ ICE de Network
Protect
■ ICE de Endpoint
Prevent
2 Configure Enforce Ver "Configuración de Enforce Server para conectarse

Server para conectarse a la nube de Symantec ICE" en la página 242.
a la nube de Symantec
ICE.
3 Configure acciones de Ver "Configuración de la acción Endpoint Prevent:

regla de respuesta de Cifrar" en la página 1493.
políticas para proteger
Ver "Configuración de Network Protect: acción Cifrar
archivos confidenciales
archivo" en la página 1512.
usando el cifrado de
ICE. Ver "Cómo configurar la acción de Server
FlexResponse" en la página 1458.
4 Configure Network Ver "Configuración de Network Protect para archivos

Protect para habilitar la compartidos" en la página 1887.
protección de cifrado de
ICE para destino de
análisis admitidos.
Configuración de Enforce Server para conectarse a la nube de Symantec ICE
5 Configure agentes DLP Ver "Configuración de Information Centric Encryption

para permitirles cifrar para agentes DLP" en la página 2114.
archivos confidenciales
en los endpoints o en
dispositivos extraíbles
que estén conectados
a los endpoints.
6 Descargue y después ICE Utility está disponible para descargar desde

instale ICE Utility en Symantec FileConnect.
todos los dispositivos
Ver "Acerca de la utilidad Symantec ICE"
administrados dentro
en la página 237.
de su organización. Se
requiere ICE Utility para
que los usuarios
puedan acceder a los
archivos cifrados por
ICE.
Se solicitará a los
usuarios de dispositivos
no administrados que
descarguen e instalen
ICE Utility cuando
intenten acceder a
archivos cifrados por
ICE por primera vez en
un dispositivo
determinado.
Configuración de Enforce Server para conectarse a

la nube de Symantec ICE
Después de instalar las licencias de Endpoint Prevent ICE o Network Protect ICE,
debe configurar Enforce Server para que se conecte a la nube de Symantec ICE.
Este paso es un requisito previo para habilitar cualquiera de las funciones
relacionadas con el cifrado que puede configurar usando la consola de configuración
de Enforce Server.
Configuración de Enforce Server para conectarse a la nube de Symantec ICE
Para configurar Enforce Server para conectarse a la nube de Symantec ICE:

2 En la pantalla Editar configuración general, desplácese hacia abajo hasta
la sección Configuración de acceso a la nube de Symantec ICE.
3 Escriba los detalles siguientes de la nube de Symantec ICE en los campos
proporcionados:
■ Id. de cliente
■ Id. de dominio
■ Dirección URL de servicio
■ Id. de usuario del servicio
■ Contraseña del servicio
Nota: Obtenga esta información de la página Configuración > Configuración

avanzada > Servicios externos en la consola en la nube de ICE. Tenga en
cuenta que la contraseña del servicio es solamente visible cuando primero
autoriza un servicio externo. Si ha perdido su contraseña del servicio, la única
forma de ver su contraseña del servicio es obtener una nueva.

Ver "Instalación de un nuevo archivo de licencia" en la página 244.
Capítulo 11
Cómo agregar un nuevo
módulo del producto
■ Instalación de un nuevo archivo de licencia
■ Acerca de las actualizaciones del sistema
Instalación de un nuevo archivo de licencia

Cuando compra Symantec Data Loss Prevention por primera vez, lo actualiza a
una versión posterior o adquiere módulos adicionales del producto, debe instalar
uno o más archivos de licencia de Symantec Data Loss Prevention. Los archivos
de licencia tienen nombres con el formato nombre.slf.
Es posible también especificar un archivo de licencia para un módulo a fin de iniciar
y, posteriormente, escribir archivos de licencia para módulos adicionales.
Para obtener información detallada acerca la instalación del archivo de licencia
para la compra inicial de Symantec Data Loss Prevention, consulte la Guía de
instalación de Symantec Data Loss Prevention para su sistema operativo.
Para instalar una licencia:
1 Descargue el nuevo archivo de licencia.
Para obtener información sobre descarga y extracción de un archivo de licencia,
consulte el documento Adquisición del software Symantec Data Loss
Prevention, disponible en el sitio de Symantec FileConnect.
3 En la pantalla Editar configuración general, desplácese hacia abajo hasta
la sección Licencia.
Cómo agregar un nuevo módulo del producto 245
Acerca de las actualizaciones del sistema
4 En el campo Instalar licencia, busque el nuevo archivo de licencia de

Symantec Data Loss Prevention que descargó, haga clic en Guardar para
aceptar los términos y las condiciones del acuerdo de licencia para el usuario
final (EULA) para el software, e instale la licencia.
Nota: Si no acepta los términos y las condiciones de EULA, no puede instalar

el software.
5 Para habilitar la funcionalidad completa de las funciones relacionadas con la

licencia del nuevo producto, reinicie el servicio de Vontu Manager.
Ver "Acerca de los servicios de Symantec Data Loss Prevention"
en la página 102.
La lista Licencia actual muestra la siguiente información para cada licencia del
producto:
■ Producto : el nombre de producto individual de Symantec Data Loss Prevention
■ Cantidad : la cantidad de usuarios que cuenta con licencias para usar el
producto
■ Estado : el estado actual del producto
■ Caducidad : la fecha de caducidad de la licencia del producto
Un mes antes de la Caducidad de la licencia, aparecen mensajes de advertencia
en la pantalla Sistema > Servidores > Descripción general. Cuando vea un
mensaje sobre la caducidad de la licencia, contáctese con Symantec de adquirir
una nueva clave de licencia antes de que caduque la licencia actual.
Acerca de las actualizaciones del sistema

El botón Actualización del sistema en la pantalla Descripción general inicia la
carga y la actualización de su sistema a una versión más reciente de Symantec
Para obtener información sobre la actualización del software Symantec Data Loss
Prevention, consulte la Guía de la actualización de Symantec Data Loss Prevention.
en la página 78.
Sección 3
servidores de detección
■ Capítulo 12. Instalación y administración de servidores de detección y detectores

en la nube
■ Capítulo 13. Cómo administrar los archivos de registro
■ Capítulo 14. Cómo usar las utilidades de Symantec Data Loss Prevention
Capítulo 12
Instalación y
administración de
servidores de detección y
detectores en la nube
■ Acerca de la administración de los servidores de Symantec Data Loss Prevention
■ Cómo habilitar Control de proceso avanzado
■ Controles del servidor
■ Servidor de configuración básica
■ Edición de un detector
■ Configuración avanzada del servidor y del detector
■ Cómo agregar un servidor de detección
■ Adición de un detector en la nube
■ Cómo eliminar un servidor
■ importación de certificados SSL para servidores Discover o Enforcer
■ Renovación de certificados de comunicación de la cuadrícula para servidores

de detección
■ Acerca de la pantalla Descripción general

Instalación y administración de servidores de detección y detectores en la nube 248
Acerca de la administración de los servidores de Symantec Data Loss Prevention
■ Configuración de Enforce Server para usar un proxy para conectarse a los

servicios en la nube
■ Descripción general del estado del servidor y del detector
■ Lista de eventos de error y advertencia recientes
■ Pantalla Detalles del servidor/detector
■ Configuración avanzada del servidor
■ Configuración avanzada del detector
■ Acerca de cómo usar equilibradores de carga en una implementación de

endpoints
Acerca de la administración de los servidores de

Symantec Data Loss Prevention
Los servidores y los detectores en la nube de Symantec Data Loss Prevention se
administran desde la pantalla Sistema > Servidores y detectores > Descripción
general. Esta pantalla proporciona una descripción general de su sistema,
incluyendo el estado del servidor y los eventos del sistema recientes. Muestra la
información resumen sobre todos los servidores de Symantec Data Loss Prevention,
una lista de eventos recientes de error y de advertencia, y la información sobre su
licencia. Desde esta pantalla se pueden agregar o eliminar los servidores de
detección.
■ Haga clic en el nombre de un servidor para mostrar la pantalla Detalles del
servidor/detector, desde la cual se puede controlar y configurar ese servidor.
Ver "Instalación de un nuevo archivo de licencia" en la página 244.
Ver "Adición de un detector en la nube" en la página 281.
Ver "Cómo eliminar un servidor" en la página 282.
Ver "Controles del servidor" en la página 250.
Cómo habilitar Control de proceso avanzado
Cómo habilitar Control de proceso avanzado

El Control de proceso avanzado de Symantec Data Loss Prevention le permite
iniciar o detener procesos de servidor individuales de la consola de administración
de Enforce Server. No es necesario iniciar o detener un servidor entero. Esta función
puede ser útil para depurar. Cuando el control de proceso avanzado está
desactivado (la opción predeterminada), cada pantalla Detalles del
servidor/detector muestra solamente el estado del servidor entero. Cuando se
activa el control de proceso avanzado, la sección General de la pantalla Detalles
del servidor/detector muestra los procesos individuales.
Para habilitar el Control de proceso avanzado
2 Desplácese hacia abajo a la sección Control de procesos y seleccione el
cuadro Control de proceso avanzado.
Tabla 12-1 describe los procesos individuales y los servidores en los que se ejecutan
una vez que el control de proceso avanzado se habilita.
Tabla 12-1 Procesos avanzados
Proceso Descripción Control
Monitor El proceso de Monitor El Estado de Monitor Controller está

Controller Controller controla los disponible para Enforce Server.
servidores de detección.
Lector de El proceso del lector de El Estado del lector de archivos está

archivos archivos detecta incidentes. disponible para todos los servidores de
detección.
Escritor de El proceso del escritor de El Estado del escritor de incidentes está

incidentes incidente envía incidentes a disponible para todos los servidores de
Enforce Server. detección, a menos que formen parte de
una instalación de un único nivel, en cuyo
caso existe solamente un proceso de
editor de incidentes.
Captura de El proceso de captura de El Estado de captura de paquetes está

paquetes paquetes captura secuencias disponible para Network Monitor.
de red.
Controles del servidor
Proceso Descripción Control
Procesador de El procesador de solicitudes El Estado del procesador de solicitudes

solicitudes procesa las solicitudes de está disponible para Network Prevent for
SMTP. Email.
Servidor de El proceso del servidor de El Estado del servidor de endpoints está

endpoints endpoints interactúa con los disponible para Endpoint Prevent.
Agentes Symantec DLP.
Base de datos El proceso de la Base de El Estado de la base de datos del

del servidor de datos del servidor de servidor de detección está disponible
detección detección se usa para realizar para Network Discover.
un seguimiento automatizado
de reparación de incidentes.

Los servidores y sus procesos se controlan desde la pantalla Detalles del
servidor/detector.
■ Para llegar a la pantalla Detalles del servidor/detector de un servidor
determinado, vaya a la pantalla Sistema > Servidores y detectores >
Descripción general y haga clic en el nombre del servidor, detector o appliance
en la lista.
El estado del servidor y de sus procesos aparece en la sección General de la
pantalla Detalles del servidor/detector. Los botones Iniciar, Reciclar y Detener
controlan las operaciones del servidor y de los procesos.
El estado actual del servidor aparece en la sección General de la pantalla Detalles
del servidor/detector. Los valores posibles son:
Tabla 12-2 Valores de estado del servidor
Icono Estado
Iniciando: en proceso de inicio.
En ejecución: ejecutándose sin errores.

Icono Estado
Ejecución seleccionada: algunos procesos en el servidor se detuvieron o

tienen errores. Para ver los estados de procesos individuales, se debe
habilitar primero el Control de proceso avanzado en la pantalla
Configuración del sistema.
Deteniendo: en proceso de detención.
Detenido: detenido completamente.
Desconocido: el servidor ha encontrado uno de los siguientes errores:
■ Iniciar. Para iniciar un servidor o un proceso, haga clic en Iniciar.

■ Reciclar. Para detener y reiniciar un servidor, haga clic en Reciclar.
■ Detener. Para detener un servidor o un proceso, haga clic en Detener.
■ Para parar un proceso durante su procedimiento de inicio, haga clic en Finalizar.
■ Para reiniciar un appliance, haga clic en Reiniciar.
Nota: El estado y los controles para procesos de servidor individuales solamente

se muestran si el Control de proceso avanzado se habilita para Enforce Server.
Para habilitar el Control de proceso avanzado, vaya a Sistema > Configuración
> General > Configurar, seleccione el cuadro Control de proceso avanzado y
haga clic en Guardar.
■ Para actualizar el estado, haga clic en el icono de actualizar situado en la parte

superior derecha de la pantalla, según sea necesario.
en la página 78.
Servidor de configuración básica

Los Enforce Servers se configuran desde el menú Sistema > Configuración >
General.
Los servidores de detección se configuran desde la pantalla Configurar servidor
de cada servidor individual.
Para configurar un servidor
1 Vaya a la pantalla Sistema > Servidores y detectores > Descripción general.
2 Haga clic en el nombre del servidor en la lista.
La pantalla Detalles del servidor/detector de ese servidor se muestra. En la
parte superior izquierda de una pantalla Detalles del servidor/detector, están
los botones siguientes:
■ Listo. Haga clic en Listo para volver a la pantalla anterior.
■ Configurar. Haga clic en Configurar para especificar una configuración
básica para este servidor.
■ Configuración del servidor. Haga clic en Configuración del servidor
para especificar los parámetros de configuración avanzados para este
servidor. Sea cuidadoso al modificar la configuración avanzada del servidor.
Se recomienda consultar al Soporte de Symantec antes de cambiar la
configuración avanzada.
Ver "Configuración avanzada del servidor y del detector" en la página 278.
Consulte la ayuda en pantalla de Symantec Data Loss Prevention para
obtener información sobre la configuración de servidor avanzada.
3 Haga clic en Configurar o Configuración del servidor para mostrar una

pantalla de configuración para ese tipo de servidor.
4 Especifique o cambie la configuración en la pantalla según lo necesario y,
después, haga clic en Guardar.
Haga clic en Cancelar para volver a la pantalla anterior sin cambiar ninguna
configuración.
Nota: Un servidor se debe reciclar antes de que la nueva configuración surta efecto.

La pantalla Configurar servidor contiene una sección General para todos los
servidores de detección que contengan los parámetros siguientes:
■ Nombre. El nombre que se elige dar al servidor. Este nombre aparece en la

consola de administración de Enforce Server ( Sistema > Servidores y
detectores > Descripción general ). El nombre se limita a 255 caracteres.
■ Host. El nombre del host o la dirección IP del sistema que alberga al servidor.
Los nombres del host deben estar completos. Si el host tiene más de una
dirección IP, especifique la dirección en la cual el servidor de detección escucha
las conexiones a Enforce Server.
■ Puerto. El número de puerto usado por el servidor de detección para
comunicarse con Enforce Server. La opción predeterminada es 8100.
Para los supervisores de un solo nivel, el campo Host en la página Configurar
servidor se completa previamente con la dirección IP local 127.0.0.1. No es posible
cambiar este valor.
Las partes restantes de la pantalla Configurar servidor varían según el tipo de
servidor.
Ver "Servidor de Network Monitor: configuración básica" en la página 253.
Ver "Servidor Network Discover/Cloud Storage Discover y Network Protect:
configuración básica" en la página 263.
Ver "Network Prevent for Email Server: configuración básica" en la página 256.
Ver "Network Prevent for Web Server: configuración básica" en la página 259.
Ver "Servidor de endpoints: configuración básica" en la página 264.
Ver "Supervisor de un solo nivel: configuración básica" en la página 265.
Ver "Servidor de clasificación: configuración básica" en la página 276.
Servidor de Network Monitor: configuración básica

de cada servidor individual. Para mostrar la pantalla Configurar servidor, vaya a
la pantalla Descripción general ( Sistema > Servidores y detectores >
Descripción general ) y haga clic en el nombre del servidor en la lista. Aparece
la pantalla Detalles del servidor/detector de ese servidor. Haga clic en Configurar
para mostrar la pantalla Configurar servidor.
La pantalla Configurar servidor de un servidor de Network Monitor se divide en
una sección general y dos fichas:
■ Sección General. Use esta sección para especificar el nombre, host y puerto
del servidor.
■ Ficha Captura de paquetes. Use esta ficha para establecer la configuración

de captura de paquetes de red.
■ Ficha Regla de copia de SMTP. Use esta ficha para modificar la carpeta de
origen donde el servidor recupera los archivos de mensaje SMTP.
La porción superior de la Captura de paquetes define parámetros generales de
captura de paquetes. Proporciona los campos siguientes:
Campo Descripción
Anulación de la carpeta de origen La carpeta de origen es el directorio que

el servidor usa para almacenar
secuencias de red antes de procesarlas.
La configuración recomendada es dejar
en blanco el campo Anulación de la
carpeta de origen para aceptar la
opción predeterminada. Si desea
especificar un directorio de búfer
personalizado, escriba la ruta completa
del directorio.
Interfaces de red Seleccione las tarjetas de interfaz de

red que desea usar para supervisar.
Tenga en cuenta que para supervisar
una NIC debe instalarse un software
WinPcap en el servidor de Network
Monitor.
Vea la Guía de instalación de Symantec

Data Loss Prevention para obtener más
información sobre las NIC.
La sección Protocolo de la Captura de paquetes especifica los tipos de tráfico

de red (por protocolo) para capturar. Además especifica cualquier parámetro
personalizado que se deba aplicar. Esta sección enumera los protocolos estándar
cuya licencia adquirió por parte de Symantec y cualquier protocolo TCP
personalizado que haya agregado.
Para supervisar un protocolo determinado, seleccione su cuadro. Cuando se
configura inicialmente un servidor, la configuración de cada protocolo seleccionado
se hereda de la configuración de protocolos de todo el sistema. Puede establecer
esta configuración yendo a Sistema > Configuración > Protocolo. La configuración
predeterminada de todo el sistema se enumera como Standard.
Consulte la ayuda en pantalla de Symantec Data Loss Prevention para obtener
información sobre cómo trabajar con configuraciones de todo el sistema.
Para anular la configuración de filtros heredada para un protocolo, haga clic en el

nombre del protocolo. La siguiente configuración personalizada está disponible (es
posible que ciertas configuraciones no estén disponible para algunos protocolos):
■ Filtro IP
■ Filtro de remitente L7
■ Filtro de destinatario L7
■ Filtro de contenido
■ Profundidad de búsqueda (paquetes)
■ Frecuencia de muestreo
■ Espera máxima de escritura
■ Espera máxima de corte
■ Máximo de paquetes de secuencias
■ Tamaño mínimo de secuencia
■ Tamaño máximo de secuencia
■ Intervalo de segmentos
■ Sin tiempo de espera de notificación de tráfico (el valor máximo para esta
configuración es 360000 segundos).
Use la Regla de copia de SMTP para modificar la carpeta de origen donde este
servidor recupera los archivos de mensaje SMTP. Es posible modificar la carpeta
de origen especificando la ruta completa de una carpeta.
en la página 78.
Además de la configuración disponible a través de la pantalla Configurar servidor,
se pueden especificar configuraciones avanzadas para este servidor. Para
especificar parámetros de configuración avanzados, haga clic en Configuración
del servidor en la pantalla Detalles del servidor/detector. Sea cuidadoso al
modificar la configuración avanzada del servidor. Comuníquese con el Soporte de
Symantec antes de cambiar cualquier configuración avanzada.
Ver "Configuración avanzada del servidor" en la página 293.
Consulte la ayuda en pantalla Symantec Data Loss Prevention para obtener

información sobre la configuración avanzada del servidor.
Network Prevent for Email Server: configuración básica

Una pantalla Configurar servidor de Network Prevent for Email Server se divide
en una sección General y una ficha SMTP inline. La sección General especifica
el nombre, host y puerto del servidor.
Use la ficha SMTP inline para configurar diversas funciones del servidor Network
Prevent for Email:
Campo Descripción
Modo de prueba El modo de prueba le permite probar

funcionalidades de prevención sin bloquear
solicitudes. Cuando se selecciona el modo
de prueba, el servidor detecta incidentes y
crea informes de incidentes, pero no bloquea
ningún mensaje. Anule la selección de esta
opción para bloquear los mensajes que
infrinjan políticas de Symantec Data Loss
Prevention.
Contraseña del almacén de claves Si usa autenticación de TLS en una

configuración de modo de reenvío, escriba
la contraseña correcta para el archivo del
almacén de claves.
Configuración de segmento siguiente Seleccione Reflejar para usar Network

Prevent for Email Server en modo de reflejo.
Seleccione Reenviar para actuar en modo
de reenvío.
Nota: Si selecciona Reenviar, además, se
deben seleccionar Habilitar búsqueda de
MX o Deshabilitar búsqueda de MX para
configurar el método usado para determinar
el MTA del segmento siguiente.
Campo Descripción
Habilitar búsqueda de MX Esta opción se aplica solamente a la

configuración del modo de reenvío.
Seleccione Habilitar búsqueda de MX para

realizar una consulta de DNS en un nombre
de dominio para obtener los registros de
intercambio del correo (MX) del servidor.
Network Prevent for Email Server usa los
registros MX devueltos para seleccionar la
dirección del servidor de correo de segmento
siguiente.
Si selecciona Habilitar búsqueda de MX,

además, agregue uno o más nombres de
dominio en el cuadro de texto Escribir
dominios. Por ejemplo:
companyname.com
Network Prevent for Email Server realizará

consultas de registros MX para los nombres
de dominio que usted especifique.
Nota: Es necesario incluir por lo menos una
entrada válida en el cuadro de texto Escribir
dominios para configurar correctamente el
comportamiento del modo de reenvío.
Campo Descripción
Deshabilitar búsqueda de MX Este campo se aplica solamente a la

Seleccione Deshabilitar búsqueda de MX

si desea especificar el exacto o la dirección
IP de uno o más MTA del segmento
siguiente. Network Prevent for Email Server
usa los nombres de usuario o las direcciones
que se especifican y no realiza operaciones
de búsqueda de registros MX.
Si selecciona Deshabilitar búsqueda de MX,

usuario o direcciones IP para los MTA del
segmento siguiente en el cuadro de texto
Escribir nombres de hosts. Es posible
especificar varias entradas colocando cada
entrada en una línea aparte. Por ejemplo:
smtp1.companyname.com
Network Prevent for Email Server intenta

siempre usar el primer MTA que se especifica
en la lista. Si ese MTA no está disponible,
Network Prevent for Email Server intenta con
la siguiente entrada disponible en la lista.
Nota: Es necesario incluir por lo menos una
entrada válida en el cuadro de texto Escribir
nombres de hosts para configurar
correctamente el comportamiento del modo
de reenvío.
Consulte la Guía de integración de MTA de Symantec Data Loss Prevention para

Network Prevent for Email para obtener más información acerca de la configuración
de opciones de Network Prevent for Email Server.
en la página 78.

Network Prevent for Web Server: configuración básica

La pantalla Configurar servidor de un Network Prevent for Web Server se divide
en una sección general y una ficha:
■ Sección General. Esta sección especifica el nombre, host y puerto de servidor.
■ Ficha ICAP. Esta ficha sirve para configurar la captura del protocolo de
adaptación de contenido de Internet (ICAP).
Use la ficha ICAP para configurar el tráfico de red basado en Web. La ficha ICAP
se divide en cuatro secciones:
■ La sección Modo de prueba le permite probar la prevención sin bloquear tráfico.
Cuando se selecciona el modo de prueba, el servidor detecta incidentes y crea
informes de incidentes, pero no bloquea ningún tráfico. Esta opción le permite
probar sus políticas sin bloquear tráfico. Seleccione el cuadro para habilitar el
modo de prueba.
■ La sección Filtrado de solicitudes configura los criterios de filtrado de tráfico:
Campo Descripción
Omitir solicitudes menores que Especifique el tamaño de

cuerpo mínimo de las
solicitudes HTTP que se
examinarán en este servidor.
El valor predeterminado es
4096 bytes. Las solicitudes
HTTP con cuerpos menores
que este número no se
examinan.
Omitir solicitudes sin archivos adjuntos Seleccione este cuadro para

examinar solamente las
solicitudes HTTP que
contengan archivos adjuntos.
Omitir solicitudes a hosts o dominios Escriba los nombres de host o

los dominios cuyas solicitudes
se deban filtrar (omitir). Escriba
un nombre de dominio o host
por línea.
Omitir solicitudes de usuarios-agentes Escriba los nombres de

usuarios-agentes cuyas
solicitudes se deban filtrar
(omitir). Escriba un agente por
línea.
■ La sección Filtro de respuestas configura los criterios de filtrado para

administrar respuestas de HTTP:
Campo Descripción
Omitir respuestas menores que Especifique el tamaño de

cuerpo mínimo de las
respuestas de HTTP que se
examinarán en este servidor.
El valor predeterminado es
4096 bytes. Las respuestas de
HTTP con cuerpos menores
que este número no se
examinan.
Campo Descripción
Examinar tipo de contenido Especifique los tipos de

contenido MIME que este
servidor debe supervisar. De
forma predeterminada, este
campo contiene valores de tipo
de contenido para formatos
Microsoft Office, PDF y sin
formato estándar. Es posible
agregar otros valores de tipo
de contenido MIME. Escriba
los tipos de contenido
separados en líneas
separadas. Por ejemplo, para
examinar archivos de
WordPerfect 5.1, escriba
application/wordperfect5.1.
Omitir respuestas de hosts o dominios Escriba los nombres del host

o los dominios cuyas
respuestas deben ser omitidas.
Escriba un nombre de dominio
o host por línea.
Omitir respuestas a usuarios-agentes Escriba los nombres de los

usuarios-agentes cuyas
respuestas deben ser omitidas.
Escriba un usuario-agente por
línea.
■ La sección Conexión define la configuración de la conexión ICAP entre un

servidor proxy HTTP y el Network Prevent for Web Server:
Campo Descripción
Puerto TCP Especifique el número de

puerto de TCP que este
servidor debe usar para
escuchar solicitudes de ICAP.
El mismo valor debe
configurarse en el proxy HTTP
que envía solicitudes de ICAP
a este servidor. El valor
recomendado es 1344.
Campo Descripción
Número máximo de solicitudes Escriba el número máximo de

conexiones simultáneas de
solicitudes de ICAP. La opción
Número máximo de respuestas Escriba el número máximo de

conexiones de respuesta ICAP
simultáneas permitidas desde
el proxy o los proxies HTTP.
La opción predeterminada es
25.
Cola de conexión Escriba el número máximo de

conexiones de espera
permitidas. Cada conexión de
espera significa que un usuario
espera en su navegador. El
valor mínimo es 1.
Ver "Configurar Network Prevent for Web Server" en la página 1766.

en la página 78.
Servidor Network Discover/Cloud Storage Discover y Network

Protect: configuración básica
de cada servidor individual. Para visualizar la pantalla Configuración de un servidor,
vaya a la pantalla Sistema > Servidores y detectores > Descripción general y
haga clic en el nombre del servidor en la lista. La pantalla Detalles del
servidor/detector de ese servidor se muestra. Haga clic en Configurar. Se muestra
la pantalla Configurar servidor del servidor.
Ver "Modificar la configuración del servidor Network Discover/Cloud Storage
Discover" en la página 1783.
La pantalla Configurar servidor de un servidor Network Discover se divide en una
sección general y una ficha:
■ Sección General. Use esta sección para especificar el nombre, host y puerto
del servidor.
■ Ficha Discover. Esta ficha sirve para modificar la cantidad de análisis paralelos
que se ejecutan en este servidor de detección.
La cantidad máxima se puede aumentar en cualquier momento. Una vez
aumentada, se iniciará cualquier análisis en cola que sea elegible para la
ejecución en el servidor Network Discover. La cantidad se puede disminuir
solamente si el servidor Network Discover no tiene ningún análisis en ejecución.
Antes de reducir la cantidad, interrumpa momentáneamente o detenga todos
los análisis en ejecución en el servidor.
Para ver los análisis que se ejecutan en los servidores Network Discover, vaya
a Administrar > Análisis de detección > Destinos de Discover.

en la página 78.
también se pueden especificar configuraciones avanzadas para este servidor. Para
modificar la configuración avanzada del servidor. Se recomienda consultar al
Soporte de Symantec antes de cambiar la configuración avanzada.
Servidor de endpoints: configuración básica

de cada servidor individual. Para visualizar la pantalla Configuración para un
servidor, vaya a la pantalla Sistema > Servidores y Detectores > Descripción
general y haga clic en el nombre del servidor. Se muestra la pantalla Detalles del
servidor/detector para ese servidor. Haga clic en Configurar para mostrar la
pantalla Configurar servidor para ese servidor.
La pantalla Configurar servidor para un servidor de endpoints se divide en una
sección general y las fichas siguientes:
■ General. Use esta sección para especificar el nombre, host y puerto del servidor.
■ Agente. Esta sección trata sobre cómo agregar certificados de seguridad del
agente al servidor de endpoints.
Ver "Agregar y editar las configuraciones de agente" en la página 2089.
Agente de escucha. Use esta sección para configurar el servidor de endpoints
para escuchar conexiones de los Agentes Symantec DLP:
Campo Descripción
Dirección de Escriba la dirección IP en la que el servidor de endpoints escucha

enlace comunicaciones de los Agentes Symantec DLP. La dirección IP
predeterminada es 0.0.0.0 y permite al servidor de endpoints escuchar
en todas las direcciones IP de hosts.
Puerto Escriba el puerto en el que el servidor de endpoints escucha

comunicaciones de los Agentes Symantec DLP.
Nota: Muchos sistemas Linux restringen los puertos por debajo de
1024 al acceso raíz. El servidor de endpoints no puede configurar para
escuchar las conexiones de los Agentes Symantec DLP en estos
puertos restringidos en los sistemas de Linux.
Nota: Si está utilizando el modo 140-2 de Federal Information Processing Standards

(FIPS) entre el servidor de endpoints y los agentes DLP, no use los conjuntos de
aplicaciones de cifrado de Diffie-Hellman (DH). Combinar los conjuntos de
aplicaciones de cifrado evita que el agente y servidor de endpoints se comuniquen.
Es posible confirmar la configuración del conjunto de cifrado actual consultando
EndpointCommunications.SSLCipherSuites en la página Configuración del
servidor. Ver "Configuración avanzada del servidor" en la página 293.
Supervisor de un solo nivel: configuración básica

de cada servidor individual. Para visualizar la pantalla Configurar servidor, vaya
a la pantalla Sistema > Servidores y detectores > Descripción general y haga
clic en el nombre del servidor en la lista. Aparece la pantalla Detalles del
servidor/detector de ese servidor. Haga clic en Configurar para mostrar la pantalla
Configurar servidor.
El supervisor de un solo nivel es un servidor de detección que incluye las
funcionalidades de detección de Network Monitor, Network Discover/Cloud Storage
Discover, Network Prevent for Web y Network Prevent for Email, y los servidores
de detección de Endpoint Prevent y Endpoint Discover. Se asocia cada uno de
estos tipos de servidor de detección con uno o más "canales" de detección. La
implementación de un solo servidor simplifica la administración de Symantec Data
Loss Prevention y reduce los costos del mantenimiento y de hardware para las
pequeñas organizaciones o para las sucursales de empresas más grandes que se
beneficiarían de las implementaciones in situ de Symantec Data Loss Prevention.
Configuración de los canales para Network Monitor

Network Monitor usa dos canales: Captura de paquetes y Regla de copia de
SMTP. Para configurar Network Monitor, escriba la información de configuración
en las fichas Captura de paquetes y Regla de copia de SMTP en la pantalla
Configurar servidor.
Para configurar las fichas Captura de paquetes y Regla de copia de SMTP:
1 Opcional: En la ficha Captura de paquetes de la pantalla Configurar servidor,
especifique Anulación de la carpeta de origen.
La carpeta de origen es el directorio que el servidor usa para almacenar
secuencias de red antes de procesarlas. La configuración recomendada es
dejar en blanco el campo Anulación de la carpeta de origen para aceptar la
opción predeterminada. Si desea especificar un directorio de búfer
personalizado, escriba la ruta completa del directorio.
2 Seleccione Interfaces de red.
Seleccione las tarjetas de interfaz de red que desea usar para supervisar.
Vea la Guía de instalación de Symantec Data Loss Prevention para obtener
más información sobre las NIC.
3 En la sección Protocolo, seleccione la casilla para cada tipo de tráfico de red
por capturar.
Cuando se configura inicialmente un servidor, la configuración de cada
protocolo seleccionado se hereda de la configuración de protocolos de todo
el sistema. Puede establecer esta configuración yendo a Sistema >

Configuración > Protocolo. La configuración predeterminada de todo el
sistema se muestra como Estándar. Para anular la configuración de filtros
heredada para un protocolo, haga clic en el nombre del protocolo. La siguiente
configuración personalizada está disponible (es posible que ciertas
configuraciones no estén disponible para algunos protocolos):
■ Filtro IP
■ Filtro de remitente L7
■ Filtro de destinatario L7
■ Filtro de contenido
■ Profundidad de búsqueda (paquetes)
■ Frecuencia de muestreo
■ Espera máxima de escritura
■ Espera máxima de corte
■ Máximo de paquetes de secuencias
■ Tamaño mínimo de secuencia
■ Tamaño máximo de secuencia
■ Intervalo de segmentos
■ Sin tiempo de espera de notificación de tráfico (el valor máximo para esta
configuración es 360000 segundos).
4 Opcional: En la ficha Regla de copia de SMTP, especifique Anulación de la

carpeta de origen para modificar la carpeta de origen donde este servidor
recupera los archivos del mensaje de SMTP.
Es posible modificar la carpeta de origen especificando la ruta completa de
una carpeta. Deje este campo en blanco para usar la carpeta de origen
predeterminada.
Configuración del canal para Network Discover/Cloud Storage

Discover
Network Discover/Cloud Storage Discover usa el canal Discover. En la ficha
Discover, se puede modificar el número de análisis paralelos que se ejecutan en
el supervisor de un solo nivel escribiendo un número en el campo Análisis
paralelos máximos.
Nota: Si planea usar la función de análisis de cuadrícula para distribuir la carga de

trabajo de análisis a través de varios servidores de detección, conserve el valor
predeterminado (1).
La cantidad máxima se puede aumentar en cualquier momento. Una vez aumentada,

se iniciará cualquier análisis en cola que sea elegible para la ejecución en el servidor
Network Discover. La cantidad se puede disminuir solamente si el servidor Network
Discover no tiene ningún análisis en ejecución. Antes de reducir la cantidad,
interrumpa momentáneamente o detenga todos los análisis en ejecución en el
servidor.
Configuración del canal para Network Prevent for Web

Network Prevent for Web usa el canal ICAP. La ficha de configuración del canal
ICAP se divide en tres secciones: Filtrado de solicitudes, Filtrado de respuestas
y Conexión.
Para configurar la ficha ICAP:

1 Verifique o cambie la configuración de Modo de prueba. Modo de prueba le
permite probar la prevención sin bloquear solicitudes en tiempo real. Si
selecciona Modo de prueba, Symantec Data Loss Prevention detecta
incidentes e indica que ha bloqueado una comunicación HTTP, pero no bloquea
la comunicación.
2 Verifique o modifique las opciones de filtro para las solicitudes de los clientes
HTTP (agentes de usuario). Las opciones de la sección Filtrado de solicitudes
son las siguientes:
Omitir solicitudes menores que Especifica el tamaño de cuerpo mínimo de

las solicitudes HTTP para inspeccionar.
(La opción predeterminada es 4096 bytes).
Por ejemplo, las cadenas de búsqueda
escritas en los motores de búsqueda tales
como Yahoo! o Google son generalmente
cortas. Ajustando este valor, se pueden
excluir esas búsquedas de la inspección.
Omitir solicitudes sin archivos adjuntos Hace que el servidor examine solamente
las solicitudes que contienen archivos
adjuntos. Esta opción puede ser útil si se
refiere principalmente a las solicitudes de
publicación de archivos confidenciales.
Omitir solicitudes a hosts o dominios Hace que el servidor omita solicitudes a

los hosts o a los dominios que se
especifican. Esta opción puede ser útil si
se espera mucho tráfico HTTP entre los
dominios de sus jefaturas corporativas y
las sucursales. Es posible escribir uno o
más hosts o nombres de dominio (por
ejemplo, www.company.com), cada uno
en su propia línea.
Omitir solicitudes de usuarios-agentes Hace que el servidor omita solicitudes de

los agentes de usuario (clientes HTTP)
que especifica. Esta opción puede ser útil
si su organización usa un programa o un
idioma (tal como Java) que haga
solicitudes HTTP frecuentes. Es posible
escribir uno o más valores de agente de
usuario, cada uno en su propia línea.
3 Verifique o modifique las opciones de filtro para las respuestas de los servidores
web. Las opciones de la sección Filtrado de respuestas son las siguientes:
Omitir respuestas menores que Especifica el tamaño mínimo del cuerpo

de las respuestas de HTTP que son
inspeccionadas por este servidor. (La
opción predeterminada es 4096 bytes).
Examinar tipo de contenido Especifica los tipos de contenido de MIME

que Symantec Data Loss Prevention debe
supervisar en respuestas. De forma
predeterminada, este campo contiene los
valores de tipo de contenido para formatos
Microsoft Office, PDF y sin formato. Para
agregar otros, escriba un tipo de contenido
MIME por línea. Por ejemplo, escriba
application/word2013 para que
Symantec Data Loss Prevention analice
archivos de Microsoft Word 2013.
Tenga en cuenta que es generalmente

más eficiente especificar tipos de
contenido MIME en el nivel web del proxy.
Omitir respuestas de hosts o dominios Hace que el servidor omita respuestas de

los hosts o los dominios que se
especifican. Es posible escribir uno o más
hosts o nombres de dominio (por ejemplo,
www.company.com), cada uno en su
propia línea.
Omitir respuestas a usuarios-agentes Hace que el servidor omita respuestas de

que especifica. Es posible escribir uno o
más valores de agente de usuario, cada
uno en su propia línea.
4 Verifique o modifique la configuración de la conexión de ICAP entre el servidor

proxy HTTP y el servidor web Prevent Server. Las opciones de Conexión son
las siguientes:
Puerto TCP Especifica el número de puerto de TCP

sobre el cual este servidor escucha las
solicitudes de ICAP. Este número debe
coincidir con el valor que se configura en
el proxy HTTP que envía solicitudes de
ICAP a este servidor. El valor
Número máximo de solicitudes Especifica el número máximo de

conexiones simultáneas de solicitudes de
ICAP del proxy o de los proxies de HTTP.
Número máximo de respuestas Especifica el número máximo de

conexiones simultáneas de respuestas de
Cola de conexión Especifica el número de conexiones en

espera permitidas. Una conexión en
espera es un usuario que está a la espera
de una respuesta de HTTP del navegador.
El valor mínimo es 1. Si el proxy HTTP
recibe demasiadas solicitudes (o
respuestas), las controla según la
configuración proxy. Es posible configurar
el proxy de HTTP para bloquear cualquier
solicitud (o respuesta) mayor que este
número.
Configuración del canal para Network Prevent for Email

Network Prevent for Email usa el canal SMTP inline. La ficha de configuración del
canal SMTP inline se divide en tres secciones: Cantidad máxima de conexiones,
Configuración de seguridad y Configuración de segmento siguiente.
Para configurar la ficha SMTP inline:

incidentes e indica que ha bloqueado un mensaje de correo electrónico, pero
no bloquea el mensaje.
2 Verifique o modifique Cantidad máxima de conexiones. De forma
predeterminada, la cantidad máxima de conexiones es 12.
3 Si usa la autenticación de TLS en una configuración del modo de reenvío,

escriba la contraseña correcta para el archivo del almacén de claves en el
campo Contraseña del almacén de claves de la sección Configuración de
seguridad.
4 En la sección Configuración de segmento siguiente, configure el modo de

reflejo o el modo de reenvío modificando los siguientes campos:
Campo Descripción

Prevent for Email Server en modo de
reflejo. Seleccione Reenviar para actuar
en modo de reenvío.
Nota: Si selecciona Reenviar, además,
se deben seleccionar Habilitar búsqueda
de MX o Deshabilitar búsqueda de MX
para configurar el método usado para
determinar el MTA del segmento siguiente.

Seleccione Habilitar búsqueda de MX

para realizar una consulta de DNS en un
nombre de dominio para obtener los
registros de intercambio del correo (MX)
del servidor. Network Prevent for Email
Server usa los registros MX devueltos para
seleccionar la dirección del servidor de
correo de segmento siguiente.

companyname.com

consultas de registros MX para los
nombres de dominio que usted
especifique.
Nota: Es necesario incluir por lo menos
una entrada válida en el cuadro de texto
Escribir dominios para configurar
de reenvío.
Campo Descripción


si desea especificar el nombre del host o
la dirección IP exacta de uno o más MTA
del segmento siguiente. Network Prevent
for Email Server usa los nombres de
usuario o las direcciones que se
especifican y no realiza operaciones de
búsqueda de registros MX.
Si selecciona Deshabilitar búsqueda de

MX, además, agregue uno o más nombres
de usuario o direcciones IP para los MTA
del segmento siguiente en el cuadro de
texto Escribir nombres de hosts. Es
posible especificar varias entradas
colocando cada entrada en una línea
aparte. Por ejemplo:

siempre enviar al proxy el primer MTA que
se especifica en la lista. Si ese MTA no
está disponible, Network Prevent for Email
Server intenta con la siguiente entrada
disponible en la lista.
Escribir nombres de hosts para
configurar correctamente el
Configuración del canal para Endpoint

Endpoint usa el canal Endpoint. Es posible configurar el canal Endpoint en la ficha
Agente.
Para configurar la ficha Agente:

◆ Configure los campos de Agente de escucha :
Campo Descripción
Dirección de Escriba la dirección IP en la que el servidor de endpoints escucha

enlace comunicaciones de los Agentes Symantec DLP. La dirección IP
predeterminada es 0.0.0.0 y permite al servidor de endpoints
escuchar en todas las direcciones IP de hosts.
Puerto Escriba el puerto en el que el servidor de endpoints escucha

comunicaciones de los Agentes Symantec DLP.
Configuración avanzada del servidor para el supervisor de un

solo nivel
Como el supervisor de un solo nivel ejecuta varios canales en el mismo servidor
de detección, se deben modificar algunas opciones de la configuración avanzada
del servidor para conseguir el mejor rendimiento del sistema.
Para modificar la configuración avanzada del servidor en el supervisor de un solo
nivel:
1 Inicie sesión en Enforce Server como administrador.
2 Vaya a Sistema > Servidores y detectores > Descripción general.
Aparece la página Descripción general.
3 Haga clic en la fila del servidor de detección del supervisor de un solo nivel.
Aparece la página Detalles del servidor/detector.
4 Haga clic en Configuración del servidor.
Aparece la página Detalles del servidor/detector: opciones avanzadas.
5 Modifique la siguiente configuración:
Configuración Valor
MessageChain.NumChains 32
MessageChain.CacheSize 32
PacketCapture.NUMBER_BUFFER_POOL_PACKETS 1 200 000
PacketCapture.NUMBER_SMALL_POOL_PACKETS 1 000 000


en la página 78.
Servidor de clasificación: configuración básica

La pantalla Configurar servidor para un servidor de clasificación se divide en dos
secciones:
■ Sección General. Esta sección especifica el nombre del servidor, el host y el
puerto que se usan para comunicarse con Enforce Server.
■ Sección Clasificación. Esta sección especifica las propiedades de conexión
que el filtro de clasificación de datos que Enterprise Vault usa para comunicarse
con el servidor de clasificación.
Use los campos de la sección Clasificación para configurar las propiedades de
conexión para el servidor:
Edición de un detector
Cantidad máxima de sesiones: Especifique el número máximo de sesiones

simultáneas que el servidor de clasificación
acepta de los filtros de clasificación de datos
para Enterprise Vault. La opción
predeterminada es 12. El número máximo de
sesiones que un servidor de clasificación
puede admitir depende de la CPU y de la
memoria disponible para el servidor. Consulte
la Guía de implementación de los servicios
de clasificación de datos de Symantec
Enterprise Vault para obtener más
información.
Tiempo de espera de sesión (en Especifique el número máximo de

milisegundos) milisegundos que un filtro de clasificación de
datos para Enterprise Vault puede seguir
estando inactivo antes de que el servidor de
clasificación finalice la sesión. El valor
predeterminado es 30.000 milisegundos.
Puerto de servicio de clasificación Especifique el número de puerto en el cual

el servidor de clasificación acepta las
conexiones de los filtros de clasificación de
datos para Enterprise Vault. El puerto
predeterminado es 10080.
Nota: El servidor de clasificación solamente se usa con la solución de clasificación

de datos de Symantec Enterprise Vault, que cuenta con licencia independiente de
Symantec Data Loss Prevention. Es necesario configurar el servidor de clasificación
y el filtro de servicios de clasificación de datos de Enterprise Vault para que se
comuniquen entre sí. Consulte la Guía de implementación de los servicios de
clasificación de datos de Symantec Enterprise Vault para obtener más información.
Edición de un detector
Es posible cambiar el nombre del detector en la pantalla Detalles del
servidor/detector.
Configuración avanzada del servidor y del detector
Edición del nombre de un detector

1 Vaya a Sistema > Servidores y detectores > Descripción general y haga
clic en el nombre del detector.
Aparece la pantalla Detalles del servidor/detector.
2 Haga clic en Editar.
Aparece la página Editar detector.
3 Introduzca un nuevo nombre para el detector en el campo Nombre del
detector.
Configuración avanzada del servidor y del detector

Symantec Data Loss Prevention proporciona los valores de configuración avanzada
del servidor y del detector para cada servidor de detección o detector en su sistema.
Nota: Compruebe con el Soporte de Symantec antes de cambiar cualquier

configuración avanzada. Si incurre en una equivocación al cambiar la configuración
avanzada, puede degradar seriamente el rendimiento o aun deshabilitar el servidor
totalmente.
Para cambiar un valor de la configuración avanzada de un servidor de detección o

un detector
clic en el nombre del servidor de detección.
Aparece la pantalla Detalles del servidor/detector de ese servidor.
2 Haga clic en Configuración del servidor o Configuración de detector, según
sea necesario.
Aparece la pantalla Detalles del servidor/detector - Configuración avanzada.
información sobre la configuración de servidor avanzada.
3 Con la dirección del Soporte de Symantec, modifique la configuración
apropiada.
Los cambios a la configuración en esta pantalla no surten efecto normalmente
hasta que se reinicia el servidor.
Cómo agregar un servidor de detección

Agregue los servidores de detección que desee a su sistema de Symantec Data
Loss Prevention desde la pantalla Sistema > Servidores y detectores >
Descripción general.
Es posible agregar los siguientes tipos de servidores:
■ Servidor de Network Monitor, que supervisa el tráfico de red.
■ Servidor Network Discover/Cloud Storage Discover, que examina los datos
almacenados en busca de infracciones de políticas.
■ Network Prevent for Email Server que evita infracciones de SMTP.
■ El servidor de Cloud Prevent for Email evita las infracciones de tráfico de
Microsoft Office 365 Exchange.
■ Network Prevent for Web Server evita infracciones del servidor proxy de ICAP
como FTP, HTTP y HTTPS.
■ Endpoint Prevent, que controla los agentes Symantec DLP que supervisan y
analizan los endpoints.
■ Servidor de un solo nivel: Si selecciona la opción Servidor de un solo nivel, los
servidores de detección para los cuales tiene licencia se instalan en el mismo
host que Enforce Server. El servidor de un solo nivel realiza la detección para
los productos siguientes (es necesario tener una licencia para cada uno):
Network Monitor, Network Discover, Network Prevent for Email, Network Prevent
for Web y Endpoint Prevent.
La función del análisis de cuadrícula para los destinos de análisis del servidor del
sistema de archivos usa los certificados SSL para autenticar los servidores de
detección. Cuando se configura un nuevo servidor de detección, un almacén de
claves y un almacén de confianza empresarial se generan para el servidor de
detección. Cada almacén de claves y almacén de confianza empresarial contiene
un certificado de comunicación de la cuadrícula que le permite al servidor
comunicarse con el líder de la cuadrícula durante el análisis de cuadrícula. Los
certificados tienen un período de validez de cinco años.
Cuando los certificados de un almacén de claves y un almacén de confianza
empresarial de un servidor de detección caduquen, ese servidor de detección no
podrá participar en un análisis de cuadrícula hasta que se renueven los certificados.
Ver "Renovación de certificados de comunicación de la cuadrícula para servidores
de detección" en la página 284.
Nota: Symantec recomienda que aplique la misma configuración de hardware y

software a todos los servidores de detecciones que pretenda usar para el análisis
de cuadrícula. Symantec Data Loss Prevention admite análisis de cuadrícula que
tienen hasta 11 servidores de detección participantes.
Para agregar un servidor de detección

1 Vaya a la pantalla Descripción general del sistema ( Sistema > Servidores
y detectores > Descripción general ).
2 Haga clic en Agregar servidor.
La pantalla Agregar servidor aparece.
3 Seleccione el tipo de servidor que desee instalar y haga clic en Siguiente.
La pantalla Configurar servidor para ese servidor de detección aparece.
4 Para realizar la configuración de servidor básica, use la pantalla Configurar
servidor, después haga clic en Guardar cuando haya terminado.
Ver "Servidor de Network Monitor: configuración básica" en la página 253.
Ver "Network Prevent for Email Server: configuración básica" en la página 256.
Vea la Guía de implementación de Symantec Data Loss Prevention Cloud
Prevent for Microsoft Office 365 para obtener información más detallada.
Ver "Servidor Network Discover/Cloud Storage Discover y Network Protect:
configuración básica" en la página 263.
Ver "Servidor de endpoints: configuración básica" en la página 264.
Ver "Supervisor de un solo nivel: configuración básica" en la página 265.
5 Para volver a la pantalla Descripción general del sistema, haga clic en Listo.
Su nuevo servidor aparece en la lista Servidores y detectores con un estado
Desconocido.
6 Haga clic en el servidor para mostrar su pantalla Detalles del
servidor/detector.
7 Haga clic en [Reciclar] para reiniciar el servidor.
Adición de un detector en la nube
8 Haga clic en Listo para volver a la pantalla Descripción general del sistema.
Cuando el servidor haya terminado de reiniciarse, su estado será En ejecución.
9 Si es necesario, haga clic en Configuración del servidor en la pantalla
Detalles del servidor/detector para realizar la configuración avanzada del
servidor.
información sobre la configuración de servidor avanzada.
Adición de un detector en la nube

Un detector en la nube es un servicio de detección de Symantec Data Loss
Prevention implementado en Symantec Cloud. Después de que Symantec configura
el servicio de detección en la nube, Symantec le envía un paquete de inscripción.
Este paquete contiene la información que se necesita para configurar la conexión
de Enforce Server en las instalaciones con el servicio de detección de Symantec
Cloud.
El paquete de inscripción es un archivo ZIP. Por motivos de seguridad, es necesario
guardar el archivo ZIP sin extraer en una ubicación que no sea accesible para otros
usuarios. Por ejemplo, en un sistema Microsoft Windows, guarde el paquete en
una carpeta, como la siguiente:
c:\Users\username\downloads
En un sistema Linux, guarde el paquete en un directorio, como el siguiente:
/home/username/
Consulte la documentación sobre el detector en la nube para obtener información

más detallada sobre el proceso de inscripción.
Después de guardar el paquete de inscripción, registre el detector en la nube para
habilitar la comunicación entre él y Enforce Server en las instalaciones.
Para registrar un detector en la nube
1 Inicie sesión en Enforce Server como administrador.
2 Navegue hasta Sistema > Servidores y detectores > Descripción general.
Aparece la página Descripción general
Cómo eliminar un servidor
3 Haga clic en Agregar detector en la nube.

Aparece la página Agregar detector en la nube.
4 Haga clic en Examinar en el campo Archivo del paquete de inscripción.
5 Localice el archivo del paquete de inscripción guardado e introduzca un nombre
en el campo Nombre del detector.
6 Haga clic en Inscribir detector.
Aparece la pantalla Detalles del servidor/detector.
7 Si es necesario, haga clic en Configuración de detector en la pantalla
Detalles del servidor/detector para realizar la configuración avanzada del
detector.
Ver "Configuración avanzada del detector" en la página 342.
8 Haga clic en Listo.
Es posible que deba esperar varios minutos hasta que la consola de administración
de Enforce Server muestre que el detector en la nube se está ejecutando. Para
verificar que el detector se agregó, compruebe la página Sistema > Servidores y
detectores > Descripción general. El detector debe aparecer en la lista Servidores
y detectores con el estado Conectado.
Cómo eliminar un servidor

Consulte la Guía de instalación de Symantec Data Loss Prevention apropiada para
obtener información sobre cómo desinstalar Symantec Data Loss Prevention de
un servidor.
Una consola de administración de Enforce Server enumera los servidores de
detección registrados en ella en la pantalla Sistema > Servidores y detectores
> Descripción general. Si Symantec Data Loss Prevention se desinstala de un
servidor de detección o si ese servidor se detiene o se desconecta de la red, su
estado se muestra en la consola como Desconocido.
Un servidor de detección se puede eliminar (se anula su registro) de una consola
de administración de Enforce Server. Cuando un servidor de detección se elimina
de Enforce Server, los servicios de Symantec Data Loss Prevention continúan
funcionando. Esto significa que, aunque se anule el registro de un servidor de
detección de Enforce, continúa funcionando, a menos que se tomen ciertas medidas
para detenerlo. Es decir, aunque se lo elimine de una consola de administración
de Enforce Server, un servidor de detección continuará funcionando. Los incidentes
que detecta se almacenan en el servidor de detección. Si se vuelve a registrar un
servidor de detección con Enforce Server, los incidentes detectados y almacenados
se remiten a Enforce.
importación de certificados SSL para servidores Discover o Enforcer
Para eliminar (anular el registro) un servidor de detección de Enforce

2 En la sección Servidores y detectores de la pantalla, haga clic en la X de
color rojo en la línea de estado de un servidor para eliminarlo de la consola
La línea de estado del servidor se elimina de la lista Descripción general del
sistema.
importación de certificados SSL para servidores

Discover o Enforcer
Es posible importar certificados SSL al almacén de claves de confianza Java en
servidores Discover o Enforcer. El certificado SSL puede ser autofirmado (servidor)
o emitido por una autoridad de certificación (CA) reconocida.
Es posible que sea necesario importar un certificado SSL para establecer
conexiones seguras a servidores externos, como Active Directory (AD). Si una
autoridad reconocida ha firmado el certificado del servidor externo, el certificado
se agrega automáticamente a Enforce Server. Si el certificado del servidor se
autofirma, debe importarlo manualmente al servidor Discover o Enforcer.
Tabla 12-3 Importación de un certificado SSL para Enforcer o Discover
Paso Descripción
1 Copiar el archivo de certificado que desea importar al equipo con Enforce Server o
el servidor Discover
2 Cambiar el directorio a c:\SymantecDLP\jre\bin en un equipo con Enforce

Server o un servidor de Discover.
3 Ejecutar la utilidad de keytool con la opción -importcert para importar el

certificado de clave pública al almacén de claves de Enforce Server o el servidor
Discover:
keytool -importcert -alias new_endpointgroup_alias

-keystore ..\lib\security\cacerts -file my-domaincontroller.crt
En este ejemplo de comando, new_endpointgroup_alias es un nuevo alias para

asignar al certificado importado y my-domaincontroler.crt es la ruta para su certificado.
Renovación de certificados de comunicación de la cuadrícula para servidores de detección
Paso Descripción
4 Cuando se le solicite, especifique la contraseña para el almacén de claves.
De forma predeterminada, la contraseña es changeit. Si lo desea, podrá cambiar

la contraseña cuando se le solicite.
Para cambiar la contraseña use: keytool -storepassword -alias

new_endpointgroup_alias -keystore ..\lib\security\cacerts
5 Responda Sí cuando se le pregunte si confía en este certificado.
6 Reinicie Enforce Server o el servidor Discover.
Renovación de certificados de comunicación de la

cuadrícula para servidores de detección
La función del análisis de cuadrícula usa certificados SSL para autenticar los
servidores de detección que son partes de una cuadrícula de modo que puedan
comunicarse con el líder de la cuadrícula. Cuando se configura un nuevo servidor
de detección, un almacén de claves y un almacén de confianza empresarial se
generan para ese servidor. Cuando el certificado de comunicación de la cuadrícula
de un servidor caduque, ese servidor no podrá participar en ningún análisis de
cuadrícula hasta que se renueve el certificado.
Antes de revisar el certificado de comunicación de la cuadrícula de un servidor de
detección, es necesario identificar los archivos del almacén de claves y del almacén
de confianza empresarial que contienen sus certificados.
Para identificar el archivo del almacén de claves para un servidor de detección
1 En la consola de Enforce Server, vaya a Sistema > Servidores y detectores
> Eventos.
2 En el área Filtro, expanda la sección Resumen y filtros avanzados.
3 Haga clic en Agregar filtro y a continuación haga lo siguiente:
■ En el primer cuadro de lista, seleccione Servidor o detector.
■ En el segundo cuadro de lista, seleccione Es alguno de.
■ En el tercer cuadro de lista, seleccione el servidor de detección cuyo
certificado de comunicación de la cuadrícula ha caducado.
4 Vuelva a hacer clic en Agregar filtro y a continuación haga lo siguiente:

■ En el primer cuadro de lista, seleccione Código de evento.
Renovación de certificados de comunicación de la cuadrícula para servidores de detección

■ En el tercer cuadro de lista, escriba, 2136.

6 Cuando el filtro se aplique, abra el registro más recientemente creado del
evento 2136.
7 En la pantalla Detalles del evento, apunte el nombre del archivo del almacén
de claves que se muestra en el campo Detalle.
Por ejemplo, monitor11_keystore_v1.jks.
Para identificar el archivo del almacén de confianza empresarial para un servidor
de detección
1 En la consola de Enforce Server, vaya a Sistema > Servidores y detectores
> Eventos.
2 En el área Filtro, expanda la sección Resumen y filtros avanzados.
3 Haga clic en Agregar filtro y a continuación haga lo siguiente:
■ En el primer cuadro de lista, seleccione Servidor o detector.
■ En el tercer cuadro de lista, seleccione el servidor de detección cuyo
certificado de comunicación de la cuadrícula ha caducado.
4 Vuelva a hacer clic en Agregar filtro y a continuación haga lo siguiente:

■ En el primer cuadro de lista, seleccione Código de evento.
■ En el tercer cuadro de lista, escriba, 2138.

6 Cuando el filtro se aplique, abra el registro más recientemente creado del
evento 2136.
7 En la pantalla Detalles del evento, apunte el nombre del archivo del almacén
de claves que se muestra en el campo Detalle.
Por ejemplo, monitor11_truststore_v1.jks.
Acerca de la pantalla Descripción general
Para renovar el certificado de comunicación de la cuadrícula para un servidor de

detección
1 En el sistema de Enforce Server navegue al directorio
X:\SymantecDLP\Protect\keystore, donde X es la letra de la unidad en la
cual Enforce Server está instalado.
2 Elimine los archivos identificados del almacén de claves y del almacén de
confianza empresarial.
3 Reinicie el servidor de detección.
Cuando Enforce Server detecta el servidor de detección reiniciado, genera
nuevos archivos del almacén de claves y del almacén de confianza empresarial
que contienen nuevos certificados que son válidos por otros cinco años.
Acerca de la pantalla Descripción general

A la pantalla Descripción general del sistema se accede por Sistema >
Servidores y detectores > Descripción general. Esta pantalla proporciona una
instantánea rápida del estado de sistema. Enumera la información acerca de Enforce
Server y cada servidor de detección, detector en la nube o appliance registrado.
La pantalla Descripción general del sistema proporciona las siguientes funciones:
■ El botón Agregar servidor se usa para registrar un servidor de detección.
Cuando esta pantalla se ve por primera vez después de la instalación, solo se
detalla Enforce Server. Es necesario registrar sus diversos servidores de
detección con el botón Agregar servidor. Una vez que se registran los
servidores de detección, ellos se detallan en la sección Servidores y detectores
de la pantalla.
■ El botón Agregar detector en la nube se usa para registrar un detector en la
nube. Cuando esta pantalla se ve por primera vez después de la instalación,
solo se detalla Enforce Server. Es necesario registrar sus detectores en la nube
con el botón Agregar detector en la nube. Después de que se registran los
detectores en la nube, ellos se detallan en la sección Servidores y detectores
de la pantalla.
■ El botón Agregar appliance se usa para registrar un appliance. Cuando esta
pantalla se ve por primera vez después de la instalación, solo se detalla Enforce
Server. Es necesario registrar sus appliances con el botón Agregar appliance.
Después de que se registran sus appliances, ellos se detallan en la sección
Servidores y detectores de la pantalla.
Ver "Adición de un appliance" en la página 2290.
Configuración de Enforce Server para usar un proxy para conectarse a los servicios en la nube
■ El botón Preparación del sistema y actualización de appliances se usa para

acceder a la pantalla Preparación del sistema y actualización de appliances
donde se pueden ejecutar las pruebas para confirmar la preparación de la
actualización de la base de datos y la actualización de appliances.
■ El botón Actualizar está para actualizar Symantec Data Loss Prevention a una
versión más reciente.
Ver "Acerca de las actualizaciones del sistema" en la página 245.
Consulte además la Guía de actualización de Symantec Data Loss Prevention
apropiada.
■ La sección Servidores y detectores de la pantalla muestra información
resumida sobre el estado de cada servidor, detector o appliance. Puede además
ser usado para eliminar (cancelar el registro) un servidor, un detector o un
appliance.
Ver "Descripción general del estado del servidor y del detector" en la página 288.
■ La sección Eventos recientes de error y advertencia muestra los cinco eventos
más actuales de gravedad de error o de advertencia para los servidores
detallados en la sección Servidores y detectores.
Ver "Lista de eventos de error y advertencia recientes" en la página 290.
■ La sección Licencia de la pantalla enumera los productos individuales de
Symantec Data Loss Prevention cuyas licencias le conceden para usarlos.
en la página 78.
Configuración de Enforce Server para usar un proxy

para conectarse a los servicios en la nube
Para configurar Enforce Server para usar un proxy para conectarse a los servicios
en la nube, es necesario configurar su proxy según las instrucciones del fabricante
del proxy. A continuación, se configura Enforce Server para admitir el uso del proxy.
Después de configurar su proxy, use estas instrucciones para completar la
configuración.
Para configurar Enforce Server para usar un proxy para conectarse a un servicio
en la nube
1 Vaya a Sistema > Configuración > General y haga clic en Configurar. Se
muestra la pantalla Editar configuración general.
2 En la sección Aplicar a la configuración del proxy de nube, seleccione una
de las siguientes categorías de proxy:
Descripción general del estado del servidor y del detector
■ Sin proxy o con proxy transparente o

■ Proxy manual
3 Si elige Proxy manual, los campos para URL, Puerto y El proxy está
autenticado aparecen.
■ Escriba la URL HTTP del proxy para el servicio en la nube que usted obtuvo
de Symantec.
■ Escriba un número de puerto.
4 Si está utilizando un proxy autenticado, además, escriba

■ un Id. de usuario
■ una contraseña

6 Reinicie Vontu Monitor Controller.
Descripción general del estado del servidor y del

detector
La sección Servidores y detectores de la pantalla Descripción general del
sistema se llega desde Sistema > Servidores y detectores > Descripción
general. Esta sección de la pantalla proporciona una descripción general breve
del estado del sistema.
Tabla 12-4 Estados del servidor y del detector
Icono Estado Descripción
Iniciando El servidor se está iniciando.
En ejecución El servidor se está ejecutando normalmente sin errores.
Ejecución Algunos procesos de Symantec Data Loss Prevention en el

seleccionada servidor se detuvieron o tienen errores. Para ver los estados
de procesos individuales, se debe habilitar primero el Control
de proceso avanzado en la pantalla Configuración del
sistema.
Ver "Cómo habilitar Control de proceso avanzado"

en la página 249.
Descripción general del estado del servidor y del detector
Icono Estado Descripción
Deteniendo El servidor está en proceso de detener los servicios de

Ver "Acerca de los servicios de Symantec Data Loss
Detenido Se detienen todos los procesos de Symantec Data Loss

Prevention.
Desconocido El servidor está experimentando uno de los siguientes

errores:
■ No se puede acceder a Enforce Server desde el servidor.

■ Symantec Data Loss Prevention no está instalado en el
servidor.
■ Una clave de licencia no se ha configurado para Enforce
Server.
■ Hay un problema con los permisos de la cuenta de
Symantec Data Loss Prevention en Windows.
Para cada servidor, aparece la siguiente información adicional. También puede

hacer clic en el nombre de cualquier servidor para mostrar la pantalla Detalles del
servidor/detector para ese servidor.
Tabla 12-5 Información adicional del estado del servidor y del detector
Nombre de columna Descripción
Mensajes (últimos 10 La cantidad de mensajes procesados en los últimos 10

segundos) segundos
Mensajes (Hoy) La cantidad de mensajes procesados desde las 12:00 a. m.

del día de la fecha
Incidentes (Hoy) La cantidad de incidentes procesados desde las 12:00 a. m.

del día de la fecha
Para los servidores de endpoints, los mensajes y los

incidentes no se alinean. Esto es porque los mensajes se
están procesando en el endpoint y no en el servidor de
endpoints. Sin embargo, el recuento de incidentes aún sigue
creciendo.
Lista de eventos de error y advertencia recientes
Cola de incidentes Para Enforce Server, esta es la cantidad de incidentes que

están en la base de datos, pero aún no tienen un estado
asignado. Se actualiza esta cantidad siempre que se genere
esta pantalla.
Para los otros tipos de servidores, esta es la cantidad de

incidentes que aún no se han escrito a Enforce Server. Esta
cantidad se actualiza aproximadamente cada 30 segundos.
Si se cierra el servidor, este número es el último número
actualizado por el servidor. Es probable que los incidentes
aún estén en la carpeta de incidentes.
Tiempo de espera de La cantidad de tiempo que toma procesar un mensaje

mensaje después de que ingresó al sistema. Estos datos se aplican
al último mensaje procesado. Si se desconecta el servidor
que procesó el último mensaje, este no estará disponible.
Para ver los detalles de un servidor o un detector

◆ Haga clic en el nombre de cualquier servidor para ver detalles adicionales
relacionados con ese servidor.
Para eliminar un servidor o un detector de Enforce Server
◆ Haga clic en la X de color rojo para ese servidor y, después, confirme su
decisión.
Nota: Al eliminar (anular el registro) de un servidor, solo se lo desconecta de este

Enforce Server; el servidor de detección no deja de funcionar.
Ver "Cómo eliminar un servidor" en la página 282.
Lista de eventos de error y advertencia recientes

La sección Eventos recientes de error y advertencia de la pantalla Sistema >
Servidores y detectores > Descripción general muestra los cinco eventos más
actuales de gravedad de error o de advertencia para los servidores detallados en
la sección Servidores y detectores.
Pantalla Detalles del servidor/detector
Tabla 12-6 Información de eventos de error y advertencia recientes
Nombre de Descripción
columna
Tipo
El triángulo amarillo indica una advertencia, el octágono rojo indica un

error.
Hora La fecha y la hora en que ocurrió el evento.
Servidor El nombre del servidor en donde el evento ocurrió.
Host La dirección IP o el nombre del equipo donde reside el servidor. Los

nombres de servidor y del host pueden ser iguales.
Código El código del evento del sistema. La columna Mensaje proporciona el

texto del código. Las listas de eventos se pueden filtrar por número de
código.
Mensaje Un resumen del error o del mensaje de advertencia que se asocia a

este código de eventos.
■ Para mostrar una lista de todos los eventos de error y advertencia, haga clic
en Mostrar todo.
■ Para mostrar la pantalla Detalles del evento y obtener más información sobre
ese evento determinado, haga clic en un evento.

La pantalla Detalles del servidor/detector proporciona información detallada
sobre un único servidor, detector o appliance seleccionado. La pantalla Detalles
del servidor/detector además se usa para controlar y para configurar un servidor,
un detector o un appliance.
Para visualizar la pantalla Detalles del servidor/detector para un servidor o un

detector determinado
1 Vaya a la pantalla Sistema > Servidores y detectores > Descripción general.
2 Haga clic en el nombre del servidor de detección, el detector o el appliance
en la lista Servidores y detectores.
La pantalla Detalles del servidor/detector se divide en secciones. Las secciones
enumeradas abajo muestran todos los tipos de servidor, detector y appliance. El
sistema muestra las secciones basadas en el tipo de detección.
Tabla 12-7 Información de la pantalla Detalles del servidor
Secciones de la Descripción
pantalla Detalles
del servidor
General La sección General identifica el servidor, muestra el estado del

sistema y la estadística, y proporciona los controles para iniciar y
detener el servidor y sus procesos.
Configuración La sección Configuración muestra los canales, los grupos de

políticas, la configuración del agente, el dispositivo del usuario y el
estado de configuración para el servidor de detección.
Todos los agentes La sección Todos los agentes muestra un resumen de todos los
agentes asignados a un servidor de endpoints.
Haga clic en el número junto a un estado de agente para ver los

detalles del agente en la pantalla Sistema > Agentes > Descripción
general > Informes sobre el resumen.
Nota: El sistema muestra solamente la sección Resumen de agente
para un servidor de endpoints.
Eventos recientes de La sección Eventos recientes de error y advertencia muestra los

error y advertencia cinco eventos graves y de advertencia más recientes que han ocurrido
en este servidor.
Haga clic en un evento para mostrar los detalles del evento. Haga
clic en Mostrar todo para mostrar todos los eventos de error y de
advertencia.

Configuración avanzada del servidor
Secciones de la Descripción
pantalla Detalles
del servidor
Todos los eventos La sección Todos los eventos recientes muestra todos los eventos
recientes de todas las gravedades que han ocurrido en este servidor durante
las últimas 24 horas.
Haga clic en un evento para mostrar los detalles del evento. Haga
clic Mostrar todo para mostrar todos los eventos del servidor de
detección.
Perfiles de datos La sección Perfil de datos exactos implementados enumera todos

exactos los Datos exactos o Perfiles de documento que se han
implementados implementado en el servidor de detección. El sistema muestra la
versión del índice en el perfil.
Ver "Perfiles de datos" en la página 399.


Haga clic en Configuración del servidor en la pantalla Sistema > Servidores y
detectores > Descripción general > Detalles del servidor/detector del servidor
de detección para modificar la configuración en ese servidor.
Sea cuidadoso al modificar esta configuración en un servidor. Contáctese con el
Soporte de Symantec antes de cambiar cualquier configuración de esta pantalla.
Los cambios a esta configuración no surten efecto normalmente hasta después
de que haya reiniciado el servidor.
No es posible cambiar la configuración de Enforce Server en la pantalla Detalles
del servidor/detector. La pantalla Detalles del servidor/detector - Configuración
avanzada solamente se muestra para los servidores de detección y los detectores.
Nota: Si cambia la configuración avanzada del servidor de los servidores de

endpoints en un entorno de carga equilibrada, debe aplicar los mismos cambios a
todos los servidores de endpoints del entorno de carga equilibrada.
Tabla 12-8 Configuración avanzada del servidor de detección
Configuración Opción Descripción

predeterminada
BoxMonitor.Channels Varía Los valores distinguen entre

mayúsculas y minúsculas, y están
separados por comas si son varios.
Aunque cualquier combinación de
ellos pueda ser configurada, la
siguiente es la configuración
oficialmente admitida:
■ Servidor de Network Monitor:

Captura de paquetes, Copiar
regla
■ Servidor de Discover: Network
Discover y Cloud Storage
Discover
■ Servidor de endpoints: Endpoint
■ Network Prevent for Email:
SMTP inline
■ Network Prevent for Web: ICAP
BoxMonitor.DetectionServerDatabase on Permite al proceso de BoxMonitor

iniciar la base de datos de
seguimiento automatizado de
reparación de incidentes en el
servidor de detección. Si configura
esto en Off, debe iniciar
manualmente la reparación de la
base de datos de seguimiento de
la reparación.
BoxMonitor.DetectionServerDatabaseMemory -Xrs -Xms300M Cualquier combinación de

-Xmx1024M indicadores de memoria de JVM se
puede usar.
BoxMonitor.DiskUsageError 90 La cantidad de espacio libre en

disco completa (como porcentaje)
que activará un grave evento del
sistema. Por ejemplo, si Symantec
Data Loss Prevention está instalado
en la unidad C y este valor es 90,
el servidor de detección crea un
grave evento del sistema cuando el
uso de la unidad C supera el 90%.

predeterminada
BoxMonitor.DiskUsageWarning 80 La cantidad de espacio libre en

disco completa (como porcentaje)
que activará un evento de
advertencia del sistema. Por
ejemplo, si Symantec Data Loss
Prevention está instalado en la
unidad C y este valor es 80, el
servidor de detección crea un
evento de advertencia del sistema
cuando el uso de la unidad C
supera el 80%.
BoxMonitor.EndpointServer on Habilita el servidor de endpoints.
BoxMonitor.EndpointServerMemory -Xrs -Xms300M Cualquier combinación de

-Xmx4096M indicadores de memoria de JVM se
puede usar. Por ejemplo: -Xrs
-Xms300m -Xmx1024m.
BoxMonitor.FileReader on Si está apagado, BoxMonitor no

puede iniciar FileReader, aunque
pueda aún ser iniciado
manualmente.
BoxMonitor.FileReaderMemory -Xrs -Xms1200M Argumentos de la línea de

-Xmx4G comandos de JVM de FileReader.
-XX:PermSize=128M
-XX:MaxPermSize
=256M
BoxMonitor.HeartbeatGapBeforeRestart 960000 El intervalo de tiempo (en

milisegundos) que BoxMonitor
espera a que un proceso de
supervisión (por ejemplo,
FileReader, IncidentWriter) informe
el latido. Si el latido no se recibe
dentro de este intervalo de tiempo
BoxMonitor reinicia el proceso.
BoxMonitor.IncidentWriter on Si está apagado, BoxMonitor no

puede iniciar IncidentWriter en el
modo de dos niveles, aunque pueda
aún ser iniciado manualmente. Esta
configuración no tiene ningún efecto
en el modo de único nivel.

predeterminada
BoxMonitor.IncidentWriterMemory Argumentos de la línea de

comandos de JVM de
IncidentWriter. Por ejemplo: -Xrs
BoxMonitor.InitialRestartWaitTime 5000
BoxMonitor.MaxRestartCount 3 La cantidad de veces que un

proceso se puede reiniciar en una
hora antes de generar un GRAVE
evento del sistema.
BoxMonitor.MaxRestartCountDuringStartup 5 El máximo de veces que el servidor

de supervisión intentará reiniciarse
a sí mismo.
BoxMonitor.PacketCapture on Si está apagado, BoxMonitor no

puede iniciar PacketCapture,
aunque pueda aún ser iniciado
manualmente. El canal de
PacketCapture debe habilitarse
para que esta configuración
funcione.
BoxMonitor.PacketCaptureDirectives Parámetros de la línea de

comandos de PacketCapture (en
Java). Por ejemplo: -Xrs
BoxMonitor.ProcessLaunchTimeout 30000 El intervalo de tiempo (en

milisegundos) para que un proceso
de supervisión (por ejemplo,
FileReader) se inicie.
BoxMonitor.ProcessShutdownTimeout 45000 El intervalo de tiempo (en

milisegundos) asignado a cada
proceso de supervisión para que se
apague correctamente. Si el
proceso aún se está ejecutando
después de esta vez, el BoxMonitor
intenta eliminar el proceso.

predeterminada
BoxMonitor.RequestProcessor on Si está apagado, BoxMonitor no

puede iniciar RequestProcessor,
aunque pueda aún ser iniciado
manualmente. El canal de Inline
SMTP debe habilitarse para que
esta configuración funcione.
BoxMonitor.RequestProcessorMemory Cualquier combinación de

indicadores de memoria de JVM se
puede usar. Por ejemplo: -Xrs
-Xms300M -Xmx1300M
BoxMonitor.RmiConnectionTimeout 15000 El intervalo de tiempo (en

milisegundos) permitido para
establecer la conexión con el objeto
de RMI.
BoxMonitor.RmiRegistryPort 37329 El puerto del TCP en el cual

BoxMonitor inicia el registro de RMI.
BoxMonitor.StatisticsUpdatePeriod 10000 La estadística de supervisión se

actualiza después de este intervalo
de tiempo (en milisegundos).
ContentExtraction.DefaultCharsetForSubFileName N/D Define el conjunto de caracteres

predeterminado que se usa para
decodificar el subnombre de archivo
si la conversión del conjunto de
caracteres falla.

predeterminada
ContentExtraction.EnableMetaData off Permite la detección en metadatos

del archivo. Si la configuración está
configurada en on, puede detectar
metadatos para archivos PDF y de
Microsoft Office. Para los archivos
de Microsoft Office se admiten
metadatos OLE, que incluye los
campos Título, Asunto, Autor y
Palabras clave. Para los archivos
PDF, solamente se admiten
metadatos del diccionario de
información del documento, que
incluye los campos Autor, Título,
Asunto y fechas de Creación y
Actualización. No se detecta el
contenido de la plataforma de
metadatos extensible (XMP). Tenga
en cuenta que al habilitar esta
opción de detección de metadatos
puede generar falsos positivos.

predeterminada
ContentExtraction.ImageExtractorEnabled 1 Permite que se ajuste o que se

desactive la extracción de contenido
para el Reconocimiento de
formulario.
La configuración predeterminada,
1, carga el complemento del
Extractor de imágenes a petición.
Si se usan una o más reglas de
Reconocimiento de formulario, el
complemento del Extractor de
imágenes se carga
automáticamente en el servidor de
detección cuando se reciben las
actualizaciones de políticas
correspondientes. Cuando se
eliminan o se deshabilitan las reglas
de Reconocimiento de formulario,
el complemento se descarga
automáticamente. Esta opción evita
que el complemento del Extractor
de imágenes dinámico se ejecute
si el Reconocimiento de formulario
no se está usando.
Escriba O para deshabilitar el

imágenes. Esta configuración evita
que el Reconocimiento de
formulario extraiga las imágenes,
deshabilitando con eficacia la
función.
Escriba 2 si desea que el

imágenes se cargue cuando el
servicio de la extracción de
contenido se inicia después de que
el servidor de detección arranque.
El complemento continúa
ejecutándose sin importar si se
configuraron las políticas del
Reconocimiento de formulario o no.

predeterminada
ContentExtraction.LongContentSize 1M Si el componente del mensaje

excede este tamaño (en bytes)
entonces
ContentExtraction.LongTimeout se
usa en vez de
ContentExtraction.ShortTimeout.
ContentExtraction.LongTimeout Varía El valor predeterminado para esta

configuración varía dependiendo
del tipo de servidor de detección (
60 000 o 120 000 ).
El intervalo de tiempo (en

milisegundos) determinado para
que ContentExtractor procese un
documento más grande que
ContentExtraction.LongContentSize.
Si el documento no se puede
procesar dentro del tiempo
especificado se informa como sin
procesar. Este valor debe ser mayor
que
ContentExtraction.ShortTimeout y
menor que
ContentExtraction.RunawayTimeout.
ContentExtraction.MarkupAsText off Omite la extracción de contenido

para los archivos que son
determinados como XML o HTML.
Esto debe usarse en casos tales
como páginas web que contienen
datos en el bloque del encabezado
o los bloques de scripts. La opción
predeterminada es Off.
ContentExtraction.MaxContentSize 30 M El tamaño máximo (en MB) del

documento que puede procesar
ContentExtractor.
ContentExtraction.MaxNumImagesToExtract 10 La cantidad máxima de imágenes

para extraer de los archivos PDF y
de los documentos TIFF de varias
páginas.

predeterminada
ContentExtraction.RunawayTimeout 300,000 El intervalo de tiempo (en

milisegundos) dado a
ContentExtractor para terminar de
procesar cualquier documento. Si
ContentExtractor no finaliza el
procesamiento de cierto documento
dentro de este tiempo, será
considerado inestable y será
reiniciado. Este valor debe ser
perceptiblemente mayor que
ContentExtraction.LongTimeout.
ContentExtraction.ShortTimeout 30,000 El intervalo de tiempo (en

milisegundos) determinado para
que ContentExtractor procese un
documento más pequeño que
ContentExtraction.LongContentSize.
Si el documento no se puede
procesar dentro del tiempo
especificado se informa como sin
procesar. Este valor debe ser
menor que
ContentExtraction.LongTimeout.
ContentExtraction.TrackedChanges off Permite la detección de contenido

que ha cambiado a lo largo del
tiempo (realiza un seguimiento de
los cambios de contenido) en los
documentos de Microsoft Office.
Nota: Usando la opción precedente
puede reducir la tasa de precisión
para IDM y los identificadores de
datos. La opción predeterminada
se configura en Off (impedir).
Para indizar el contenido que ha

cambiado con el paso del tiempo,
configure
ContentExtraction.TrackedChanges=on
en el archivo
\Protect\config\Indexer.properties.
La configuración predeterminada y
recomendada es off.

predeterminada
DDM.MaxBinMatchSize 30 000 000 El tamaño máximo (en bytes) usado

para generar el hash MD5 para una
coincidencia binaria exacta en un
IDM. Esta configuración no se debe
cambiar. Las condiciones siguientes
deben coincidir para que IDM
funcione correctamente:
■ Esta configuración debe ser

exactamente idéntica a la
configuración
max_bin_match_size en Enforce
Server en el archivo
indexer.properties.
más pequeña o igual al valor de
FileReader.FileMaxSize.
más pequeña o igual al valor de
ContentExtraction.MaxContentSize
en Enforce Server en el archivo
indexer.properties
Nota: Cambiar el primer o tercer

elemento en la lista requiere volver
a indizar todos los archivos de IDM.
DDM.UseJavaMD5 false Configurar este indicador en true

hace que el indizador/la detección
use Java MD5 predeterminado. La
configuración en false usa una
biblioteca MD5 más rápida. Esta
configuración no se debe cambiar
generalmente. Si se cambia, debe
coincidir con la configuración en el
archivo Indexer.properties.
Detection.EncodingGuessingDefaultEncoding ISO-8859-1 Especifica la codificación de copia

de seguridad presunta para una
secuencia de bytes.
Detection.EncodingGuessingEnabled on Designa si la codificación de las

secuencias de bytes desconocidas
se debe conjeturar.

predeterminada
Detection.EncodingGuessingMinimumConfidence 50 Especifica el nivel de confianza

necesario para conjeturar la
codificación de las secuencias de
bytes desconocidas.
Detection.MessageTimeout ReportIntervalInSeconds 3600 Cantidad de segundos entre cada

evento del sistema publicado para
mostrar la cantidad de mensajes
que han superado el tiempo de
espera recientemente. Estos
eventos del sistema se programan
para ser publicados a una velocidad
fija, pero serán omitidos si ningún
mensaje supera el tiempo de
espera en ese período.
DI.MaxViolations 100 Especifica el número máximo de

infracciones permitidas con los
identificadores de datos.
Discover.CountAllFilteredItems false Proporciona una estadística más

exacta del análisis contando los
elementos en las carpetas omitidas
debido al filtrado.
Configurar el valor en false permite

el uso de filtros de rutas de
Discover optimizados, que mejoran
el rendimiento pero pueden
ocasionar un comportamiento
inesperado del filtro. Los filtros
optimizados normalizan las barras
diagonales, truncan las cadenas de
filtro antes de los caracteres
comodín y eliminan las barras
diagonales al final. Por lo tanto, la
cadena del filtro /Fol*der coincidirá
con /Folder, pero además
coincidirá con /FolXYZ.
Configure este valor en true para

deshabilitar filtros de ruta de
Discover optimizados.

predeterminada
Discover.Exchange.FollowRedirects true Especifica si seguir redirecciones.

sigue redirecciones solamente
desde la carpeta raíz pública.
Discover.Exchange.ScanHiddenItems false Analice los elementos ocultos en

los repositorios de Exchange
cuando se configuren en true.
Discover.Exchange.UseSecureHttpConnections true Especifica si las conexiones a los

repositorios de Exchange y Active
Directory son seguras al usar el
rastreador de servicios web de
Exchange.
Discover.IgnorePstMessageClasses IPM.Appointment, Esta configuración especifica una

lista separada por comas de clases
IPM.Contact,
de mensaje .pst. Todos los
IPM.Task, elementos de un archivo .pst que
tengan una clase de mensaje de la
REPORT.IPM.Note.DR,
lista serán omitidos (no se hará
REPORT.IPM.Note.IPNRN. ningún intento de extraer el
elemento .pst). Esta configuración
distingue entre mayúsculas y
minúsculas.
Discover.IncludePstMessageClasses IPM.Note Esta configuración especifica una

lista separada por comas de clases
de mensaje .pst. Todos los
elementos de un archivo .pst que
tengan una clase de mensaje de la
lista serán incluidos.
Cuando se definen la configuración

de inclusión y la configuración de
omisión,
Discover.IncludePstMessageClasses
toma precedencia.
Discover.PollInterval 10000 Especifica el intervalo de tiempo (en

milisegundos) en el cual Enforce
recupera datos de la supervisión de
detección mientras analiza.

predeterminada
Discover.Sharepoint.FetchACL true Desactiva la obtención de ACL para

los análisis integrados de
SharePoint. El valor predeterminado
es true (activado).
Discover.Sharepoint.SocketTimeout 60000 Configura el valor del tiempo de

espera de la conexión del zócalo
(en milisegundos) entre el servidor
de Network Discover y el destino
de SharePoint.
Discover.ValidateSSLCertificates false Configúrelo en true para habilitar la

validación de los certificados SSL
para las conexiones HTTPS para
destinos de SharePoint y Exchange.
Cuando la validación se habilita, el
análisis de servidores SharePoint
o Exchange que usa certificados
autofirmados que no sean de
confianza genera errores. Si la
aplicación web de SharePoint o el
servidor de Exchange están
firmados por un certificado emitido
por una autoridad de certificación
(CA), después el certificado de
servidor o el certificado de CA del
servidor deben residir en el almacén
de claves Java de confianza usado
por el servidor de detección. Si el
certificado no está en el almacén
de claves, se debe importarlo
manualmente usando la utilidad
keytool.
Ver "importación de certificados

SSL para servidores Discover o
Enforcer" en la página 283.

predeterminada
EDM.HighlightAllMatchesInProximity false Si está configurado en false (opción

predeterminada), el sistema resalta
la cantidad mínima de coincidencias
a partir del extremo izquierdo. Por
ejemplo, si la política de EDM se
configura para buscar coincidencias
en 3 de 8 campos de columna en
el índice, solo las primeras 3
coincidencias se resaltan en la
instantánea de incidente.
Si está configurado en true, el

sistema resalta todas las
coincidencias que ocurren en la
ventana de proximidad, incluyendo
los duplicados. Por ejemplo, si la
política se configura para buscar
coincidencias en 3 de 8 y hay 7
coincidencias que ocurren dentro
de la ventana de proximidad, el
sistema resalta las 7 coincidencias
en la instantánea de incidente.
EDM.MatchCountVariant 3 Especifica cómo se cuentan las

coincidencias.
■ 1 - Cuenta la cantidad total de

conjuntos de tokens con los que
se estableció coincidencia.
■ 2 - Cuenta la cantidad de
conjuntos de tokens únicos con
los que se estableció
coincidencia.
■ 3 - Cuenta la cantidad de
superconjuntos únicos de
conjuntos de tokens (opción
predeterminada).
Ver "Configuración avanzada del

servidor para políticas de EDM"
en la página 539.

predeterminada
EDM.MaximumNumberOfMatchesToReturn 100 Definen un límite máximo para la

cantidad de coincidencias devueltas
de cada búsqueda del índice de
RAM.

en la página 539.
EDM.RunProximityLogic true Si es true, ejecuta la comprobación

de proximidad de token.

en la página 539.
EDM.SimpleTextProximityRadius 35 Cantidad de tokens que se evalúan

juntos cuando se habilita la
comprobación de proximidad.

en la página 539.
EDM.TokenVerifierEnabled false Si está habilitado (true), el servidor

valida los tokens para palabras
claves en chino, japonés y coreano
(CJK).
De forma predeterminada está

deshabilitado (false).
EndpointCommunications. 0 Si está habilitado, limita la velocidad

AllConnInboundDataThrottleInKBPS de transferencia de todo el tráfico
entrante en kilobits por segundo.
La opción predeterminada está

deshabilitada.
Los cambios a esta configuración

se aplican a todas las nuevas
conexiones. Los cambios no
afectan las conexiones existentes.

predeterminada
EndpointCommunications. 0 Si está habilitado, limita la velocidad

AllConnOutboundDataThrottleInKBPS de transferencia de todo el tráfico
saliente en kilobits por segundo.
La opción predeterminada está

deshabilitada.

EndpointCommunications. 60 Tiempo máximo que el servidor

ApplicationHandshakeTimeoutInSeconds espera por cada tiempo de ida y
vuelta durante las comunicaciones
del protocolo de enlace de la
aplicación antes de cerrar la
conexión entre el servidor y el
agente.
Se aplica al tiempo de duración

entre el momento en que el agente
acepta la conexión TCP y cuando
el agente recibe el mensaje del
protocolo de enlace. Esta duración
incluye el protocolo de enlace de
SSL y el agente que recibe los
encabezados HTTP. Si el proceso
excede la duración especificada, la
conexión se cierra.

EndpointCommunications.MaxActiveAgentsPerServer 90000 Configura el número máximo de

agentes asociados con un servidor
dado en cualquier momento.
Se implementa esta configuración

después de que se reinicia el
servidor de endpoints.

predeterminada
EndpointCommunications. 150000 Configura el número máximo de

MaxActiveAgentsPerServerGroup agentes que se podrán asociar a
un grupo dado de servidores detrás
del mismo equilibrador de carga en
cualquier momento. Se utiliza para
los tamaños máximos de memorias
caché para las funciones internas
de endpoint.
Se implementa esta configuración

después de que se reinicia el
servidor de endpoints.
EndpointCommunications.MaxConcurrentConnections 90000 Configura el número máximo de

conexiones simultáneas permitidas.

EndpointCommunications. 86400 (1 día) Configura el tiempo máximo en que

MaxConnectionLifetimeInSeconds se permite que una conexión siga
abierta. No configure que las
conexiones permanezcan abiertas
indefinidamente. Las conexiones
que se cierran garantizan que las
claves de sesión SSL se actualicen
con frecuencia para mejorar la
seguridad. Este tiempo de espera
se aplica durante la fase de
operación normal de una conexión,
después de las fases de protocolo
de enlace de aplicación y protocolo
de enlace de SSL de una conexión.
Esta configuración se implementa

inmediatamente en todas las
conexiones.

predeterminada
EndpointCommunications.ShutdownTimeoutInMillis 5000 (5 segundos) Configura el tiempo máximo de

espera para cerrar correctamente
las conexiones durante el apagado
antes de forzar el cierre de las
conexiones.
Esta configuración se implementa

inmediatamente en todas las
conexiones.
EndpointCommunications.SSLCipherSuites TLS_RSA_WITH_ Enumera conjuntos de aplicaciones

AES_128_CBC_SHA de cifrado SSL permitidos. Ingrese
varias entradas, separadas por
comas.

Es necesario reiniciar el servidor de
endpoints para que los cambios que
realiza surtan efecto. Ver "Controles
del servidor" en la página 250.
Si está utilizando el modo 140-2 de

Federal Information Processing
Standards (FIPS) entre el servidor
de endpoints y los agentes DLP, no
use los conjuntos de aplicaciones
de cifrado de Diffie-Hellman (DH).
Combinar los conjuntos de
aplicaciones de cifrado evita que el
agente y servidor de endpoints se
comuniquen.
EndpointCommunications. 86400 Configura la máxima duración de

SSLSessionCacheTimeoutInSeconds una entrada de sesión SSL en la
memoria caché de una sesión SSL.
La configuración predeterminada
es un día. Se implementa esta
configuración después de que se
reinicia el servidor de endpoints.

predeterminada
EndpointMessageStatistics.MaxFileDetectionCount 100 La cantidad de veces máxima que

un archivo válido será analizado. El
archivo no debe causar un
incidente. Una vez excedido este
número, un evento del sistema que
se genera recomienda que el
archivo se filtre.
EndpointMessageStatistics.MaxFolderDetectionCount 1800 La cantidad de veces máxima que

una carpeta válida será analizada.
La carpeta no debe causar un
archivo se filtre.
EndpointMessageStatistics.MaxMessageCount 2000 La cantidad de veces máxima que

un mensaje válido será analizado.
El mensaje no debe causar un
archivo se filtre.
EndpointMessageStatistics.MaxSetSize 3 La lista máxima de hosts

mostrados, de donde vienen los
archivos válidos, las carpetas y los
mensajes. Cuando un evento del
sistema para
EndpointMessageStatistics.
MaxFileDetectionCount,
EndpointMessageStatistics.
MaxFolderDetectionCount
o EndpointMessageStatistics.
MaxMessageCount se genera,
enumera los equipos host donde
estos eventos del sistema fueron
generados. Esta configuración limita
la cantidad de hosts mostrados en
la lista.

predeterminada
EndpointServer.Discover.ScanStatusBatchInterval 60000 El intervalo de tiempo en

milisegundos durante el cual el
servidor de endpoints acumula
estados de análisis de Endpoint
Discover antes de enviarlos al
servidor de endpoints como un lote.
EndpointServer.Discover.ScanStatusBatchSize 1000 La cantidad de estados de análisis

que el agregador acumula antes de
enviarlos a Enforce Server como
lote. El servidor de endpoints envía
un lote de estados a Enforce Server
cuando el recuento de estados
alcanza el valor configurado.
El lote se remite a Enforce Server

cuando se alcanzan los umbrales
para las configuraciones siguientes:
■ EndpointServer.Discover.
ScanStatusBatchInterval
■ EndpointServer.Discover.
ScanStatusBatchSize
EndpointServer.EndpointSystemEventQueueSize 20000 El número máximo de eventos del

sistema que se pueden almacenar
en la cola del agente endpoint para
enviar al servidor de endpoints. Si
se pierde la conexión con la base
de datos u otra incidencia, da lugar
a un número masivo de eventos del
sistema, se desecha cualquier
evento del sistema adicional que
ocurra una vez que este número se
alcanza. Este valor se puede ajustar
según requisitos de memoria.
EndpointServer.MaxPercentage 60 La cantidad máxima (en porcentaje)

MemToStoreEndpointFiles de memoria para usar a fin de
almacenar los archivos caché de la
instantánea.

predeterminada
EndpointServer.MaxTimeToKeepEndpointFilesOpen 20000 El intervalo de tiempo (en minutos)

en que el archivo de endpoint se
mantiene abierto o el tamaño del
archivo puede exceder la
configuración de
EndpointServer.MaxEndpointFileSize,
cualquiera que ocurra primero.
EndpointServer.MaxTimeToWaitForWriter 1000 El tiempo máximo (en milisegundos)

que el agente esperará para
conectarse al servidor.
EndpointServer.NoOfRecievers 15 La cantidad de receptores del

archivo caché de la instantánea de
endpoint.
EndpointServer.NoOfWriters 10 La cantidad de escritores del

archivo caché de la instantánea de
endpoint.
FileReader.MaxFileSize 30 M El tamaño máximo (en MB) de un

mensaje que se procesará.
Mensajes más grandes se truncan
en este tamaño. Para procesar
archivos grandes, asegúrese de
que este valor es igual o mayor que
el valor de
ContentExtraction.MaxContentSize.
FileReader.MaxFileSystemCrawlerMemory 30 M Memoria máxima que se asigna

para el rastreador del sistema de
archivos. Si este valor es menor
que FileReader.MaxFileSize,
después el mayor de los dos
valores es asignado.
FileReader.MaxReadGap 15 El tiempo que un proceso

secundario puede tener datos, pero
no haber leído nada antes de
detener el envío de latidos.

predeterminada
FileReader.ScheduledInterval 1000 El intervalo de tiempo (en

milisegundos) entre las
comprobaciones de la carpeta de
entrega de Filereader. Esto afecta
los canales Copiar regla, Captura
de paquetes y Sistema de archivos
solamente.
FileReader.TempDirectory Ruta a un directorio Un directorio seguro en el servidor

seguro como se de detección en el cual almacenar
especifica en el atributo los archivos temporales para el
filereader.temp.io.dir programa de lectura de archivos.
en el archivo de
configuración
FileReader.properties.
FormRecognition.ALIGNMENT_COEFFICIENT 85.00 Un umbral en una escala de 0 a 100

que indica qué tan bien una imagen
debe alinearse con una forma de
galería indizada para crear un
incidente.
FormRecognition.CANONICAL_FORM_WIDTH 930 El ancho en píxeles que se

determina internamente para todas
las imágenes para el
reconocimiento de formularios.
FormRecognition.MAXIMUM_FORM_WIDTH 10000 El ancho máximo en píxeles de una

imagen de consulta que la
detección del reconocimiento de
formularios procesará. Una imagen
que tenga un ancho superior a este
valor se filtrará y se omitirá.
FormRecognition.MINIMUM_FORM_ASPECT_RATIO 0.3 La proporción mínima del aspecto

de una imagen de consulta que la
que tenga una proporción de
aspecto más baja se filtrará y será
omitida.

predeterminada
FormRecognition.MINIMUM_FORM_WIDTH 400 El ancho mínimo en píxeles de una

imagen de consulta que la
que tenga un ancho inferior a este
valor se filtrará y se omitirá.
FormRecognition.OPENCV_THREADPOOL_SIZE 2 La cantidad de subprocesos

dedicados al grupo de subprocesos
usada por el proceso de la
formularios. Este valor debe
configurarse a la mitad de la
cantidad de núcleos físicos
disponibles en su sistema.
FormRecognition.PRECLASSIFIER_ACTION 1 Un valor numérico que determina

qué tipos de imágenes serán
procesadas por la detección del
reconocimiento de formularios.
■ 0 - SKIP_ALL_PHOTOS: Las
fotografías no serán procesadas
por el proceso de la detección
del reconocimiento de
formularios.
■ 1 - SKIP_DARK_PHOTOS: Las
fotografías coloridas, tales como
imágenes de las vacaciones,
serán omitidas, pero las
fotografías de los formularios
serán procesadas.
■ 2- SKIP_NONE: Todas las
fotografías serán procesadas.

predeterminada
Icap.AllowHosts any El valor predeterminado "any"

permite que todos los sistemas
realicen una conexión a Network
Prevent for Web Server en el puerto
de servicio de ICAP. Reemplazar
“any” con la dirección IP o el
nombre de dominio completo
(FQDN) de uno o más sistemas
restringe las conexiones de ICAP
apenas a esos sistemas
designados. Para designar sistemas
varios, separe sus direcciones IP
de los FQDN por comas.
Icap.AllowStreaming false Si se configura en true, la salida de

ICAP se transmite por secuencias
al proxy directamente sin proteger
la solicitud de ICAP primero.
Icap.BindAddress 0.0.0.0 La dirección IP a la que se vincula

un agente de escucha de Network
Prevent for Web Server. Cuando se
configura BindAddress, el servidor
contestará solamente una conexión
a esa dirección IP. El valor
predeterminado de 0.0.0.0 es un
comodín que permite escuchar
todas las direcciones disponibles,
incluyendo 127.0.0.1.
Icap.BufferSize 3K El tamaño (en kilobytes) del búfer

de memoria usado para transmitir
por secuencias y fragmentar la
solicitud de ICAP. La transmisión
por secuencias puede suceder
solamente si la solicitud es más
grande que FileReader.MaxFileSize
y la solicitud tiene un encabezado
de la longitud del contenido.

predeterminada
Icap.DisableHealthCheck false Si se configura en true, se

deshabilita la autocomprobación
periódica de ICAP. Si es false, se
habilita la autocomprobación
periódica de ICAP. Esta
configuración es útil para que la
depuración elimine la congestión
producida por solicitudes de
autocomprobación de los registros.
Icap.EnableTrace false Si se configura en true, el

seguimiento de depuración de
protocolos se habilita una vez que
una carpeta se especifica usando
la configuración de
Icap.TraceFolder.
Icap.ExchangeActiveSyncCommandsToInspect Enviar correo Una lista de comandos de

ActiveSync separados por comas,
con diferenciación entre
mayúsculas y minúsculas, que se
debe enviar con detección de
Symantec Data Loss Prevention. Si
este parámetro se deja en blanco,
se deshabilita la compatibilidad con
ActiveSync. Si este parámetro se
configura en "any", se examinan
todos los comandos ActiveSync.
Icap.IncidentSuppressionCacheCleanupInterval 120000 El intervalo de tiempo en

milisegundos para ejecutar el
subproceso de limpieza de la
memoria caché de supresión de
incidentes.
Icap.IncidentSuppressionCacheTimeout 120000 El tiempo en milisegundos para

invalidar la entrada de la memoria
caché de supresión de incidentes.

predeterminada
Icap.LoadBalanceFactor 1 La cantidad de servidores proxy

web con los que un Network
Prevent for Web Server se puede
comunicar. Por ejemplo, si
configuran el servidor para
comunicarse con 3 proxies,
configure el valor de
Icap.LoadBalanceFactor a 3.
Icap.SpoolFolder Este valor es necesario para las

colas de ICAP.
Icap.TraceFolder El nombre completo de la carpeta

o del directorio donde los datos de
seguimiento de depuración de
protocolos se almacenan cuando la
configuración de Icap.EnableTrace
es true. De forma predeterminada,
el valor para esta configuración se
deja en blanco.
IncidentDetection.IncidentLimitResetTime 86400000 Especifica el plazo (en

milisegundos) usado por la
configuración
IncidentDetection.
MaxIncidentsPerPolicy
. La configuración predeterminada
86.400.000 es igual a un día.
IncidentDetection.MaxContentLength 2000000 Aplica solamente a las reglas de

expresión regular. Por componente,
solamente el primer número de
MaxContentLength de caracteres
es analizado en busca de
infracciones. La opción
predeterminada (2.000.000) es
equivalente > a 1000 páginas de
texto típico. El limitador existe para
evitar que reglas de expresión
regular tarden demasiado.

predeterminada
IncidentDetection.MaxIncidentsPerPolicy 10000 Define la cantidad máxima de

incidentes detectada por una
política específica en una
supervisión determinada dentro del
plazo especificado en
IncidentDetection.
IncidentTimeLimitResetTime.
La opción predeterminada es
10 000 incidentes por política por
límite de tiempo.
IncidentDetection.MessageWaitSevere 240 La cantidad de minutos a esperar

antes de enviar un grave evento del
sistema sobre tiempos de espera
del mensaje.
IncidentDetection.MessageWaitWarning 60 La cantidad de minutos que se debe

esperar antes de enviar un evento
de advertencia del sistema sobre
tiempos de espera del mensaje.
IncidentDetection.MinNormalizedSize 30 Esta configuración se aplica a la

detección de IDM. DEBE
mantenerse en sincronización con
la configuración correspondiente en
el archivo Indexer.properties en
Enforce Server (que aplica a la
indización). Las detecciones
derivadas aplican solamente a los
mensajes cuando su contenido
normalizado es mayor que esta
configuración. Si el tamaño de
contenido normalizado es menor
que esta configuración, la detección
de IDM hace una coincidencia
binaria recta.

predeterminada
IncidentDetection.patternConditionMaxViolations 100 El número máximo de coincidencias

que informa un servidor de
detección. El servidor de detección
no informa más coincidencias que
el valor del parámetro
IncidentDetection.
patternConditionMaxViolations
incluso si hay alguna.
IncidentDetection.StopCachingWhenMemoryLowerThan 400 M Indica a la detección que detenga

el almacenamiento en caché del
contenido de tokens y de cifrado
entre las ejecuciones de la regla si
la memoria disponible de JVM cae
por debajo de este valor (en
megabytes). Configurar este
atributo a 0 habilita el
almacenamiento en memoria caché
sin importar la memoria disponible
y no se recomienda porque
OutOfMemoryErrors puede ocurrir.
Configurando este atributo a un

valor cerca de o más grande que,
el valor de la opción -Xmx en
BoxMonitor.FileReaderMemory
deshabilita con eficacia el
almacenamiento en memoria caché.
Tenga en cuenta que configurar

este valor demasiado bajo puede
tener graves consecuencias en el
rendimiento.

predeterminada
IncidentDetection.TrialMode false La configuración del modo de

prueba de prevención para generar
incidentes de prevención sin tener
una instalación de la prevención.
Si es true, los incidentes de SMTP

que vienen de Copiar regla y
Captura de paquetes aparecen
como si se hubiese evitado y los
incidentes de HTTP que vienen del
canal de Captura de paquetes
aparecen como si se hubiesen
evitado.
IncidentWriter.BacklogInfo 1000 La cantidad de incidentes que se

recopilan en el registro antes de
que un mensaje de nivel de
información sobre la cantidad de
mensajes se genere.
IncidentWriter.BacklogSevere 10000 La cantidad de incidentes que se

que un mensaje de nivel grave
sobre la cantidad de mensajes se
genere.
IncidentWriter.BacklogWarning 3000 La cantidad de incidentes que se

que un mensaje de nivel de
advertencia sobre la cantidad de
mensajes se genere.
IncidentWriter.ResolveIncidentDNSNames false Si es true, solamente los nombres

del host del destinatario son
resueltos por IP.
IncidentWriter.ShouldEncryptContent true Si es true, la supervisión cifrará el

cuerpo de cada mensaje,
componente del mensaje y
componente agrietado antes de
escribir el disco o de enviar a
Enforce.

predeterminada
Keyword.TokenVerifierEnabled false De forma predeterminada está

deshabilitado (false).
Si está habilitado (true), el servidor
valida los tokens con palabras clave
de idiomas asiáticos (chino, japonés
y coreano).
Ver "Habilitar y usar la verificación

de tokens en CJK para la
coincidencia de palabras clave del
servidor" en la página 822.
L7.cleanHttpBody true Si se configura en true, las

referencias de entidad de HTML se
reemplazan con espacios.
L7.DefaultBATV Standard Esta configuración determina el

esquema de etiquetas que Network
Prevent for Email usa para
interpretar la validación de la
etiqueta de la dirección de
devolución (BATV) en el
encabezado CORREO DE de un
mensaje. Si esta configuración es
"Standard" (opción
predeterminada), Network Prevent
usa el esquema de etiquetado
descrito en la especificación de
BATV:
http://tools.ietf.org/html/
draft-levine-mass-batv-02
Cambie esta configuración a

“Ironport” para habilitar la
compatibilidad con la
implementación del proxy del
etiquetado de BATV del proxy de
IronPort.

predeterminada
L7.DefaultUrlEncodedCharset UTF-8 Define el conjunto de caracteres

predeterminado que se usará en la
decodificación de parámetros de
consulta o cuerpos codificados con
URL cuando la información del
conjunto de caracteres falte en el
encabezado.
L7.discardDuplicateMessages true Si es true, la supervisión omite los

mensajes duplicados basados en
el messageID.
L7.ExtractBATV true Si se configura en true (opción

predeterminada), Network Prevent
for Email interpreta las etiquetas de
la validación de la etiqueta de la
dirección de devolución (BATV) que
están presentes en el encabezado
CORREO DE de un mensaje. Esto
permite a Network Prevent incluir
una dirección significativa del
remitente en los incidentes que se
generan de los mensajes que tienen
etiquetas de BATV. Si esta
configuración es “false”, Network
Prevent for Email no interpreta
etiquetas de BATV y un mensaje
que contiene etiquetas de BATV
puede generar un incidente que
tenga una dirección ilegible del
remitente.
Consulte
http://tools.ietf.org/html/draft-levine-mass-batv-02
draft-levine-mass-batv-02 para
obtener más información sobre
BATV.
L7.httpClientIdHeader X-Forwarded-For El nombre del encabezado del

identificador del remitente.
L7.MAX_NUM_HTTP_HEADERS 30 Si cualquier mensaje de HTTP

contiene más que las líneas del
encabezado especificado, se
desecha.

predeterminada
L7.maxWordLength 30 El largo máximo de una palabra (en

caracteres) permitido en la
extracción de la cadena de UTCP.
L7.messageIDCacheCleanupInterval 600000 La cantidad de tiempo que el Id. de

mensaje está almacenado en
memoria caché. El sistema no
almacenará en memoria caché
mensajes duplicados durante este
período si la configuración de
L7.discardDuplicateMessages se
configura en true.
L7.minSizeOfGetUrl 100 El tamaño mínimo de GET URL

para procesar. Las acciones de
HTTP GET no se examinan por
Symantec Data Loss Prevention en
busca de las infracciones de
políticas si la cantidad de bytes en
la URL es menor que el valor de
esta configuración. Por ejemplo,
con el valor predeterminado 100,
no se realiza ninguna comprobación
de detección cuando un navegador
muestra el sitio web de Symantec
en la dirección:
http://www.symantec.com/index.jsp.
El motivo es que la URL contiene
solamente 33 caracteres, que es un
número menor que los 100
mínimos.
Nota: L7.minSizeofGetURL no
afecta a otros tipos de solicitud,
tales como POST o PUT. Para que
examine algunas acciones de GET,
la configuración de L7.processGets
se debe configurar en true.

predeterminada
L7.processGets true Si es true, se procesan las

solicitudes GET. Si es false, las
solicitudes GET no se procesan.
Tenga en cuenta que esta
configuración interacciona con la
configuración de
L7.minSizeofGetURL.
Lexer.IncludePunctuation InWords true Si el valor es true, los caracteres de

puntuación internos a un token se
consideran durante la detección.

en la página 539.
Lexer.MaximumNumber OfTokens 12000 Número máximo de tokens

extraídos de cada componente de
mensaje para la detección.
Aplicable a todas las tecnologías
de detección donde es necesaria la
tokenización (EDM, DGM perfilada
y los patrones del sistema
compatibles con esas tecnologías).
Aumentar el valor predeterminado
puede hacer al servidor de
detección quedarse sin memoria y
reiniciarse.

en la página 539.
Lexer.MaxTokensPerMultiToken 10 Número máximo de subtokens que

una celda de varios tokens puede
contener.

en la página 539.

predeterminada
Lexer.StopwordLanguages en Habilita la eliminación de las

palabras irrelevantes para los
idiomas especificados. La opción
predeterminada es Inglés.

en la página 539.
Lexer.Validate true Si es true, realiza la validación

específica del patrón del sistema.

en la página 539.
MessageChain.ArchiveTimedOutStreams false Especifica si los mensajes se deben

archivar en la carpeta temporal
MessageChain.CacheSize 8 Limita la cantidad de mensajes que

se puedan colocar en cola en las
cadenas de mensajes.
MessageChain.ContentDumpEnabled false Si se configura en true, cada

mensaje que entra en la cadena de
mensajes de la detección se
registra en
${\SymantecDLP.temp.dir\}/dump.
Esta configuración se aplica para
el uso en la solución de problemas
y la depuración.
MessageChain.MaximumComponentTime 60.000 El intervalo de tiempo (en

milisegundos) permitido antes de
que cualquier componente de
cadena se reinicie.
MessageChain.MaximumFailureTime 360000 Cantidad de milisegundos que

deben transcurrir antes de reiniciar
el lector de archivos. Se realiza un
seguimiento de esto una vez que
un error de cadena de mensajes se
detecta y esa cadena de mensajes
no se ha recuperado.

predeterminada
MessageChain.MaximumMessageTime Varía Esta configuración varía entre

600.000 o 1.800.000 dependiendo
del tipo de servidor de detección.
El intervalo de tiempo máximo (en

milisegundos) que un mensaje
puede permanecer en una cadena
de mensajes.
MessageChain.MemoryThrottlerReservedBytes 200,000,000 La cantidad de bytes necesarios

está disponible antes de que un
mensaje se envíe a través de la
cadena de mensajes. Esta
configuración puede evitar
problemas de memoria insuficiente.
El valor predeterminado es 200 MB.
El regulador se puede deshabilitar
configurando este valor a 0.
MessageChain.MinimumFailureTime 30000 Cantidad de milisegundos que

deben transcurrir antes de que
realicen un seguimiento del error
de una cadena de mensajes. El
error lleva, eventualmente, a
reiniciar el programa de lectura de
archivos o la cadena de mensajes.

predeterminada
MessageChain.NumChains Varía Este número varía dependiendo del

tipo de servidor de detección. Es 4
u 8.
La cantidad de mensajes,
paralelamente, que el programa de
lectura de archivos procesará.
Configurar este número a más de
8 (con la otra configuración
predeterminada) no se recomienda.
Una alta configuración no aumenta
substancialmente el rendimiento y
hay un riesgo mucho mayor de
quedar sin memoria. Configurando
esto a menos de 8 (en algunos
casos 1) ayuda a procesar los
archivos grandes, pero puede
ralentizar el sistema
considerablemente.
MessageChain.StopProcessing 200 M Indica a la detección que detenga

WhenMemoryLowerThan el desglosado y el procesamiento
de subarchivos si la memoria
disponible de JVM cae por debajo
de este valor. Configurando este
atributo a 0 forzará el
procesamiento de subarchivos, sin
importar qué tan poca memoria está
disponible. Configurando este
atributo a un valor cerca o más
grande que el valor de la opción
-Xmx en
BoxMonitor.FileReaderMemory
deshabilitará con eficacia el
procesamiento de subarchivos.
NetworkMonitor. NETWORK_THREAD_ 4 Especifica la cantidad de

CONCURRENCY_COUNT subprocesos que pueden leer las
solicitudes de red pendientes en
paralelo del modo kernel al modo
usuario. Esta configuración debe
ser cercana o idéntica a la cantidad
de núcleos de CPU en su equipo.

predeterminada
NetworkMonitor.NETWORK_REQUEST_ 8 Especifica la cantidad de solicitudes

QUEUE_COUNT de lectura de red que pueden ser
puestas en cola. Esta configuración
debe ser mayor que el valor para
NetworkMonitor.
NETWORK_THREAD_
CONCURRENCY_COUNT
PacketCapture.DISCARD_HTTP_GET true Si se configura en true, las

transmisiones por secuencias de
HTTP GET se desechan.
PacketCapture.DOES_DISCARD_TRIGGER_STREAM_DUMP false Si se configura en true, una lista de

transmisiones por secuencias de
TCP se vacía en un archivo de
salida en el directorio del registro la
primera vez que se recibe un
mensaje de descarte.
PacketCapture.ENDACE_BIN_PATH Para habilitar la captura de

paquetes que usa una tarjeta de
Endace, escriba la ruta al directorio
Endace /bin. Tenga en cuenta que
las variables de entorno (como
%ENDACE_HOME%) no se pueden
usar en esta configuración. Por
ejemplo: /usr/local/bin
PacketCapture.ENDACE_LIB_PATH Para habilitar la captura de

Endace /lib. Tenga en cuenta que
las variables de entorno (como
ejemplo: /usr/local/lib

predeterminada
PacketCapture.ENDACE_XILINX_PATH Para habilitar la captura de

Endace /xilinx. Tenga en cuenta
que las variables de entorno (como
ejemplo:
/usr/local/dag/xilinx
PacketCapture.Filter tcp || ip proto 47 || Cuando se configura el valor

(vlan && (tcp || ip predeterminado, todos los paquetes
proto 47)) que no son de TCP se filtran y no
se envían a Network Monitor. El
valor predeterminado se puede
anular usando el formato del filtro
de tcpdump documentado en el
programa de tcpdump. Esta
configuración permite que los
especialistas creen filtros más
exactos (las direcciones IP de
origen y destino para los puertos
dados).
PacketCapture.INPUT_SOURCE_FILE /dummy.dmp La ruta completa y el nombre del

archivo de entrada.
PacketCapture.IS_ARCHIVING_PACKETS false NO USE ESTE CAMPO. La

configuración de diagnóstico que
crea vaciados de paquetes
capturados en packetcapture para
usar más tarde. Esta función no es
admitida y no tiene comprobación
de errores normal. Puede causar
reinicios repetidos en pcap.
PacketCapture.IS_ENDACE_ENABLED false Para habilitar la captura de

paquetes usando una tarjeta de
Endace, configure este valor en
true.
PacketCapture.IS_FTP_RETR_ENABLED false Si se configura en true, FTP GETS

y FTP PUTS se procesan. Si se
configura en false, solamente se
procesa FTP PUTS.

predeterminada
PacketCapture.IS_INPUT_SOURCE_FILE false Si se configura en true, lee

continuamente los paquetes de un
archivo formateado tcpdump
indicado en
INPUT_SOURCE_FILE.
Configúrelo en dag cuando una
tarjeta de Endace esté instalada.
PacketCapture.IS_NAPATECH_ENABLED false Para habilitar la captura de

paquetes usando una tarjeta de
Napatech, configure este valor en
true. La configuración
predeterminada es false.
PacketCapture.KERNEL_BUFFER_SIZE_I686 64 M Para las plataformas de 32 bits de

Linux, esta configuración especifica
la cantidad de memoria asignada a
los paquetes de red del búfer.
Especifique K para los kilobytes o
M para los megabytes. No
especifique un valor más grande
que 128 M.
PacketCapture.KERNEL_BUFFER_SIZE_Win32 16 M Para las plataformas de 32 bits de

Windows, esta configuración
especifica la cantidad de memoria
asignada a los paquetes de red del
búfer. Especifique K para los
kilobytes o M para los megabytes.
PacketCapture.KERNEL_BUFFER_SIZE_X64 64 M Para las plataformas de 64 bits de

Windows, esta configuración
especifica la cantidad de memoria
asignada a los paquetes de red del
búfer. Especifique K para los
kilobytes o M para los megabytes.
PacketCapture.KERNEL_BUFFER_SIZE_X86_64 64 M Para las plataformas de 64 bits de

Linux, esta configuración especifica
la cantidad de memoria asignada a
los paquetes de red del búfer.
Especifique K para los kilobytes o
M para los megabytes. No
especifique un valor más grande
que 64 M.

predeterminada
PacketCapture.MAX_FILES_PER_DIRECTORY 30000 Una vez que la cantidad

especificada de transmisiones por
secuencias de archivos se procesa,
un directorio se crea.
PacketCapture.MBYTES_LEFT_TO_DISABLE_CAPTURE 1000 Si la cantidad de espacio libre en

disco (en MB) en la unidad
drop_pcap cae por debajo de esta
especificación, se suspende la
captura de paquetes. Por ejemplo,
si este número es 100, pcap
detendrá la escritura de los archivos
de drop_pcap cuando haya menos
de 100 MB en la unidad instalada
PacketCapture.MBYTES_REQUIRED_TO_RESTART_CAPTURE 1500 La cantidad de espacio libre en

disco (en MB) necesaria en la
unidad drop_pcap antes de que la
captura de paquetes continúe de
nuevo después de haberse
detenido debido a la falta de
espacio. Por ejemplo, si este valor
es 150 y la captura de paquetes se
suspende, la captura de paquetes
continúa cuando más de 150 MB
están disponibles en la unidad
drop_pcap.
PacketCapture.NAPATECH_TOOLS_PATH Esta configuración especifica la

ubicación del directorio
Herramientas de Napatech. Este
directorio no está configurado de
forma predeterminada. Si se habilita
la captura de paquete para
Napatech, especifique la ruta
calificada al directorio de instalación
de herramientas de Napatech.

predeterminada
PacketCapture.NO_TRAFFIC_ALERT_PERIOD 86,400 El tiempo de actualización (en

segundos) entre mensajes de alerta
de ausencia de tráfico. Se crean
eventos del sistema de ausencia de
tráfico para un protocolo dado
basado en este período de tiempo.
Por ejemplo, si esto se configura en
24*60*60 segundos, un mensaje
nuevo se envía diariamente que
muestra no hay nuevo tráfico para
un protocolo dado. No confunda con
el tiempo de espera del tráfico del
protocolo; eso nos dice cuánto
tiempo vamos inicialmente sin
tráfico antes de enviar la primera
alerta.
PacketCapture.NUMBER_BUFFER_POOL_PACKETS 600000 La cantidad de búferes de paquetes

de tamaño estándar asignados
previamente que se usan para
proteger y ordenar el tráfico
entrante.
PacketCapture.NUMBER_JUMBO_POOL_PACKETS 1 La cantidad de búferes de paquetes

de gran tamaño asignados
entrante.
PacketCapture.NUMBER_SMALL_POOL_PACKETS 200000 La cantidad de búferes de paquetes

de tamaño pequeño asignados
entrante.
PacketCapture.RING_CAPTURE_LENGTH 1518 Controla la cantidad de datos de

paquete que se capturan. El valor
predeterminado de 1518 es
suficiente para capturar las redes
Ethernet y Ethernet típicas sobre
las VLAN con etiquetas 802.1Q.

predeterminada
PacketCapture.RING_DEVICE_MEM 67108864 Esta configuración es rechazada.

En su lugar, use la configuración
PacketCapture.KERNEL_BUFFER_SIZE_I686
(para las plataformas de 32 bits de
Linux) o la configuración
PacketCapture.KERNEL_BUFFER_SIZE_X86_64
(para las plataformas de 64 bits de
Linux).
Especifica la cantidad de memoria

(en bytes) que se asignará a los
paquetes de búferes por dispositivo.
(La opción predeterminada de
67108864 es equivalente a 64 MB).
PacketCapture.SIZE_BUFFER_POOL_PACKETS 1540 El tamaño de los paquetes de

búferes de tamaño estándar.
PacketCapture.SIZE_JUMBO_POOL_PACKETS 10000 El tamaño de los paquetes de

búferes de gran tamaño.
PacketCapture.SIZE_SMALL_POOL_PACKETS 150 El tamaño de los paquetes de

búferes de tamaño pequeño.
PacketCapture.SPOOL_DIRECTORY El directorio en el cual colocar en

cola las transmisiones por
secuencias con una gran cantidad
de paquetes. Esta configuración es
definida por el usuario.
PacketCapture.STREAM_WRITE_TIMEOUT 5000 El tiempo (en milisegundos) entre

cada cantidad (tiempo de espera
de escritura de StreamManager)

predeterminada
RequestProcessor.AddDefaultHeader true Si se configura en true, agrega un

encabezado predeterminado a cada
correo electrónico procesado
(cuando está en modo SMTP
inline). El encabezado
predeterminado es
RequestProcessor.DefaultHeader.
Este encabezado se agrega a todos
los mensajes que pasan a través
del sistema, es decir, si se
reorienta, si se agrega otro
encabezado, si el mensaje no tiene
ninguna infracción de políticas,
entonces, se agrega el encabezado.
RequestProcessor.AllowExtensions 8BITMIME VRFY DSN Esta configuración enumera las

HELP PIPELINING extensiones del protocolo SMTP
SIZE que Network Prevent for Email
ENHANCEDSTATUSCODES puede usar cuando se comunica
STARTTLS con otros MTA.
RequestProcessor.AddHeaderOnMessageTimeout false El valor predeterminado configura

el sistema para que continúe
enviando los mensajes si hay un
tiempo de espera del mensaje.
Si se configura en true, entonces

el encabezado X “X-Symantec-DLP:
Se superó el tiempo de espera del
mensaje (potencial evento del
sistema Enforce 1213)” se inserta
en el mensaje de correo electrónico.
El Edge MTA descendente usa esta
información de encabezado para
controlar el mensaje y el registro de
mensaje muestra "El mensaje pasó
debido al tiempo de espera, con un
encabezado de tiempo de espera
añadido".

predeterminada
RequestProcessor.AllowHosts any El valor predeterminado "any"

permite que todos los sistemas
realicen una conexión a Network
Prevent for Email Server en el
puerto de servicio de SMTP.
Reemplazar “ninguno” con la
dirección IP o el nombre de dominio
completo (FQDN) de uno o más
sistemas restringe las conexiones
de SMTP apenas a esos sistemas
designados. Para designar sistemas
varios, separe a sus direcciones
con comas. Use solamente una
coma para separar direcciones; no
incluya ningún espacio entre las
direcciones.
RequestProcessor.AllowUnauthenticatedConnections false El valor predeterminado asegura

que los MTA se deban autenticar
con Network Prevent for Email para
permitir la comunicación de TLS.
RequestProcessor.Backlog 12 El trabajo pendiente que el

procesador de solicitudes especifica
para el agente de escucha del
zócalo del servidor.
RequestProcessor.BindAddress 0.0.0.0 La dirección IP a la que se vincula

un agente de escucha de Network
Prevent for Email Server. Cuando
se configura BindAddress, el
servidor contestará solamente una
conexión a esa dirección IP. El valor
predeterminado de 0.0.0.0 es un
comodín que permite escuchar
todas las direcciones disponibles,
incluyendo 127.0.0.1.

predeterminada
RequestProcessor.BlockStatusCodeOverride 5.7.1 Habilita la anulación del código de

estado de ESMTP enviado al MTA
ascendente al ejecutar una regla de
respuesta del bloque.
Los valores aceptados son 5.7.0 y

5.7.1. Si se especifican otros
valores, esta configuración recurrirá
a la opción predeterminada de
5.7.1.
El uso del valor 5.7.0 (otro o estado

de seguridad no definido) se
prefiere cuando el servidor de
detección funciona con correo
electrónico de Office365, porque el
valor 5.7.1 proporciona un contexto
incorrecto para el caso de uso de
Office365.
RequestProcessor.DefaultCommandTimeout 300 Especifica la cantidad de segundos

que Network Prevent for Email
Server espera una respuesta a un
comando SMTP antes de cerrar las
conexiones a MTA ascendentes y
descendentes. La opción
predeterminada es 300 segundos.
Esta configuración no se aplica al
comando "." (la finalización de un
comando DATA). No modifique la
opción predeterminada sin primero
consultar al Soporte de Symantec.
RequestProcessor.CacheEnabled false Habilita el almacenamiento en

memoria caché de las respuestas
para los mensajes duplicados de
SMTP. Se agregó memoria caché
como parte de la solución de la
nube para admitir la división del
sobre.

predeterminada
RequestProcessor.CacheCleanupInterval 120000 Especifica el intervalo después del

cual las respuestas almacenadas
en la memoria caché se limpian de
la memoria caché. Las unidades
son en milisegundos.
RequestProcessor.CachedMessageTimeout 120000 Especifica la cantidad de tiempo

después de la generación cuando
una respuesta almacenada en la
memoria caché se puede borrar de
la memoria caché. Las unidades
son en milisegundos.
RequestProcessor.DefaultPassHeader X-CFilter-Loop: Esta es el encabezado

Reflected predeterminado que se agregará si
RequestProcessor.
AddDefaultPassHeader se
configura en true, en el modo SMTP
inline. Debe estar en un formato de
encabezado válido, recomendado
para ser un encabezado X.
RequestProcessor.DotCommandTimeout 600 Especifica la cantidad de segundos

que Network Prevent for Email
Server espera la respuesta de "."
DATA (la finalización de un
comando DATA) antes de cerrar las
conexiones a los MTA ascendentes
y descendentes. La opción
predeterminada es 600 segundos.
No modifique la opción
predeterminada sin primero
consultar al Soporte de Symantec.
RequestProcessor.ForwardConnectionTimeout 20000 El valor de tiempo de espera a usar

al remitir a un MTA.
RequestProcessor.KeyManagementAlgorithm SunX509 El algoritmo de la administración de

claves usado en la comunicación
de TLS.

predeterminada
RequestProcessor.MaxLineSize 1048576 El tamaño máximo (en bytes) de las

líneas de datos esperadas de un
MTA externo. Si las líneas de datos
son más grandes, se dividen en
fragmentos de este tamaño.
RequestProcessor.Mode ESMTP Especifica el modo de protocolo

para usar (SMTP o ESMTP).
RequestProcessor.MTAResubmitPort 10026 Este es el número de puerto usado

por el procesador de solicitudes en
el MTA para volver a enviar el
mensaje de SMTP.
RequestProcessor.NumberOfDNSAttempts 4 El número máximo de consultas de

DNS que Network Prevent for Email
realiza cuando intenta obtener los
registros de intercambio de correo
(MX) para un dominio. Network
Prevent for Email usa esta
configuración solamente si ha
habilitado operaciones de búsqueda
de registro MX.
RequestProcessor.RPLTimeout 360000 El tiempo máximo en milisegundos

permitido para el procesamiento de
mensajes de correo electrónico por
un servidor Prevent. Cualquier
mensaje de correo electrónico no
procesado durante este intervalo
de tiempo es transferido por el
servidor.
RequestProcessor.ServerSocketPort 10025 El número de puerto que usará la

supervisión de SMTP para escuchar
las conexiones entrantes de MTA.

predeterminada
RequestProcessor.TagHighestSeverity false Cuando está configurado en true,

un encabezado adicional del correo
electrónico que informa la gravedad
más alta de todas las políticas
infringidas se agrega al mensaje.
Por ejemplo, si el correo electrónico
infringió una política de gravedad
ALTA y una política de gravedad
BAJA, muestra
X-DLP-MAX-Severity:HIGH.
RequestProcessor.TagPolicyCount. false Cuando está configurado en true,

electrónico que informa el número
total de políticas que el mensaje
infringe se agrega al mensaje. Por
ejemplo, si el mensaje infringe 3
políticas, se agrega un encabezado
que dice: X-DLP-Policy-Count: 3.
RequestProcessor.TagScore false Cuando está configurado en true,

electrónico que informa la cuenta
acumulativa total de todas las
políticas que el mensaje infringe se
agrega al mensaje. Las
calificaciones se calculan usando
la fórmula: Alta=4, Media=3, Baja=2
e Informativa=1. Por ejemplo, si un
mensaje infringe tres políticas, una
con una gravedad media y dos con
una gravedad baja, un encabezado
que dice: X-DLP-Score: 7 es
agregado.

predeterminada
RequestProcessor.TrustManagementAlgorithm PKIX El algoritmo de la administración de

confianza que Network Prevent for
Email usa cuando valida los
certificados para la comunicación
de TLS. Es posible especificar
opcionalmente un algoritmo
integrado del administrador de
confianza de Java (tal como
SunX509 o SunPKIX) o un
algoritmo personalizado que se ha
desarrollado.
RequestProcessorListener.ServerSocketPort 12355 El puerto TCP local que FileReader

usará para escuchar las conexiones
de RequestProcessor en un
Network Prevent Server.
ServerCommunicator.CONNECT_ 60 El tiempo de retraso (en segundos)

después del cual un servidor de
DELAY_POST_WAKEUP_
detección vuelve a intentar en línea
OR_POST_VPN_ conectarse a Enforce Server. El
valor predeterminado es 60
SECONDS
segundos. El intervalo para esta
configuración es de 30 a 600
segundos.
SocketCommunication.BufferSize 8K El tamaño del búfer que Network

Prevent for Web usa para procesar
solicitudes de ICAP. Aumente el
valor predeterminado solamente si
es necesario procesar las
solicitudes de ICAP que son
mayores que 8 K. Ciertas funciones,
como la autenticación de Active
Directory, pueden necesitar un
aumento del tamaño del búfer.
Configuración avanzada del detector

predeterminada
UnicodeNormalizer.AsianCharRanges Opción Puede ser usado para anular la

predeterminada definición predeterminada de los
caracteres que son considerados
asiáticos por el motor de detección.
Debe ser la opción predeterminada
o una lista de intervalos separados
por comas, por ejemplo:
11A80-11F9,3200-321E
UnicodeNormalizer.Enabled on Puede ser usado para deshabilitar

la normalización de Unicode.
Escriba off para deshabilitarlo.
UnicodeNormalizer.NewlineEliminationEnabled on Puede ser usado para deshabilitar

la eliminación de una nueva línea
para los idiomas asiáticos.

en la página 78.
Ver "Configuración avanzada del agente" en la página 2115.

Haga clic en Configuración del detector en la pantalla Sistema > Servidores y
detectores > Descripción general > Detalles del servidor/detector del detector
para modificar la configuración en ese servidor.
Sea cuidadoso al modificar esta configuración en un detector. Contáctese con el
Soporte de Symantec antes de cambiar cualquier configuración de esta pantalla.
Los cambios a esta configuración no surten efecto normalmente hasta después
de que haya reiniciado el detector.
No es posible cambiar la configuración de Enforce Server en la pantalla Detalles
del servidor/detector. La pantalla Detalles del servidor/detector - Configuración
avanzada solamente se muestra para los servidores de detección y los detectores.
Tabla 12-9 Configuración avanzada del detector

predeterminada
ContentExtraction.EnableMetaData off Permite la detección en metadatos del archivo.

Si la configuración está configurada en on,
puede detectar metadatos para archivos PDF y
de Microsoft Office. Para los archivos de
Microsoft Office se admiten metadatos OLE, que
incluye los campos Título, Asunto, Autor y
Palabras clave. Para los archivos PDF,
solamente se admiten metadatos del diccionario
de información del documento, que incluye los
campos Autor, Título, Asunto y fechas de
Creación y Actualización. No se detecta el
contenido de la plataforma de metadatos
extensible (XMP). Tenga en cuenta que al
habilitar esta opción de detección de metadatos
puede generar falsos positivos.
ContentExtraction.MarkupAsText off Omite la extracción de contenido para los

archivos que son determinados como XML o
HTML. Esto debe usarse en casos tales como
páginas web que contienen datos en el bloque
del encabezado o los bloques de scripts. La
opción predeterminada es Off.
ContentExtraction.TrackedChanges off Permite la detección de contenido que ha

cambiado a lo largo del tiempo (realiza un
seguimiento de los cambios de contenido) en
los documentos de Microsoft Office.
Nota: Usando la opción precedente puede
reducir la tasa de precisión para IDM y los
identificadores de datos. La opción
predeterminada se configura en Off (impedir).
Para indizar el contenido que ha cambiado con

el paso del tiempo, configure
ContentExtraction.TrackedChanges=on en el
archivo
\Protect\config\Indexer.properties.
La configuración predeterminada y
recomendada es
ContentExtraction.TrackedChanges=off.

predeterminada
DDM.MaxBinMatchSize 30 000 000 El tamaño máximo (en bytes) usado para

generar el hash MD5 para una coincidencia
binaria exacta en un IDM. Esta configuración no
se debe cambiar. Las condiciones siguientes
deben coincidir para que IDM funcione
correctamente:
■ Esta configuración debe ser exactamente

idéntica a la configuración
max_bin_match_size en Enforce Server en
el archivo indexer.properties.
■ Esta configuración debe ser más pequeña
o igual al valor de FileReader.FileMaxSize.
■ Esta configuración debe ser más pequeña
o igual al valor de
ContentExtraction.MaxContentSize en
Enforce Server en el archivo
indexer.properties
Nota: Cambiar el primer o tercer elemento en

la lista requiere volver a indizar todos los
archivos de IDM.
Detection.EncodingGuessingDefaultEncoding ISO-8859-1 Especifica la codificación de copia de seguridad

presunta para una secuencia de bytes.
Detection.EncodingGuessingEnabled on Designa si la codificación de las secuencias de

bytes desconocidas se debe conjeturar.
Detection.EncodingGuessingMinimumConfidence 50 Especifica el nivel de confianza necesario para

conjeturar la codificación de las secuencias de
bytes desconocidas.
DI.MaxViolations 100 Especifica el número máximo de infracciones

permitidas con los identificadores de datos.

predeterminada
EDM.MatchCountVariant 3 Especifica cómo se cuentan las coincidencias.

■ 1 - Cuenta la cantidad total de conjuntos de
tokens con los que se estableció
coincidencia.
■ 2 - Cuenta la cantidad de conjuntos de
tokens únicos con los que se estableció
coincidencia.
■ 3 - Cuenta la cantidad de superconjuntos
únicos de conjuntos de tokens (opción
predeterminada).
Ver "Configuración avanzada del servidor para

políticas de EDM" en la página 539.
EDM.MaximumNumberOfMatchesToReturn 100 Definen un límite máximo para la cantidad de

coincidencias devueltas de cada búsqueda del
índice de RAM.

EDM.SimpleTextProximityRadius 35 Cantidad de tokens que se evalúan juntos

cuando se habilita la comprobación de
proximidad.

EDM.TokenVerifierEnabled false Si está habilitado (true), el servidor valida los

tokens para palabras claves en chino, japonés
y coreano (CJK).
De forma predeterminada está deshabilitado

(false).
IncidentDetection.MaxContentLength 2000000 Aplica solamente a las reglas de expresión

regular. Por componente, solamente el primer
número de MaxContentLength de caracteres es
analizado en busca de infracciones. La opción
predeterminada (2.000.000) es equivalente > a
1000 páginas de texto típico. El limitador existe
para evitar que reglas de expresión regular
tarden demasiado.

predeterminada
IncidentDetection.MinNormalizedSize 30 Esta configuración se aplica a la detección de

IDM. Debe mantenerse en sincronización con
la configuración correspondiente en el archivo
Indexer.properties en Enforce Server (que
aplica a la indización). Las detecciones
derivadas aplican solamente a los mensajes
cuando su contenido normalizado es mayor que
esta configuración. Si el tamaño de contenido
normalizado es menor que esta configuración,
la detección de IDM hace una coincidencia
binaria recta.
IncidentDetection.patternConditionMaxViolations 100 El número máximo de coincidencias que un

detector informa. El detector no informa las
coincidencias superiores al valor del parámetro
'IncidentDetection.patternConditionMaxViolations',
incluso si hay alguna.
Keyword.TokenVerifierEnabled false De forma predeterminada está deshabilitado

(false).
Si está habilitado (true), el servidor valida los

tokens con palabras clave de idiomas asiáticos
(chino, japonés y coreano).
Ver "Habilitar y usar la verificación de tokens en

CJK para la coincidencia de palabras clave del
servidor" en la página 822.
Lexer.IncludePunctuation InWords true Si el valor es true, los caracteres de puntuación

internos a un token se consideran durante la
detección.

Lexer.MaximumNumber OfTokens 12000 Número máximo de tokens extraídos de cada

componente de mensaje para la detección.
Aplicable a todas las tecnologías de detección
donde es necesaria la tokenización (EDM, DGM
perfilada y los patrones del sistema compatibles
con esas tecnologías). Aumentar el valor
predeterminado puede hacer que el detector se
quede sin memoria y se reinicie.

Acerca de cómo usar equilibradores de carga en una implementación de endpoints

predeterminada
Lexer.MaxTokensPerMultiToken 10 Número máximo de subtokens que una celda

de varios tokens puede contener.
Lexer.StopwordLanguages en Habilita la eliminación de las palabras

irrelevantes para los idiomas especificados. La
opción predeterminada es Inglés.

Lexer.Validate true Si es true, realiza la validación específica del

patrón del sistema.

UnicodeNormalizer.AsianCharRanges default Puede ser usado para anular la definición

predeterminada de los caracteres que son
considerados asiáticos por el motor de
detección. Debe ser la opción predeterminada
o una lista de intervalos separados por comas,
por ejemplo: 11A80-11F9,3200-321E
UnicodeNormalizer.Enabled on Puede ser usado para deshabilitar la

normalización de Unicode.
UnicodeNormalizer.NewlineEliminationEnabled on Puede ser usado para deshabilitar la eliminación

de una nueva línea para los idiomas asiáticos.
Acerca de cómo usar equilibradores de carga en una

implementación de endpoints
Es posible utilizar un equilibrador de carga para administrar varios servidores de
endpoints o un grupo de servidores. Agregar servidores de endpoints a un grupo
de servidores con equilibrio de carga permite a Symantec Data Loss Prevention
utilizar menos ancho de banda y administrar más agentes. Al configurar un grupo
de servidores para administrar agentes y servidores de endpoints, la configuración
predeterminada de Symantec Data Loss Prevention permite la comunicación entre
los servidores y los agentes. Sin embargo, hay varias configuraciones del
equilibrador de carga que pueden afectar cómo los servidores y los agentes de
endpoints se comunican. Es posible tener que realizar cambios a la configuración
avanzada de agentes y servidores si el equilibrador de carga que se utiliza no
utiliza la configuración predeterminada.
Generalmente, los equilibradores de carga deben tener la configuración siguiente
aplicada para trabajar mejor con Symantec Data Loss Prevention:
■ Rendimiento de 1-Gbps
■ Afinidad de servidor de sesión SSL
■ Período de tiempo de espera de sesión SSL de 24 horas
Los servidores de endpoints se comunican con más eficientemente con los agentes
cuando el equilibrador de carga se configura para utilizar la viscosidad de Id. de
sesión SSL. (Este nombre de protocolo puede variar según la marcas del
equilibrador de carga). Usar la viscosidad de sesión en una implementación de
Symantec Data Loss Prevention permite utilizar menos ancho de banda durante
la ejecución del protocolo de enlace de SSL entre los agentes y los servidores de
endpoints.
Revise la configuración de conexión del agente si la configuración de conexión
inactiva del equilibrador de carga no tiene la configuración predeterminada. La
configuración de conexión inactiva del equilibrador de carga también se puede
llamar intervalo de tiempo de espera de conexión, conexión inactiva limpia y así
sucesivamente dependiendo de la marca del equilibrador de carga.
Es posible evaluar su configuración de Symantec Data Loss Prevention y del
equilibrador de carga considerando las dos situaciones siguientes:
■ Configuración de DLP predeterminada
■ Configuración de DLP no predeterminada
Nota: Póngase en contacto con el Soporte de Symantec antes de cambiar las

configuraciones avanzadas del servidor y del agente predeterminadas.
Tabla 12-10 Situación de configuración de Symantec Data Loss Prevention

predeterminada
Descripción Resolución
A partir de la versión 12.5, Symantec Data Considere cómo el tiempo de espera inactivo del agente coincide con
Loss Prevention utiliza conexiones no la configuración de conexión inactiva de cierre del equilibrador de
persistentes de forma predeterminada. Usar carga. Si el equilibrador de carga se configura para cerrar conexiones
conexiones no persistentes significa que los inactivas después de menos de 30 segundos, los agentes se
servidores de endpoints cierran las conexiones desconectan prematuramente de los servidores de endpoints.
con los agentes después de los agentes están
Para resolver el problema, complete una de las siguientes acciones:
inactivos por 30 segundos.
■ Cambie la configuración de tiempo de espera inactivo del agente
(EndpointCommunications. IDLE_TIMEOUT_IN_SECONDS.int)
para que sea menor que la configuración de conexión inactiva de
cierre en el equilibrador de carga.
■ Aumente la configuración de latido del agente
(EndpointCommunications.HEARTBEAT_INTERVAL_IN_SECONDS.int)
para que sea menor que la configuración de conexión inactiva de
cierre del equilibrador de carga. El usuario debe también aumentar
la configuración de tiempo de espera sin tráfico
(CommLayer.NO_TRAFFIC_TIMEOUT_IN_SECONDS.int) a un
valor mayor que el de la configuración de latido del agente.
Tabla 12-11 Situación de configuración de Symantec Data Loss Prevention no

predeterminada
Descripción Resolución
Considere cómo los cambios en la Para resolver el problema, complete una de las siguientes acciones:
configuración predeterminada de Symantec
■ Cambie el latido del agente
Data Loss Prevention afectan cómo el
(EndpointCommunications.HEARTBEAT_INTERVAL_IN_SECONDS.int)
equilibrador de carga maneja las conexiones
y la configuración de tiempo de espera sin tráfico
de agente inactivas y persistentes. Por
(CommLayer.NO_TRAFFIC_TIMEOUT_IN_SECONDS.int) a un
ejemplo, si cambia la configuración de tiempo
valor menor que el de la configuración de conexión inactiva del
de espera inactivo a 0 para crear una conexión
equilibrador de carga.
persistente y deja la configuración
■ Verifique que la configuración de tiempo de espera sin tráfico sea
predeterminada de latido del agente (270
mayor que la configuración de latido.
segundos), debe considerar la configuración
de conexión inactiva en el equilibrador de
carga. Si la configuración de conexión inactiva
en el equilibrador de carga es menor que 270
segundos, los agentes se desconectan
prematuramente de los servidores de
endpoints.


Capítulo 13
archivos de registro
■ Acerca de los archivos de registro
■ Pantalla de configuración y recopilación de registros
■ Configuración del comportamiento del registro del servidor
■ Recopilación de archivos de configuración y registros de servidor
■ Acerca de los códigos de eventos de registro
Acerca de los archivos de registro

Symantec Data Loss Prevention proporciona varios archivos de registro diferentes
que registran información sobre el comportamiento del software. Los archivos de
registro se dividen en estas categorías:
■ Los archivos de registro operativo registran información detallada sobre las
tareas que el software realiza y cualquier error que se produzca mientras el
software realiza esas tareas. Es posible usar los contenidos de los archivos de
registro operativo para verificar que el software funcione como se espera. Puede
también usar estos archivos para solucionar problemas en la manera que el
software se integra con otros componentes del sistema.
Por ejemplo, se pueden usar los archivos de registro operativo para verificar
que un Network Prevent for Email Server se comunica con un MTA específico
en la red.
Ver "Archivos de registro operativos" en la página 352.
Cómo administrar los archivos de registro 352
■ Los archivos de registro de depuración registran detalles técnicos minuciosos

sobre los procesos o los componentes del software individuales que comprenden
Symantec Data Loss Prevention. Los contenidos de los archivos de registro de
depuración no tienen como objetivo diagnosticar los errores de configuración
del sistema ni verificar la funcionalidad prevista del software. No es necesario
examinar los archivos de registro de depuración para administrar o mantener
la instalación de Symantec Data Loss Prevention. Sin embargo, el Soporte de
Symantec puede solicitarle que proporcione archivos de registro de depuración
para análisis adicional cuando se informa un problema. Algunos archivos de
registro de depuración no se crean de forma predeterminada. El Soporte de
Symantec puede explicarle cómo configurar el software para crear el archivo
si es necesario.
Ver "Archivos de registro de depuración" en la página 356.
■ Los archivos de registro de instalación registran información sobre las tareas
de instalación de Symantec Data Loss Prevention que se realizan en un equipo
determinado. Es posible usar estos archivos de registro para verificar una
instalación o para solucionar errores en la instalación. Los archivos de registro
de instalación residen en las ubicaciones siguientes:
■ installdir\SymantecDLP\.install4j\installation.log almacena el
registro de instalación para Symantec Data Loss Prevention.
■ installdir\oracle_home\admin\protect\ almacena el registro de
instalación para Oracle.
más información.
Archivos de registro operativos

Enforce Server y los servidores de detección almacenan archivos de registro
operativos en el directorio \SymantecDLP\Protect\logs\, en las instalaciones de
Windows, y en el directorio /var/log/SymantecDLP/, en las instalaciones de Linux.
Un número al finalizar el nombre del archivo de registro indica la cantidad (mostrada
como 0 en Tabla 13-1).
Tabla 13-1 enumera y describe los archivos de registro operativos de Symantec
Tabla 13-1 Archivos de registro operativos
Nombre del archivo de registro Descripción Servidor
agentmanagement_webservices_access_0.log Registra intentos de acceso Enforce Server

correctos y fallidos del servicio web
de la API de administración de
agentes.
agentmanagement_webservices_soap_0.log Registra toda la solicitud y la Enforce Server

respuesta SOAP para la mayoría
de las solicitudes al servicio web de
la API de administración de
agentes.
boxmonitor_operational_0.log El proceso de BoxMonitor Todos los servidores

supervisa los procesos de servidor de detección
de detección relativos a ese tipo de
servidor determinado.
Por ejemplo, los procesos que se

ejecutan en Network Monitor son el
programa de lectura de archivos y
la captura de paquetes.
Este archivo de registro de

BoxMonitor es típicamente muy
pequeño y muestra cómo los
procesos de aplicación se ejecutan.
detection_operational_0.log El archivo de registro de la Todos los servidores

operación de detección proporciona de detección
los detalles sobre la configuración
del servidor de detección y si está
actuando correctamente.
detection_operational_trace_0.log El archivo de registro del rastro de Todos los servidores

la detección proporciona los de detección
detalles sobre cada mensaje que
el servidor de detección procesa.
El archivo de registro incluye
información, como:
■ Las políticas que fueron

aplicadas al mensaje
■ Las reglas de políticas que
coincidieron con el mensaje
■ La cantidad de incidentes que
el mensaje generó.
machinelearning_training_operational_0.log Este registro registra información Enforce Server

sobre tareas, registros y archivos
de configuración a los que se llama
en el inicio del proceso de
aprendizaje de VML.
manager_operational_0.log. Registra la información sobre el Enforce Server

proceso del administrador de
Symantec Data Loss Prevention,
que implementa la interfaz de
usuario de la consola de
monitorcontroller_operational_0.log Graba un registro detallado de las Enforce Server

conexiones entre Enforce Server y
todos los servidores de detección.
Proporciona los detalles de la
información la cual se intercambia
entre estos servidores, por ejemplo,
si las políticas se han transferido a
los servidores de detección o no.
SmtpPrevent_operational0.log Este archivo de registro operativo Servidores de

pertenece a SMTP Prevent detección de SMTP
solamente. Es el registro principal Prevent
para realizar un seguimiento del
estado y la actividad de un sistema
de Network Prevent for Email.
Examine este archivo para obtener
información sobre la comunicación
entre los MTA y el servidor de
detección.
WebPrevent_Access0.log Este archivo de registro de acceso ■ Servidores de

contiene información sobre las detección
solicitudes que procesan los Network Prevent
servidores de detección de Network para Web
Prevent for Web. Es similar a los
registros de acceso web para un
servidor proxy.
WebPrevent_Operational0.log Este archivo de registro operativo ■ Servidores de

informa la condición de detección
funcionamiento de Network Prevent Network Prevent
for Web, por ejemplo, si el sistema para Web
está activo o inactivo y la
administración de conexiones.
webservices_access_0.log Este archivo de registro registra Enforce Server

intentos correctos y con errores
para acceder al servicio web de
elaboración de informes sobre
incidentes.
webservices_soap_0.log Contiene toda la solicitud y la Enforce Server

respuesta SOAP para la mayoría
de las solicitudes al servicio web de
API de elaboración de informes
sobre incidentes. Este registro
registra todas las solicitudes y
respuestas excepto las respuestas
a las solicitudes binarias del
incidente. Este archivo de registro
no se crea de forma
predeterminada. Consulte la Guía
para desarrolladores de API de
elaboración de informes sobre
incidentes de Symantec Data Loss
Prevention para obtener más
información.
Ver "Archivos de registro operativos y códigos de eventos de Network Prevent for

Web" en la página 372.
Ver "Network Prevent for Web archivos de registro y campos del acceso"
en la página 374.
Ver "Niveles de registro de Network Prevent for Email" en la página 376.
Ver "Códigos de registro operativos de Network Prevent for Email" en la página 377.
Ver "Respuestas y códigos originados en Network Prevent for Email"
en la página 380.
Archivos de registro de depuración

Enforce Server y los servidores de detección almacenan archivos de registro de
depuración en el directorio \SymantecDLP\Protect\logs\, en las instalaciones
de Windows, y en el directorio /var/log/SymantecDLP/, en las instalaciones de
Linux. Un número al finalizar el nombre del archivo de registro indica la cantidad
(mostrada como 0 en los archivos del registro de depuración).
La tabla siguiente enumera y describe los archivos de registro de depuración
Tabla 13-2 Archivos de registro de depuración
Aggregator0.log Este archivo describe comunicaciones entre el Servidores

servidor de detección y los agentes. de
detección
Mire este registro para solucionar problemas en los
de
siguientes problemas:
endpoint
■ Conexión a los agentes
■ Para descubrir por qué los incidentes no aparecen
cuando deben
■ Si eventos del agente inesperados ocurren
BoxMonitor0.log Este archivo es típicamente muy pequeño y muestra Todos

cómo los procesos de aplicación se ejecutan. El los
proceso de BoxMonitor supervisa los procesos de servidores
servidor de detección relativos a ese tipo de servidor de
determinado. detección
Por ejemplo, los procesos que se ejecutan en

Network Monitor son el programa de lectura de
archivos y la captura de paquetes.
ContentExtractionAPI_FileReader.log Registra el comportamiento del programa de lectura Servidor

de archivos API de extracción de contenido que envía de
solicitudes al host del complemento. El nivel de detección
registro predeterminado es “Info”, que se configura
con \Protect\config\log4cxx_config_filereader.xml.
ContentExtractionAPI_Manager.log Registra el comportamiento del administrador de Enforce

archivos API de extracción de contenido que envía Server
solicitudes al host del complemento. El nivel de
registro predeterminado es “Info”, que se configura
con \Protect\config\log4cxx_config_manager.xml.
ContentExtractionHost_FileReader.log Registra el comportamiento de los hosts y de los Servidor

complementos del programa de lectura de archivos de
de extracción de contenido. El nivel de registro detección
predeterminado es “Info”, que se configura con
\Protect\config\log4cxx_config_filereader.xml.
ContentExtractionHost_Manager.log Registra el comportamiento de los host y de los Enforce

complementos del administrador de extracción de Server
contenido. El nivel de registro predeterminado es
“Info”, que se configura con
\Protect\config\log4cxx_config_manager.xml.
DiscoverNative.log.0 Contiene las declaraciones del registro que el código Detecte

nativo de Network Discover/Cloud Storage Discover a los
emite. Contiene actualmente la información que se servidores
relaciona con el análisis de .pst. Este archivo de de
registro se aplica solamente a los servidores Network detección
Discover/Cloud Storage Discover que se ejecutan
en las plataformas de Windows.
FileReader0.log Este archivo de registro pertenece al proceso del Todos

programa de lectura de archivos y contiene el registro los
específico de la aplicación, que puede ser útil en la servidores
resolución de problemas de la detección y la creación de
de incidentes. Un síntoma que aparece son los detección
tiempos de espera del extractor de contenido.
flash_client_0.log Los mensajes de registro del cliente Adobe Flex Enforce

usado para informar riesgos mediante Network Server
Discover.
flash_server_remoting_0.log Contiene los mensajes de registro de BlazeDS, un Enforce

componente de origen abierto que responde a Server
llamadas de procedimiento remoto de un cliente de
Adobe Flex. Este registro indica si Enforce Server
ha recibido mensajes del cliente Flash. En los niveles
de registro permisivos (DETALLADO, MÁS
DETALLADO, EL MÁS DETALLADO), el registro de
BlazeDS contiene el contenido de las solicitudes del
cliente al servidor y el contenido de las respuestas
del servidor al cliente
IncidentPersister0.log Este archivo de registro pertenece al proceso de Enforce

Incident Persister. Este proceso lee incidentes de la Server
carpeta de los incidentes en Enforce Server y los
escribe en la base de datos. Mire este registro si la
cola de incidentes en Enforce Server (administrador)
crece demasiado. Esta situación se puede observar
además seleccionando la carpeta de los incidentes
en Enforce Server para ver si los incidentes tienen
hecha copias de seguridad.
Indexer0.log Este archivo de registro contiene la información Enforce

cuando se indiza un perfil de EDM o el perfil de IDM. Server
Además incluye la información que se recopila (o
cuando se usa el indizador externo. Si el indizado equipo
falla entonces este registro se debe consultar. donde
está en
ejecución
el
indizador
externo)
jdbc.log Este archivo de registro es un rastro de llamadas de Enforce

JDBC a la base de datos. De forma predeterminada, Server
escribir este registro se desactiva.
machinelearning_native_filereader.log Este archivo de registro registra la clasificación de Servidor

categoría del tiempo de ejecución (positiva y de
negativa) y los niveles de confianza asociados para detección
cada mensaje detectado por un perfil de VML. El
nivel de registro predeterminado es “Info”, que se
configura con
\Protect\config\log4cxx_config_filereader.xml.
machinelearning_training_0_0.log Este archivo de registro registra los porcentajes de Enforce

exactitud de la base de tiempo de diseño para las Server
evaluaciones de k-fold para todos los perfiles de
VML.
machinelearning_training_native_manager.log Este archivo de registro registra el número total de Enforce

funciones modeladas en el tiempo de diseño para Server
cada ejecución de aprendizaje de perfil de VML. El
nivel de registro predeterminado es “Info”, que se
configura con
\Protect\config\log4cxx_config_manager.xml.
MonitorController0.log Este archivo de registro es un registro detallado de Enforce

las conexiones entre Enforce Server y los servidores Server
de detección. Da los detalles de la información la
cual se intercambia entre estos servidores, por
ejemplo, si las políticas se han transferido a los
servidores de detección o no.
PacketCapture.log Este archivo de registro pertenece al proceso de Network

captura de paquetes que vuelve a montar los Monitor
paquetes en mensajes y los escribe en el directorio
de drop_pcap. Mire este registro si hay un problema
con los paquetes cortados o el tráfico es más bajo
que lo esperado. PacketCapture no es un proceso
de Java, de forma que no sigue las mismas reglas
de registro que los otros procesos del sistema de
PacketCapture0.log Este archivo de registro describe problemas con las Network

comunicaciones de PacketCapture. Monitor
RequestProcessor0.log Este archivo de registro pertenece a SMTP Prevent Servidores

solamente. El archivo de registro está sobre todo de
para el uso en caso de que SmtpPrevent0.log no detección
sea suficiente. de
SMTP
Prevent
ScanDetail-target-0.log Donde el destino es el nombre del destino del Detecte

análisis. Todo los espacios blancos en el nombre de a los
destino se reemplazan con guiones. Este archivo de servidores
registro pertenece al análisis del servidor de de
detección. Es un registro archivo por archivo que detección
contiene qué sucedió en el análisis. Si el análisis del
archivo es correcto, muestra el resultado correcto y,
a continuación, la ruta, el tamaño, la hora, el
propietario y la información de ACL del archivo
analizado. Si generó errores, una advertencia
aparece seguida por el nombre del archivo.
tomcat\localhost.date.log Estos archivos de registro de Tomcat contienen la Enforce

información para cualquier acción que implique la Server
interfaz de usuario. Los registros incluyen los errores
de interfaz de usuario del cuadro de mensaje de error
rojo, los errores de contraseña al iniciar sesión y los
errores de Oracle (ORA –#).
Pantalla de configuración y recopilación de registros
VontuIncidentPersister.log Este archivo de registro contiene la información Enforce

mínima: stdout y stderr solamente (eventos Server
fatales).
VontuManager.log Este archivo de registro contiene la información Enforce

fatales).
VontuMonitor.log Este archivo de registro contiene la información Todos

mínima: stdout y stderr solamente (eventos los
fatales). servidores
de
detección
VontuMonitorController.log Este archivo de registro contiene la información Enforce

fatales).
VontuNotifier.log Este archivo de registro pertenece al servicio del Enforce

notificador y a sus comunicaciones con Enforce Server
Server y el servicio de MonitorController. Mire
este archivo para ver si el servicio de
MonitorController registró cambios de políticas.
VontuUpdate.log Se completa este archivo de registro cuando se Enforce

actualiza Symantec Data Loss Prevention. Server
Ver "Archivos de registro de depuración del protocolo de Network Prevent for Web"
en la página 376.
Ver "Niveles de registro de Network Prevent for Email" en la página 376.
Pantalla de configuración y recopilación de registros

Use la pantalla Sistema > Servidores y detectores > Registros para recopilar
los archivos de registro o para configurar el comportamiento del registro para
cualquier servidor de Symantec Data Loss Prevention. La pantalla Registros
contiene dos fichas que proporcionan las siguientes funciones:
■ Recopilación : use esta ficha para recopilar los archivos de registro y los
archivos de configuración de uno o más servidores de Symantec Data Loss
Prevention.
Ver "Recopilación de archivos de configuración y registros de servidor"
en la página 367.
Configuración del comportamiento del registro del servidor
■ Configuración : use esta ficha para configurar el comportamiento básico de

registro para un servidor Symantec Data Loss Prevention o aplicar un archivo
de configuración de registro personalizado a un servidor.
Ver "Configuración del comportamiento del registro del servidor" en la página 361.
Configuración del comportamiento del registro del

servidor
Use la ficha Configuración de la pantalla de Sistema > Servidores y detectores
> Registros para cambiar los parámetros de configuración del registro para
cualquier servidor en la implementación de Symantec Data Loss Prevention. El
menú Seleccionar una configuración del registro de diagnóstico proporciona
la configuración previamente establecida para Enforce Server y los parámetros del
registro del servidor de detección. Es posible seleccionar una configuración
disponible configurada previamente para definir niveles comunes del registro o
para habilitar el registro para las funciones comunes del servidor. El menú
Seleccionar una configuración del registro de diagnóstico además proporciona
una configuración predeterminada que devuelve parámetros de configuración del
registro a la configuración predeterminada usada en el momento de la instalación.
Tabla 13-3 describe la configuración preconfigurada del registro disponible para
Enforce Server. Tabla 13-4 describe la configuración preconfigurada disponible
para los servidores de detección.
Opcionalmente, se puede cargar un archivo de configuración personalizado del
registro que se ha creado o modificado usando un programa de edición de texto.
(Use la ficha Recopilación para descargar un archivo de configuración del registro
que desee personalizar). Es posible cargar solamente esos archivos de
configuración que modifiquen las propiedades del registro (los nombres del archivo
que finalizan con Logging.properties). Cuando se carga un nuevo archivo de
configuración del registro a un servidor, el servidor hace primero una copia de
seguridad del archivo de configuración existente del mismo nombre. El archivo
nuevo, entonces, se copia en el directorio de archivo de configuración, y sus
propiedades se aplican de forma inmediata.
No es necesario reiniciar el proceso de servidor para que los cambios surtan efecto,
a menos que le soliciten hacerlo. A partir de la versión de software actual, solamente
los cambios en los archivos PacketCaptureNativeLogging.properties y
DiscoverNativeLogging.properties necesitan que se reinicie el proceso de
servidor.
Asegúrese de que el archivo de configuración que se cargue contenga las

definiciones válidas de las propiedades que sean aplicables al tipo de servidor que
desee configurar. Si incurre en una equivocación al cargar un archivo de
configuración del registro, use la configuración Restaurar valores predeterminados
establecida previamente para revertir la configuración del registro a su estado
original de instalación.
La consola de administración de Enforce Server realiza solamente la validación
mínima de los archivos de configuración del registro que se cargan. Asegura que:
■ Los nombres del archivo de configuración corresponden a los nombres reales
del archivo de configuración del registro.
■ El registro del nivel de raíz esté habilitado en el archivo de configuración. Esta
configuración asegura que cierta funcionalidad básica del registro esté siempre
disponible para un servidor.
■ Las propiedades en el archivo que definen niveles de registro contienen
solamente valores válidos (como INFORMACIÓN, DETALLADO o ADVERTENCIA).
Si el servidor detecta un problema con alguno de estos elementos, muestra un
mensaje de error y cancela la carga del archivo.
Si Enforce Server carga correctamente un cambio del archivo de configuración del
registro a un servidor de detección, la consola de administración informa que se
envió el cambio de configuración. Si el servidor de detección encuentra algún
problema cuando intenta aplicar el cambio de configuración, se registra un evento
del sistema de advertencia para indicar el problema.
Tabla 13-3 Configuración de registro configurada previamente para Enforce

Server
Valor Seleccionar una configuración del registro de Descripción

diagnóstico
Restaurar valores predeterminados Restaura parámetros del archivo de registro a sus valores
predeterminados.
Valor Seleccionar una configuración del registro de Descripción

diagnóstico
Elaboración de informes sobre incidentes de registro Registra todo el mensaje de solicitud y respuesta SOAP
de SOAP de API para la mayoría de las solicitudes al servicio web de API
de elaboración de informes de incidentes. Los mensajes
registrados se almacenan en el archivo
webservices_soap.log. Para comenzar a registrar
este archivo, edite el archivo
c:\SymantecDLP\Protect\config\ManagerLogging.properties
para configurar la propiedad com.vontu.enforce.
reportingapi.webservice.log.
WebServiceSOAPLogHandler.level en INFO.
Es posible usar los contenidos de

webservices_soap.log para diagnosticar problemas
al desarrollar clientes del servicio web de API de
elaboración de informes sobre incidentes. Consulte la
Guía para desarrolladores de API de elaboración de
informes sobre incidentes de Symantec Data Loss
Registro de búsqueda de atributos personalizados Registra la información de diagnóstico cada vez que
Enforce Server usa un complemento de búsqueda para
completar los atributos personalizados para un incidente.
Los complementos de búsqueda completan datos
personalizados del atributo usando LDAP, archivos CSV
u otros repositorios de datos. La información de
diagnóstico se registra en el archivo de registro de Tomcat
(\SymantecDLP\logs\tomcat\localhost.date.log)
y el archivo IncidentPersister_0.log.
Ver "Acerca de los atributos personalizados"

en la página 1661.
Ver "Acerca de cómo lugar atributos personalizados"

en la página 1663.
Tabla 13-4 Configuración de registro configurada previamente para servidores

de detección
Valor Seleccionar una Usos del servidor de detección Descripción

configuración del registro de
diagnóstico
Restaurar valores predeterminados Todos los servidores de detección Restaura parámetros del archivo de
registro a sus valores
predeterminados.
Detectar registro de rastreo Servidores Network Discover Habilita el registro informativo para los
análisis de Network Discover. Estos
mensajes de registro se almacenan
en FileReader0.log.
Detección de registro de rastreo Todos los servidores de detección Registra información sobre cada
mensaje que procesa el servidor de
detección. Incluye información como:
■ Las políticas que fueron aplicadas

al mensaje
■ Las reglas de políticas que
coincidieron con el mensaje
■ La cantidad de incidentes que
generó el mensaje.
Cuando se habilita Detección de

registro de rastreo, los mensajes
resultantes se almacenan en el
archivo
detection_operational_trace_0.log.
Nota: El registro del rastro puede
presentar una gran cantidad de datos,
y los datos se almacenan en formato
de texto no cifrado. Use el registro de
rastro cuando necesite depurar un
problema específico.

diagnóstico
Registro de depuración de captura Servidores Network Monitor Habilita el registro de depuración

de paquetes básico para la captura de paquetes
con Network Monitor. Esta
configuración registra la información
en el archivo PacketCapture.log.
Mientras que este tipo de registro

puede presentar una gran cantidad de
datos, la configuración Registro de
depuración de captura de paquetes
limita el tamaño del archivo de registro
a 50 MB y el número máximo de
archivos de registro a 10.
Si aplica esta configuración del

registro a un servidor, deberá reiniciar
el proceso de servidor para habilitar
el cambio.
Registro de prevención de correo Network Prevent for Email Servers Habilita el registro de mensajes
electrónico completos para Network Prevent for
Email Servers. Esta configuración
registra el contenido de mensaje
completo e incluye la ejecución y la
información del seguimiento del error.
La información registrada se almacena
en el archivo SmtpPrevent0.log.
Nota: El registro del rastro puede
presentar una gran cantidad de datos,
y los datos se almacenan en formato
de texto no cifrado. Use el registro de
rastro cuando necesite depurar un
problema específico.
Ver "Códigos de registro operativos

de Network Prevent for Email"
en la página 377.
Ver "Respuestas y códigos originados

en Network Prevent for Email"
en la página 380.

diagnóstico
Registro de procesamiento de Network Prevent for Web Servers Habilita el registro operativo y de
mensajes de prevención de ICAP acceso para Network Prevent for Web.
Esta configuración registra la
información en el archivo
FileReader0.log.
Ver "Archivos de registro operativos y

códigos de eventos de Network
Prevent for Web" en la página 372.
Ver "Network Prevent for Web

archivos de registro y campos del
acceso" en la página 374.
Siga este procedimiento para cambiar la configuración del registro para un servidor
Para configurar las propiedades del registro para un servidor
1 Haga clic en la ficha Configuración si no está seleccionada ya.
2 Si desea configurar las propiedades del registro para un servidor de detección,
seleccione el nombre del servidor desde el menú Seleccionar un servidor
de detección.
3 Si desea aplicar la configuración configurada previamente del registro a un
servidor, seleccione el nombre de configuración del menú Seleccione una
configuración de diagnóstico al lado del servidor que desee configurar.
Consulte Tabla 13-3 y Tabla 13-4 para obtener una descripción de la
configuración de diagnóstico.
4 Si, en cambio, desea usar un archivo de configuración personalizado del
registro, haga clic en Examinar… al lado del servidor que desee configurar.
A continuación, seleccione el archivo de configuración del registro para usar
desde el cuadro de diálogo Carga de archivo y haga clic en Abrir. Se cargan
solamente los archivos de configuración de registro y no los archivos de
configuración que afectan otras funciones de servidor.
Nota: Si el botón Examinar no está disponible debido a una selección de menú

anterior, haga clic en Borrar formulario.
Recopilación de archivos de configuración y registros de servidor
5 Haga clic en Configurar registros para aplicar la configuración configurada

previamente o el archivo de configuración personalizado del registro al servidor
seleccionado.
6 Compruebe la existencia de cualquier evento del sistema de advertencia que
indique un problema para aplicar cambios de configuración en un servidor.
Ver "Pantalla de configuración y recopilación de registros" en la página 360.
Nota: Los siguientes archivos del registro de depuración se configuran manualmente

fuera del marco de registro disponible mediante la consola de administración de
Enforcer Server: ContentExtractionAPI_FileReader.log,
ContentExtractionAPI_Manager.log, ContentExtractionHost_FileReader.log,
ContentExtractionHost_Manager.log,
machinelearning_native_filereader.log y
machinelearning_training_native_manager.log. Consulte la entrada para cada
uno de estos archivos de registro en la lista de archivos del registro de depuración
para obtener detalles de configuración. Ver "Archivos de registro de depuración"
en la página 356.
Recopilación de archivos de configuración y registros

de servidor
Use la ficha Recopilación de la pantalla Sistema > Servidores y detectores >
Registros para recopilar los archivos de registro y los archivos de configuración
de uno o más servidores de Symantec Data Loss Prevention. Es posible recopilar
los archivos de un único servidor de detección o de todos los servidores de
detección, así como del equipo con Enforce Server. Es posible limitar los archivos
recopilados solamente a aquellos archivos que se actualizaron últimamente en un
rango especificado de fechas.
La consola de administración de Enforce Server almacena todo el registro y la
configuración de archivos que se recopila en un único archivo ZIP en el equipo
con Enforce Server. Si recupera los archivos de varios servidores de Symantec
Data Loss Prevention, los archivos de cada servidor se almacenan en un
subdirectorio independiente del archivo ZIP.
Las casillas de selección en la ficha Recopilación permiten recopilar diversos tipos
de archivos de los servidores seleccionados. Tabla 13-5 describe cada tipo de
archivo.
Tabla 13-5 Tipos de archivos para recopilación
Tipo de Descripción
archivo
Registros Los archivos de registro operativo registran información detallada sobre las tareas que el software
operativos realiza y cualquier error que se produzca mientras el software realiza esas tareas. Es posible usar
los contenidos de los archivos de registro operativo para verificar que el software funcione como se
espera. Puede también usar estos archivos para solucionar problemas en la manera que el software
se integra con otros componentes del sistema.
Por ejemplo, se pueden usar los archivos de registro operativo para verificar que un Network Prevent
for Email Server se comunica con un MTA específico en la red.
Registros de Los archivos de registro de depuración registran detalles técnicos minuciosos sobre los procesos o
depuración y los componentes del software individuales que comprenden Symantec Data Loss Prevention. Los
rastreo contenidos de los archivos de registro de depuración no tienen como objetivo diagnosticar los errores
de configuración del sistema ni verificar la funcionalidad prevista del software. No es necesario
examinar los archivos de registro de depuración para administrar o mantener la instalación de
Symantec Data Loss Prevention. Sin embargo, el Soporte de Symantec puede solicitarle que
proporcione archivos de registro de depuración para análisis adicional cuando se informa un problema.
Algunos archivos de registro de depuración no se crean de forma predeterminada. El Soporte de
Symantec puede explicarle cómo configurar el software para crear el archivo si es necesario.
Tipo de Descripción
archivo
Archivos de Use la opción Archivos de configuración para recuperar archivos de configuración de funciones
configuración del servidor y archivos de configuración del registro.
Los archivos de configuración del registro definen el nivel general de detalle del registro que se
registra en archivos de registro del servidor. Los archivos de configuración del registro además
determinan si las funciones o los eventos específicos del subsistema están registrados en archivos
de registro.
Por ejemplo, de forma predeterminada, la consola Enforcer no registra mensajes de SOAP que se
generan a partir de clientes del servicio web de API de elaboración de informes sobre incidentes.
El archivo ManagerLogging.properties contiene una propiedad que habilita el registro de
mensajes SOAP.
Es posible modificar muchas propiedades de configuración de registro comunes con los valores
predefinidos que están disponibles en la ficha Configuración.
Si desea actualizar manualmente un archivo de configuración del registro, use la casilla de selección
Archivos de configuración para descargar los archivos de configuración para un servidor. Es
posible modificar las propiedades de registro individuales con un editor de texto y usar la ficha
Configuración para cargar el archivo modificado en el servidor.
La opción de Archivos de configuración recupera los archivos de configuración de registro activo

y cualquier archivo de configuración del registro de copia de seguridad que se haya creado cuando
se usó la ficha Configuración. Esta opción además recupera los archivos de configuración de
funciones del servidor. Los archivos de configuración de funciones del servidor afectan diversos
aspectos del comportamiento del servidor, como la ubicación de un servidor Syslog o la configuración
de comunicación del servidor. Es posible recopilar estos archivos de configuración para ayudar a
diagnosticar problemas o verificar la configuración del servidor. Sin embargo, no se puede usar la
ficha Configuración para cambiar los archivos de configuración de funciones del servidor. Es posible
usar solamente la ficha para cambiar los archivos de configuración del registro.
Registros del Use la opción Registros del agente para recopilar los archivos de registro operativos y de servicio
agente del Agente DLP de un servidor de detección Endpoint Prevent. Esta opción está disponible solamente
para los Endpoint Prevent Server. Para recopilar registros de agente con esta opción, es necesario
extraer los archivos de registro de los agentes individuales al servidor de detección Endpoint Prevent
que usa una acción Extraer registros.
Use la pantalla Lista de agentes para seleccionar agentes individuales y extraer archivos de registro
seleccionados en el servidor de detección de Endpoint Prevent. A continuación, use la opción
Registros del agente en esta página para recopilar los archivos de registro.
Cuando los registros se extraen del endpoint, se almacenan en el servidor de endpoints en un

formato sin cifrar. Una vez recopilados los registros del servidor de endpoints, los registros se eliminan
del servidor de endpoints y se almacenan solamente en Enforce Server. Es posible recopilar registros
solamente de un endpoint por vez.
Ver "Uso de la pantalla Lista de agentes" en la página 2187.

Los archivos de registro operativos de seguimiento y depuración se almacenan en

el subdirectorio server_identifier/logs del archivo ZIP. server_identifier identifica
el servidor que generó los archivos de registro y corresponde a uno de los siguientes
valores:
■ Si recopila los archivos de registro de Enforce Server, Symantec Data Loss
Prevention reemplaza server_identifier con la cadena Enforcer. Tenga en
cuenta que Symantec Data Loss Prevention no usa el nombre localizado de
Enforce Server.
■ Si un nombre de servidor de detección incluye solamente caracteres ASCII,
Symantec Data Loss Prevention usa el nombre de servidor de detección para
el valor server_identifier.
■ Si un nombre de servidor de detección contiene caracteres que no son ASCII,
Symantec Data Loss Prevention usa la cadena DetectionServer-ID-id_number
para el valor server_identifier. id_number es un número de identificación
exclusivo para el servidor de detección.
Si recopila los archivos de registro de servicio del agente o los archivos de registro
operativos de un Endpoint Prevent Server, los archivos se colocan en el
subdirectorio server_identifier/agentlogs. Cada archivo de registro del agente
usa un nombre de agente individual como el prefijo del archivo de registro.
Siga este procedimiento para recopilar archivos de registro y archivos de
configuración de registro de los servidores de Symantec Data Loss Prevention.
Para recopilar archivos de registro de uno o más servidores
1 Haga clic en la ficha Recopilación si no está seleccionada ya.
2 Use el menú Rango de fechas para seleccionar un rango de fechas para los
archivos que desea recopilar. Tenga en cuenta que el proceso de recopilación
no trunca los archivos de registro descargados de ninguna manera. El rango
de fecha limita los archivos recopilados a los archivos que se actualizaron
últimamente en el rango especificado.
3 Para recopilar los archivos de registro de Enforce Server, seleccione una o
más casillas de selección junto a la entrada Enforce Server para indicar el
tipo de archivos que desea recopilar.
4 Para recopilar los archivos de registro de uno de los servidores de detección
o de todos ellos, use el menú Seleccionar un servidor de detección para
seleccionar el nombre de un servidor de detección o la opción Recopilar
registros de todos los servidores de detección. A continuación, seleccione
una o más casillas de selección junto al menú para indicar el tipo de archivos
que desea recopilar.
Acerca de los códigos de eventos de registro
5 Haga clic en Recopilar registros para iniciar el proceso de recopilación del

registro.
La consola de administración agrega una nueva entrada al proceso de
recopilación de registros en la lista Recopilaciones de registros previas en
la parte inferior de la pantalla. Si está recuperando muchos archivos de registro,
es posible que sea necesario actualizar la pantalla periódicamente para
determinar cuándo se completa el proceso de recopilación de registros.
Nota: Es posible ejecutar solamente un proceso de recopilación de registros

por vez.
6 Para cancelar un proceso activo de recopilación de registros, haga clic en

Cancelar junto a la entrada de recopilación de registros. Es posible que sea
necesario cancelar la recopilación de registros si uno o más servidores están
desconectados y el proceso de recopilación no puede completarse. Cuando
cancela la recopilación de registros, el archivo ZIP contiene solamente aquellos
archivos que se recopilaron correctamente.
7 Para descargar registros recopilados a su equipo local, haga clic en Descargar
junto a la entrada de recopilación de registros.
8 Para eliminar los archivos ZIP almacenados en Enforce Server, haga clic en
Eliminar junto a la entrada de recopilación de registros.

Los mensajes de los archivos de registro operativos se formatean para que
coincidan con los estándares de la industria para los diversos protocolos implicados.
Estos mensajes de registro contienen los códigos de eventos que describen la
tarea específica que el software intentaba realizar cuando el mensaje fue registrado.
Los mensajes de registro generalmente se formatean de la siguiente manera:
Timestamp [Log Level] (Event Code) Event description [event parameters]
■ Ver "Archivos de registro operativos y códigos de eventos de Network Prevent

for Web" en la página 372.
■ Ver "Códigos de registro operativos de Network Prevent for Email"
en la página 377.
■ Ver "Respuestas y códigos originados en Network Prevent for Email"

en la página 380.
Archivos de registro operativos y códigos de eventos de Network

Prevent for Web
Los nombres del archivo de registro Network Prevent for Web usan el formato
WebPrevent_OperationalX.log (donde X es un número). La cantidad de archivos
que se almacenen y sus tamaños se pueden especificar cambiando los valores en
el archivo FileReaderLogging.properties. Este archivo está en el directorio
SymantecDLP\Protect\config. De forma predeterminada, los valores son los
siguientes:
■ com.vontu.icap.log.IcapOperationalLogHandler.limit = 5.000.000
■ com.vontu.icap.log.IcapOperationalLogHandler.count = 5
Tabla 13-6 enumera los códigos de registro operativo de Network Prevent for Web
definidos por categoría. La parte del texto en letra itálica contiene parámetros de
eventos.
Tabla 13-6 Códigos de estado para registros operativos de Network Prevent for
Web
Código Texto y descripción
Eventos operativos
1100 Starting Network Prevent for Web
1101 Shutting down Network Prevent for Web
Eventos de conectividad
1200 Listening for incoming connections at

icap_bind_address:icap_bind_port
Donde:
■ icap_bind_address es la dirección enlazada de Network Prevent for Web con

la que el servidor escucha. Esta dirección se especifica con la configuración
avanzada Icap.BindAddress.
■ icap_bind_port es el puerto en el cual el servidor escucha. Este puerto se
configura en la página Servidor > Configurar.
Código Texto y descripción
1201 Connection (id=conn_id) opened from

host(icap_client_ip:icap_client_port)
Donde:
■ conn_id es la Id. de conexión que se asigna a esta conexión. Esta Id. puede
ser útil al hacer correlaciones entre varios registros.
■ icap_client_ip e icap_client_port son la dirección IP del proxy y el puerto desde
donde se ejecutó la operación de conexión a Network Prevent for Web.
1202 Connection (id=conn_id) closed (close_reason)
Donde:
■ conn_id es la Id. de conexión que se asigna a la operación de conexión.

■ close_reason proporciona el motivo para cerrar la conexión.
1203 Connection states: REQMOD=N, RESPMOD=N,

OPTIONS=N, OTHERS=N
Donde N indica la cantidad de conexiones en cada estado cuando el mensaje fue

registrado.
Este mensaje proporciona el estado del sistema en términos de administración de

conexión. Se registra siempre que se abre o cierra una conexión.
Errores de conectividad
5200 Failed to create listener at icap_bind_address:icap_bind_port
Donde:
■ icap_bind_address es la dirección enlazada de Network Prevent for Web con

la que el servidor escucha. Esta dirección se puede especificar con la
configuración avanzada Icap.BindAddress.
■ icap_bind_port es el puerto en el cual el servidor escucha. Este puerto se
configura en la página Servidor > Configurar.
5201 Connection was rejected from unauthorized host (host_ip:port)
Donde host_ip y port son la dirección IP del sistema proxy y del puerto desde donde
se realizó un intento de conexión a Network Prevent for Web. Si el host no se detalla
en la configuración avanzada Icap.AllowHosts, no puede establecer una conexión.

Network Prevent for Web archivos de registro y campos del acceso

Los nombres del archivo de registro Network Prevent for Web usan el formato
WebPrevent_AccessX.log (donde X es un número). La cantidad de archivos que
se almacenen y sus tamaños se pueden especificar cambiando los valores en el
archivo FileReaderLogging.properties. De forma predeterminada, los valores son
los siguientes:
■ com.vontu.icap.log.IcapAccessLogHandler.limit = 5.000.000
■ com.vontu.icap.log.IcapAccessLogHandler.count = 5
Un registro de acceso de Network Prevent for Web es similar al registro de acceso
web de un servidor proxy. El formato del mensaje de registro de “inicio” es:
# Web Prevent starting: start_time
Donde el formato hora_inicio es fecha:hora, por ejemplo:

13/agost/2008:03:11:22:015-0700.
El formato del mensaje de descripción es:
# host_ip "auth_user" time_stamp "request_line" icap_status_code

request_size "referer" "user_agent" processing_time(ms) conn_id client_ip
client_port action_code icap_method_code traffic_source_code
Tabla 13-7 enumera los campos. Los valores de los campos que se incluyen entre
comillas en este ejemplo se citan de un mensaje real. Si los valores del campo no
pueden ser determinados, el mensaje muestra - o "" como valor predeterminado.
Tabla 13-7 Campos del registro del acceso de Network Prevent for Web
Campos Explicación
host_ip Dirección IP del host que hizo la solicitud.
auth_user Usuario autorizado para esta solicitud.
time_stamp Hora en que Network Prevent for Web recibe la solicitud.
request_line Línea que representa la solicitud.
icap_status_code Código de respuesta ICAP que Network Prevent for Web envía
por esta solicitud.
request_size Tamaño de la solicitud en bytes.
remitidor Valor de encabezado de la solicitud que contiene el URI del cual

proviene esta solicitud.
Campos Explicación
user_agent Agente de usuario que se asocia a la solicitud.
processing_time Tiempo de procesamiento de la solicitud en milisegundos. Este

(milisegundos) valor es el tiempo total de la recepción, la inspección del contenido
y el envío.
conn_id Id. de conexión asociada a la solicitud.
client_ip IP del cliente ICAP (proxy).
client_port Puerto del cliente ICAP (proxy).
action_code Un número entero que representa las acciones que toma Network
Prevent for Web. Donde el código de acción es uno de los
siguientes:
■ 0 = UNKNOWN
■ 1 = ALLOW
■ 2 = BLOCK
■ 3 = REDACT
■ 4 = ERROR
■ 5 = ALLOW_WITHOUT_INSPECTION
■ 6 = OPTIONS_RESPONSE
■ 7 = REDIRECT
icap_method_code Un número entero que representa el método de ICAP que se

asocia a esta solicitud. Donde el código del método ICAP acción
es uno de los siguientes:
■ -1 = ILLEGAL
■ 0 = OPTIONS
■ 1 = REQMOD
■ 2 = RESPMOD
■ 3 = LOG
traffic_source_code Un número entero que representa el origen del tráfico de red.

Donde el código fuente del tráfico es uno de los siguientes:
■ 1 = WEB
■ 2 = UNKNOWN

Archivos de registro de depuración del protocolo de Network Prevent

for Web
Para habilitar el registro de rastreo de ICAP, establezca la configuración avanzada
Icap.EnableTrace en true y use la configuración avanzada Icap.TraceFolder para
especificar un directorio para recibir los seguimientos. El servicio Symantec Data
Loss Prevention se debe reiniciar para que se aplique este cambio.
Los archivos de rastreo que se ponen en el directorio especificado tienen nombres
de archivo en el formato: marca de fecha-id_con. La primera línea de un archivo
de rastreo proporciona la información sobre la dirección IP y el puerto del host de
conexión junto con una marca de fecha. Los datos de archivo que se leen del
zócalo se muestran en el formato <<marca de fecha, cantidad_de_bytes_leídos.
Los datos que se escriben en el zócalo se muestran en el formato >>marca de
fecha, cantidad_de_bytes_escritos. La última línea debe indicar que la conexión
se ha cerrado.
Nota: El registro de rastreo presenta una gran cantidad de datos y, por lo tanto,
necesita una gran cantidad de espacio de almacenamiento libre en disco. El registro
de rastreo debe usarse solamente para depurar un problema porque los datos que
se escriben en el archivo están en texto sin formato.
Niveles de registro de Network Prevent for Email

Los nombres del archivo de registro Network Prevent for Email usan el formato
EmailPrevent_OperationalX.log (donde X es un número). La cantidad de archivos
que se almacenen y sus tamaños se pueden especificar cambiando los valores en
el archivo FileReaderLogging.properties. De forma predeterminada, los valores
son los siguientes:
■ com.vontu.mta.log.SmtpOperationalLogHandler.limit = 5.000.000
■ com.vontu.mta.log.SmtpOperationalLogHandler.count = 5
En diversos niveles de registro, los componentes en el com.vontu.mta.rp ofrecen
niveles variados de detalle. La configuración com.vontu.mta.rp.level especifica los
niveles de registro en el archivo RequestProcessorLogging.properties que se
almacena en el directorio SymantecDLP\Protect\config. Por ejemplo,
com.vontu.mta.rp.level = FINE especifica el nivel de detalle FINO.
Tabla 13-8 describe los niveles de registro de Network Prevent for Email.
Tabla 13-8 Niveles de registro de Network Prevent for Email
Nivel Instrucciones
INFORMACIÓN Eventos de generales: avisos de conexión y desconexión, información

sobre los mensajes que se procesan por conexión.
DETALLADO Información adicional de rastreo de la ejecución.
FINER Secuencias de comandos, encabezados de mensajes, resultados de la

detección.
FINEST Contenido de mensaje completo, mayor ejecución de rastreo y rastreo

de error.
Códigos de registro operativos de Network Prevent for Email

Tabla 13-9 enumera los códigos de registro por categoría de Network Prevent for
Email.
Tabla 13-9 Códigos de estado de los registros operativos de Network Prevent

for Email
Código Descripción
Eventos principales
1100 Starting Network Prevent for Email
1101 Shutting down Network Prevent for Email
1102 Reconnecting to FileReader (tid=id)
Donde id es el identificador del subproceso.
RequestProcessor intenta restablecer su conexión con FileReader para la

detección.
1103 Reconnected to the FileReader successfully (tid=id)
RequestProcessor pudo restablecer la conexión con FileReader.
Errores principales
5100 Could not connect to the FileReader (tid=id timeout=.3s)
Un intento de volver a conectar a FileReader falló.

5101 FileReader connection lost (tid=id)
La conexión de RequestProcessor con FileReader se perdió.
Eventos de conectividad
1200 Listening for incoming connections (local=hostname)
nombre_del_host es una dirección IP o un nombre de dominio completamente

calificado.
1201 Connection accepted (tid=id cid=N

local=hostname:port
remote=hostname:port)
Donde N es el identificador de conexión.
1202 Peer disconnected (tid=id cid=N

local=hostname:port
1203 Forward connection established (tid=id cid=N

local=hostname:port
1204 Forward connection closed (tid=id cid=N

local=hostname:port
1205 Service connection closed (tid=id cid=N

local=hostname:port
remote=hostname:port messages=1 time=0.14s)
Errores de conectividad
5200 Connection is rejected from the unauthorized host (tid=id

local=hostname:port
5201 Local connection error (tid=id cid=N

local=hostname:port
remote=hostname:port reason=Explanation)
5202 Sender connection error (tid=id cid=N

local=hostname:port
5203 Forwarding connection error (tid=id cid=N

local=hostname:port
5204 Peer disconnected unexpectedly (tid=id cid=N

local=hostname:port
5205 Could not create listener (address=local=hostname:port

reason=Explanation)
5206 Authorized MTAs contains invalid hosts: hostname,

hostname, ...
5207 MTA restrictions are active, but no MTAs are authorized

to communicate with this host
5208 TLS handshake failed (reason=Explanation tid=id cid=N

local=hostname remote=hostname)
5209 TLS handshake completed (tid=id cid=N

5210 All forward hosts unavailable (tid=id cid=N

reason=Explanation)
5211 DNS lookup failure (tid=id cid=N

NextHop=hostname reason=Explanation)
5303 Failed to encrypt incoming message (tid=id cid=N

5304 Failed to decrypt outgoing message (tid=id cid=N

Eventos del mensaje
1300 Message complete (cid=N message_id=3 dlp_id=message_identifier

size=number sender=email_address recipient_count=N
disposition=response estatus=statuscode rtime=N
dtime=N mtime=N
Donde:
■ destinatario_cantidad es el número total de destinatarios en los campos Para,

CC y BCC.
■ La respuesta es la respuesta de Network Prevent for Email que puede ser:
PASS, BLOCK, BLOCK_AND_REDIRECT, REDIRECT, MODIFY, or ERROR.
■ El estado es un código de estado mejorado.
Ver "Respuestas y códigos originados en Network Prevent for Email"
en la página 380.
■ rtime es el tiempo en segundos para que Network Prevent for Email reciba
completamente el mensaje del MTA de envío.
■ dtime es el tiempo en segundos para que Network Prevent for Email realice
la detección en el mensaje.
■ mtime es el tiempo total para que Network Prevent for Email procese el mensaje
Errores del mensaje.
Errores del mensaje
5300 Error while processing message (cid=N message_id=header_ID

dlp_id=message_identifier size=0 sender=email_address
recipient_count=N disposition=response estatus=statuscode
rtime=N dtime=N mtime=N reason=Explanation
Donde id_encabezado es un encabezado de Id. de mensaje RFC 822 si existe.
5301 Sender rejected during re-submit
5302 Recipient rejected during re-submit
Respuestas y códigos originados en Network Prevent for Email

Network Prevent for Email origina las siguientes respuestas. Otras respuestas del
protocolo se esperan como respuestas de secuencias de comandos de
retransmisiones de Network Prevent for Email desde el MTA de dirección hasta el
MTA de envío. Tabla 13-10 muestra las respuestas que ocurren en las situaciones
donde Network Prevent debe anular el MTA de recepción. Además, muestra las
situaciones donde Network Prevent genera una respuesta específica ante un evento
que no se retransmite desde el canal de bajada.
“Estado mejorado” es el código de estado mejorado RFC1893 asociado a la
respuesta.
Tabla 13-10 Respuestas originadas de Network Prevent for Email
Código Estado Texto Descripción

mejorado
250 2.0.0 Ok: Carry on. Código de resultado correcto que usa Network
Prevent for Email.
221 2.0.0 Service El código de terminación normal de conexión que

closing. Network Prevent for Email genera si se recibe la
solicitud SALIR cuando no hay una conexión MTA
de dirección activa.
451 4.3.0 Error: Esta respuesta de error “general y transitorio” se

Processing emite cuando se presenta una condición de error
error. recuperable (potencialmente). Se emite esta
respuesta de error cuando una respuesta de error
más específica no está disponible. A menudo,
las conexiones de dirección están cerradas y su
finalización inesperada es a causa de un código
451, estado 4.3.0. Sin embargo, las conexiones
de envío deben seguir estando abiertas cuando
se presenta tal condición, a menos que el MTA
de envío elija finalizar la operación.
421 4.3.0 Fatal: Esta respuesta de error “general e irrecuperable”

Processing se emite cuando se presenta una condición de
error. error fatal e irrecuperable. Este error da lugar a
Closing la finalización inmediata de cualquier conexión
connection. del remitente o del receptor.
421 4.4.1 Fatal: Indica que un intento de conexión con el MTA de

Forwarding dirección fue rechazado o no se pudo establecer
agent correctamente.
unavailable.

mejorado
421 4.4.2 Fatal: Conexión cerrada. La conexión del MTA de

Connection dirección se perdió en un estado donde no se
lost to puede continuar la conexión con el MTA de envío.
forwarding La pérdida ocurre generalmente en el medio del
agent. encabezado del mensaje o búfer del cuerpo. La
conexión se finaliza de forma inmediata.
451 4.4.2 Error: La conexión del MTA de dirección se perdió en

Connection un estado que puede ser recuperable si la
lost to conexión puede ser restablecida. Se mantiene la
forwarding conexión del MTA de envío, a menos que elija
agent. finalizarla.
421 4.4.7 Error: El último comando emitido no recibió una

Request respuesta dentro de la ventana de tiempo que se
timeout define en
exceeded. RequestProcessor.DefaultCommandTimeout. (La
ventana de tiempo puede ser desde
RequestProcessor.DotCommandTimeout si el
comando emitido era “.”). La conexión se cierra
de forma inmediata.
421 4.4.7 Error: La conexión estaba inactiva (ningún comando

Connection espera activamente una respuesta) durante más
timeout tiempo que el que se define en la ventana de
exceeded. tiempo
RequestProcessor.DefaultCommandTimeout.
501 5.5.2 Fatal: Una infracción irrecuperable del protocolo de

Invalid SMTP (o las restricciones que se ponen) ocurrió.
transmission No se espera que la infracción cambie en un
request. intento del mensaje reenviado. Este mensaje se
emite solamente en respuesta a un único
comando o una línea de datos que exceden los
límites que se definen en
RequestProcessor.MaxLineLength.
502 5.5.1 Error: Definido, pero no usado actualmente.

Unrecognized
command.

mejorado
550 5.7.1 User Esta combinación de código y estado indica que

Supplied. se ha dedicado una regla de respuesta de
bloqueo. El texto que se devuelve se proporciona
como parte de la definición de la regla de
respuesta.
Tenga en cuenta que un código 4xx y un estado mejorado 4.x.x indican un error
temporal. En estos casos, el MTA puede volver a enviar el mensaje a Network
Prevent for Email Server. Un código 5xx y un estado mejorado 5.x.x indican un
error permanente. En estos casos, el MTA debe tratar el mensaje como no
entregable.
Capítulo 14
Cómo usar las utilidades de
Symantec Data Loss
Prevention
■ Acerca de las utilidades de Symantec Data Loss Prevention
■ Acerca de utilidades de endpoint
■ Acerca de DBPasswordChanger
Acerca de las utilidades de Symantec Data Loss

Prevention
Symantec proporciona un conjunto de utilidades para ayudar a usuarios a realizar
esas tareas que se realizan con poca frecuencia. Las utilidades se usan típicamente
para realizar la solución de problemas y tareas de mantenimiento. Además se usan
para elaborar datos y archivos para el uso con el software de Symantec Data Loss
Prevention.
Las utilidades de Symantec Data Loss Prevention se proporcionan para los sistemas
operativos de Windows y de Linux. Se usa la línea de comandos para ejecutar las
utilidades en ambos sistemas operativos. Las utilidades actúan de la misma manera
sin importar el sistema operativo.
Tabla 14-1 describe cómo y cuándo usar cada utilidad.
Cómo usar las utilidades de Symantec Data Loss Prevention 385
Acerca de utilidades de endpoint
Tabla 14-1 Utilidades de Symantec Data Loss Prevention
Nombre Descripción
DBPasswordChanger Cambia la clave cifrada que Enforce Server usa para conectarse a la base de datos de Oracle.
Ver "Acerca de DBPasswordChanger" en la página 386.
sslkeytool Genera las claves de la autenticación personalizadas para mejorar la seguridad de los datos
que se transmiten entre Enforce Server y los servidores de detección. Las claves de la
autenticación personalizadas se deben copiar a cada servidor de Symantec Data Loss
Prevention.
Consulte el tema "Acerca de la utilidad sslkeytool y los certificados de servidor" en Guía de

instalación de Symantec Data Loss Prevention.
Indizador previo de Indiza una base de datos SQL o ejecuta una consulta SQL en las tablas de datos específicas
SQL dentro de la base de datos. Esta utilidad está diseñada para canalizar su salida directamente
a la utilidad del indizador de EDM remoto.
Ver "Acerca del indizador previo de SQL" en la página 574.
Indizador de EDM Convierte un archivo de datos separados por comas o delimitados por tabulaciones en un
remoto índice de coincidencia de datos exactos. La utilidad se puede ejecutar en un equipo remoto
para proporcionar la misma funcionalidad de indización que está disponible localmente en
Enforce Server.
Esta utilidad es de uso frecuente con el indizador previo de SQL. El indizador previo de SQL
puede ejecutar una consulta SQL y pasar los datos resultantes directamente al indizador de
EDM remoto para crear un índice de EDM.
Ver "Acerca del indizador de EDM remoto" en la página 573.
Acerca de utilidades de endpoint

Tabla 14-2 describe las utilidades que se aplican a los productos de endpoint.
Ver "Acerca de la administración de contraseñas del agente"en la página
2257 en la página 2257.
Tabla 14-2 Utilidades de endpoint
Nombre Descripción
Service_Shutdown.exe Esta utilidad permite a un administrador desactivar el agente y los servicios de vigilancia en
un endpoint. (Como medida de prueba contra intervenciones, no es posible que un usuario
detenga el agente o el servicio de vigilancia).
Ver "Cerrar el agente y los servicios de vigilancia en los endpoints de Windows"

en la página 2260.
Acerca de DBPasswordChanger
Nombre Descripción
Vontu_sqlite3.exe Esta utilidad proporciona una interfaz SQL que le permite ver o modificar los archivos de
base de datos cifrados que el Agente Symantec DLP usa. Use esta herramienta cuando
desee investigar o realizar cambios a los archivos de Symantec Data Loss Prevention.
Ver "Cómo examinar los archivos de base de datos a los que accede el agente"
en la página 2262.
Logdump.exe Esta herramienta le permite ver los archivos de registro ampliados del Agente Symantec
DLP, que están ocultos por motivos de seguridad.
Ver "Visualización de archivos de registro extendidos" en la página 2263.
Start_agent Esta utilidad permite a un administrador iniciar agentes que se ejecutan en endpoints Mac
que se han apagado usando la tarea de cierre.
Ver "Iniciar agentes DLP que se ejecutan en endpoints de Mac" en la página 2269.
Symantec Data Loss Prevention almacena las claves cifradas en la base de datos
de Oracle en un archivo denominado DatabasePassword.properties, ubicado en
c:\SymentecDLP\Protect\config (Windows) o
/opt/SymantecDLP/Protect/config (Linux). Como los contenidos del archivo se
cifran, no se puede modificar directamente el archivo. La utilidad
DBPasswordChanger cambia las contraseñas de base de datos almacenadas de
Oracle que Enforce Server usa.
Antes de que pueda usar DBPasswordChanger para cambiar la contraseña a la
base de datos de Oracle es necesario:
■ Apagar Enforce Server.
■ Cambiar la contraseña de la base de datos de Oracle usando las utilidades de
Oracle.
Ver "Ejemplo de uso de DBPasswordChanger" en la página 387.
Sintaxis de DBPasswordChanger
La utilidad DBPasswordChanger usa la sintaxis siguiente:
DBPasswordChanger password_file new_oracle_password
Los parámetros de la línea de comandos son necesarios. La tabla siguiente describe

cada parámetro de la línea de comandos.
Ver "Ejemplo de uso de DBPasswordChanger" en la página 387.
Tabla 14-3 Parámetros de línea de comandos DBPasswordChanger
Parámetro Descripción
password_file Especifica el archivo que contiene la contraseña

cifrada. De forma predeterminada, este archivo se
llama DatabasePassword.properties y es
almacenado en
\SymantecDLP\Protect\config (Windows)
u /opt/SymantecDLP/Protect/config
(Linux).
new_oracle_password Especifica la nueva contraseña de Oracle para

cifrar y para almacenar.
Ejemplo de uso de DBPasswordChanger

Si Symantec Data Loss Prevention fue instalado en la ubicación predeterminada,
la utilidad DBPasswordChanger se encuentra en c:\SymantecDLP\Protect\bin
(Windows) u /opt/SymantecDLP/Protect/bin (Linux). Es necesario ser
administrador (o raíz) para ejecutar DBPasswordChanger.
Por ejemplo, escriba:
DBPasswordChanger \SymantecDLP\Protect\bin\DatabasePassword.properties
protect_oracle
Ver "Sintaxis de DBPasswordChanger" en la página 386.

Sección 4
Creación de políticas
■ Capítulo 15. Introducción a las políticas
■ Capítulo 16. Descripción general de la detección de políticas
■ Capítulo 17. Cómo crear las políticas de las plantillas
■ Capítulo 18. Configuración de políticas
■ Capítulo 19. Administración de políticas
■ Capítulo 20. Prácticas recomendadas para crear políticas
■ Capítulo 21. Detección de contenido usando Coincidencia de datos estructurados

(EDM)
■ Capítulo 22. Detección de contenido usando Coincidencia de documentos

indizados (IDM)
■ Capítulo 23. Detección de contenido usando Apr. de máq. vectorial (VML)
■ Capítulo 24. Detección de contenido usando Reconocimiento de formularios -

Reconocimiento de imágenes para DLP
■ Capítulo 25. Detección de contenido usando OCR - Reconocimiento de imágenes
■ Capítulo 26. Cómo detectar el contenido usando los identificadores de datos
■ Capítulo 27. Cómo detectar el contenido usando coincidencia de palabras clave

Creación de políticas 389
■ Capítulo 28. Cómo detectar el contenido usando expresiones regulares
■ Capítulo 29. Detectar el contenido en idiomas internacionales
■ Capítulo 30. Cómo detectar propiedades de archivo
■ Capítulo 31. Cómo detectar incidentes de red
■ Capítulo 32. Cómo detectar eventos de endpoint
■ Capítulo 33. Cómo detectar identidades descritas
■ Capítulo 34. Cómo detectar identidades sincronizadas
■ Capítulo 35. Cómo detectar identidades perfiladas
■ Capítulo 36. Formatos de archivo admitidos para la detección
■ Capítulo 37. Biblioteca de identificadores de datos del sistema
■ Capítulo 38. Biblioteca de plantillas de políticas

Capítulo 15
Introducción a las políticas
■ Acerca de las políticas de Data Loss Prevention
■ Componentes de políticas
■ Plantillas de políticas
■ Paquetes de soluciones
■ Grupos de políticas
■ Implementación de políticas
■ Gravedad de políticas
■ Privilegios de autoría de políticas
■ Perfiles de datos
■ Grupos de usuarios
■ Importación y exportación de plantillas de políticas
■ Flujo de trabajo para implementar las políticas
■ Visualización, impresión y descarga de detalles de políticas
Acerca de las políticas de Data Loss Prevention

Se implementan políticas para detectar y evitar pérdida de datos. Una política
Symantec Data Loss Prevention combina reglas de detección y acciones de
respuesta. Si se infringe una regla de política, el sistema genera un incidente que
puede informar y sobre el cual puede actuar. Las reglas de políticas que se
implementan se basan en los objetivos de seguridad de la información. Las acciones
Introducción a las políticas 391
Acerca de las políticas de Data Loss Prevention
que toma en respuesta a las infracciones de políticas se basan en los requisitos

de cumplimiento. La consola de administración de Enforce Server proporciona una
interfaz centralizada, intuitiva y basada en Web para la autoría de políticas.
Ver "Flujo de trabajo para implementar las políticas" en la página 402.
Tabla 15-1 describe las funciones de creación de política proporcionadas por
Tabla 15-1 Funciones de autoría de políticas
Función Descripción
Generador de La interfaz del generador de políticas admite la lógica booleana para la configuración de
políticas intuitivo detección.
Es posible combinar diversos métodos y tecnologías de detección en una única política.
Ver "Prácticas recomendadas para crear políticas" en la página 489.
Reglas de El sistema almacena políticas y reglas de respuesta como entidades independientes.

respuesta
Es posible administrar y actualizar reglas de respuesta sin tener que cambiar las políticas; se
desacopladas
pueden reutilizar las reglas de respuesta a través de políticas.
Ver "Acerca de las reglas de respuesta" en la página 1405.
Elaboración de El sistema proporciona los niveles de gravedad de infracciones de políticas.

informes de
Es posible informar la gravedad general de una infracción de políticas por gravedad más alta.
políticas detallados
Ver "Gravedad de políticas" en la página 397.
Generación de El sistema almacena perfiles de grupos y datos de manera independiente de las políticas.
perfiles de grupo y
Esta separación permite administrar y actualizar perfiles sin cambiar las políticas.
datos centralizados
Detección de El sistema proporciona 65 plantillas de políticas previamente generadas.

políticas basada en
Es posible usar estas plantillas para configurar e implementar rápidamente las políticas.
plantillas
Ver "Plantillas de políticas" en la página 393.
Uso compartido de El sistema admite la importación y la exportación de plantillas de políticas.

políticas
Es posible compartir las plantillas de políticas a través de entornos y sistemas.
Ver "Importación y exportación de plantillas de políticas" en la página 400.

Componentes de políticas
Control de acceso El sistema proporciona control de acceso basado en roles para varias funciones administrativas
basado en roles y usuarios.
Es posible crear roles de autoría de políticas, administración de políticas y autoría de reglas de
respuesta.
Ver "Privilegios de autoría de políticas" en la página 398.
Componentes de políticas
Una política válida tiene por lo menos una regla de detección o de grupo con por
lo menos una condición de coincidencia. Las reglas de respuesta son componentes
de políticas opcionales.
Componentes de políticas describe los componentes de políticas de Data Loss
Prevention.
Tabla 15-2 Componentes de políticas
Componente Uso Descripción
Grupo de políticas Obligatorio Una política se debe asignar a un único grupo de políticas.
Ver "Grupos de políticas" en la página 395.
Nombre de la política Obligatorio El nombre de política debe ser único dentro del grupo de políticas
Ver "Administrar y agregar políticas" en la página 470.
Regla de política Obligatorio Una política válida debe contener por lo menos una regla que declare
por lo menos una condición de coincidencia.
Ver "Condiciones de coincidencia de política" en la página 417.
Perfil de datos Puede ser Las políticas Coincidencia de datos estructurados (EDM), Coincidencia
obligatorio de documentos indizados (IDM), Aprendizaje de máquina vectorial (VML)
y Reconocimiento de formulario requieren perfiles de datos.
Grupo de usuarios Puede ser Una política necesita un grupo de usuarios solamente si un método del
obligatorio grupo en la política lo necesita.
Las reglas y las excepciones de DGM sincronizada necesitan un grupo

de usuarios.

Plantillas de políticas
Componente Uso Descripción
Descripción de política Opcional Una descripción de la política ayuda a los usuarios a identificar el
propósito de la política.
Ver "Configuración de políticas" en la página 448.
Etiqueta de la política Opcional Una etiqueta de política ayuda a los usuarios empresariales de Veritas
Data Insight a identificar el propósito de la política al usar el portal con
autoservicio.
Regla de respuesta Opcional Una política puede implementar una o más reglas de respuesta para
informar y reparar incidentes.
Excepción de políticas Opcional Una política puede contener una o más excepciones para excluir datos
de la coincidencia.
Ver "Condiciones de excepción" en la página 424.
Condiciones de Opcional Una regla o una excepción de políticas pueden implementar varias
coincidencia compuestas condiciones de coincidencia.
Ver "Condiciones compuestas" en la página 426.
Plantillas de políticas
Symantec Data Loss Prevention proporciona plantillas de políticas para ayudarlo
a implementar rápidamente políticas de detección en su empresa. Es posible
compartir políticas en diferentes sistemas y entornos mediante la importación y la
exportación de reglas y excepciones como plantillas.
Usar las plantillas de políticas le ahorra tiempo y lo ayuda a evitar errores y lagunas
de información en sus políticas porque se predefinen los métodos de detección.
Es posible editar una plantilla para crear una política que se adapte concretamente
a sus necesidades. Es posible también exportar e importar sus propias plantillas
de políticas.
Algunas plantillas de políticas se basan en los conjuntos bien conocidos de
regulaciones, como el estándar de seguridad de la industria de tarjetas de pago,
Gramm-Leach-Bliley, California SB1386 e HIPAA. Otras plantillas de políticas son
más genéricas, por ejemplo, Protección de datos de clientes, Protección de datos
de empleados y Datos cifrados. Aunque las plantillas basadas en regulaciones
pueden ayudar a satisfacer los requisitos de las regulaciones relevantes, consulte
con sus asesores legales para verificar el cumplimiento.
Paquetes de soluciones
Ver "Cómo crear una política de una plantilla" en la página 430.

Tabla 15-3 describe las plantillas de políticas definidas por el sistema
proporcionadas por Symantec Data Loss Prevention.
Tabla 15-3 Plantillas de políticas definidas por el sistema
Tipo de plantilla de políticas Descripción
Aplicación de regulaciones de los EE. UU. Ver "Plantillas de políticas de aplicación de regulaciones de los EE. UU."
en la página 433.
Regulación general de protección de datos Ver "Plantillas de políticas de la regulación general de protección de datos"
en la página 435.
Aplicación de regulaciones internacionales Ver "Plantillas de políticas de aplicación de regulaciones internacionales"

en la página 436.
Protección de datos de clientes y Ver "Plantillas de políticas de protección de datos de clientes y empleados"
empleados en la página 437.
Protección de datos confidenciales o Ver "Plantillas de políticas de protección de datos confidenciales o

clasificados clasificados" en la página 439.
Aplicación de seguridad de la red Ver "Plantillas de políticas de aplicación de seguridad de la red"

en la página 440.
Aplicación de uso aceptable Ver "Plantillas de la política Aplicación de uso aceptable" en la página 441.
Plantillas importadas Ver "Importación y exportación de plantillas de políticas" en la página 400.
Paquetes de soluciones
Symantec Data Loss Prevention proporciona paquetes de soluciones para varias
verticales de la industria. Un paquete de soluciones contiene las políticas
configuradas, las reglas de respuesta, los roles de usuario, los informes, los
protocolos y los estados del incidente que admiten una industria o una organización
determinada. Para obtener una lista de paquetes de soluciones y de instrucciones
disponibles, consulte el capítulo 4, “Cómo importar un paquete de soluciones” en
la Guía de instalación de Symantec Data Loss Prevention. Es posible importar un
paquete de soluciones a Enforce Server.
Una vez que haya importado el paquete de soluciones, comience por revisar sus
políticas. De forma predeterminada el paquete de soluciones activa las políticas
que proporciona.
Grupos de políticas
Grupos de políticas
Implemente políticas para servidores de detección con grupos de políticas. Los
grupos de políticas limitan las políticas, los incidentes y los mecanismos de
detección a los que no pueden acceder los usuarios específicos.
Cada política pertenece a un grupo de políticas. Cuando configura una política, se
la asigna a un grupo de políticas. Es posible cambiar la asignación del grupo de
políticas, pero no puede asignar una política a más de un grupo de políticas.
Implemente los grupos de políticas en uno o más servidores de detección.
Enforce Server se configura con un único grupo de políticas denominado Grupo
de políticas predeterminado. El sistema implementa el grupo de políticas
predeterminado en todos los servidores de detección. Si define una nueva política,
el sistema asigna la política al grupo de políticas predeterminado, a menos que
cree y especifique un grupo de políticas diferente. Es posible cambiar el nombre
del grupo de políticas predeterminado. Un paquete de soluciones crea varios grupos
de políticas y les asigna políticas.
Una vez que crea un grupo de políticas, puede vincular las políticas, los destinos
de Discover y los roles al grupo de políticas. Cuando crea un destino de Discover,
debe asociarlo a un único grupo de políticas. Cuando asocia un rol a grupos de
políticas determinados, puede restringir los usuarios con ese rol. Las políticas en
ese grupo de políticas detectan incidentes y los informan a los usuarios en el rol
que se asigna a ese grupo de políticas.
La relación entre los grupos de políticas y los servidores de detección depende del
tipo de servidor. Es posible implementar un grupo de políticas a una o más
supervisiones de red, Network Prevent o servidores de endpoints. Los grupos de
políticas que implementa en el servidor de endpoints se aplican a cualquier agente
DLP que se registra con ese servidor. Enforce Server asocia automáticamente a
todos los grupos de políticas a todos los servidores de detección de red.
Para Network Monitor y Network Prevent, cada grupo de políticas se asigna a uno
o más servidores de Network Monitor, servidores de Network Prevent para correo
electrónico o servidores de Network Prevent para Web. Para detección de red, los
grupos de políticas se asignan a destinos de Discover individuales. Un único servidor
de detección puede controlar tantos grupos de políticas como sea necesario para
analizar los destinos. En el servidor de endpoints, los grupos de políticas se asignan
al servidor de endpoints y se aplican a todos los agentes DLP registrados.
Ver "Administrar y agregar grupos de políticas" en la página 472.
Ver "Creación y modificación de grupos de políticas" en la página 473.
Implementación de políticas
Implementación de políticas
Es posible usar los grupos de políticas para organizar e implementar las políticas
de diferentes maneras. Por ejemplo, considere una situación en la cual los
servidores de detección se configuren mediante un sistema que abarque varios
países. Es posible usar los grupos de políticas para garantizar que el servidor de
detección ejecute solamente las políticas que son válidas para una ubicación
específica.
Es posible dedicar algunos de los servidores de detección a supervisar el tráfico
de red interno y otros a supervisar los puntos de salida de red. Es posible usar los
grupos de políticas para implementar políticas menos restrictivas en servidores
que supervisan el tráfico interno. Al mismo tiempo, puede implementar políticas
más estrictas en los servidores que supervisan el tráfico saliente de la red.
Es posible usar grupos de políticas para organizar políticas e incidentes por
unidades de negocio, departamentos, regiones geográficas o cualquier otra unidad
organizativa. Por ejemplo, los grupos de políticas para departamentos específicos
pueden ser apropiados cuando las responsabilidades de seguridad se distribuyen
entre diversos grupos. En estos casos, los grupos de políticas proporcionan control
de acceso basado en rol con respecto a la visualización y la edición de incidentes.
Puede implementar grupos de políticas según la división de derechos de acceso
requerida dentro de la organización (por ejemplo, por unidad de negocio).
Es posible usar grupos de políticas para asignar el servidor de detección, que
puede ser más común cuando se centralizan los departamentos de seguridad. En
estos casos, se elegirá cuidadosamente la asignación del servidor de detección
para cada rol y se reflejará el nombre del servidor en el nombre de grupo de
políticas. Por ejemplo, es posible que deba asignar a los grupos los nombres
Entrante y Saliente, Estados Unidos e Internacional, o Prueba y Producción.
En entornos más complejos, es posible que deba considerar cierta combinación
de los siguientes grupos de políticas para implementar políticas:
■ Ventas y comercialización: EE. UU.
■ Ventas y comercialización: Europa
■ Ventas y comercialización: Asia
■ Ventas y comercialización: Australia, Nueva Zelanda
■ Recursos humanos: EE. UU.
■ Recursos humanos: internacional
■ Investigación y desarrollo
■ Servicio al cliente
Gravedad de políticas
Por último, puede usar los grupos de políticas para probar las políticas antes de
implementarlas en producción, para administrar las políticas anteriores, y para
importar y exportar plantillas de políticas.
Gravedad de políticas
Cuando configura una regla de detección, se puede seleccionar un nivel de
gravedad de políticas. Es posible entonces usar reglas de respuesta para tomar
medidas basadas en un nivel de gravedad. Por ejemplo, se puede configurar una
regla de respuesta para tomar medidas después de un número especificado de
infracciones de gravedad “Alta”.
Ver "Acerca de las condiciones de regla de respuesta" en la página 1419.
El nivel de gravedad predeterminado se configura en “Alto”, a menos que usted lo
cambie. El nivel de gravedad predeterminado se aplica a cualquier condición con
la que la regla de detección coincida. Por ejemplo, si el nivel de gravedad
predeterminado se configura en “Alta”, cada infracción de la regla de detección se
etiqueta con ese nivel de gravedad. Si no desea etiquetar cada infracción con una
gravedad específica, se pueden definir los criterios por los cuales un nivel de
gravedad es establecido. En este caso, el comportamiento predeterminado se
anula. Por ejemplo, se puede definir el nivel de gravedad “Alto” que se aplicará
solamente después de que haya ocurrido un número especificado de coincidencias
de la condición.
Ver "Definición de gravedad de regla" en la página 456.
Además, se pueden definir varios niveles de gravedad para la elaboración de
informes de la gravedad de la capa. Por ejemplo, se puede configurar el nivel de
gravedad “Alto” después de 100 coincidencias y el nivel de gravedad medio para
aplicarlo después de 50 coincidencias.
Tabla 15-4 Niveles de gravedad de la regla
Nivel de gravedad de la Descripción

regla
Alto Si ocurre una coincidencia de la condición, se etiqueta como de gravedad “Alta”.
Media Si ocurre una coincidencia de la condición, se etiqueta como de gravedad “Media”.
Baja Si ocurre una coincidencia de la condición, se etiqueta como de gravedad “Baja”.

Privilegios de autoría de políticas
Nivel de gravedad de la Descripción

regla
Información Si ocurre una coincidencia de la condición, se etiqueta como de gravedad de

“Información”.
Privilegios de autoría de políticas

Los autores de políticas configuran y administran las políticas y sus reglas y
excepciones. Para ser autor de las políticas, un usuario se debe asignar a un rol
que conceda el privilegio de autoría de políticas. Este rol se puede expandir para
incluir la administración de grupos de políticas, analizar los destinos y las
credenciales.
Los privilegios de autoría de reglas de respuesta son credenciales aparte de ser
autor de la política y de privilegios de administración. Independientemente de si
los autores de políticas tienen reglas de respuesta, la autoría de privilegios se basa
en sus necesidades empresariales.
Tabla 15-5 describe los privilegios típicos para los roles de autoría de políticas y
reglas de respuesta.
Tabla 15-5 Privilegios de autoría de políticas
Privilegio de rol Descripción
Crear políticas Agregar, configurar y administrar las políticas.
Agregar, configurar y administrar reglas de políticas y excepciones.
Importar y exportar plantillas de políticas.
Modificar identificadores de datos definidos en sistema y crear identificadores de datos

personalizados.
Agregar, configurar y administrar grupos de usuarios.
Agregar reglas de respuesta a políticas (pero sin crear reglas de respuesta).
Administración de Agregar, configurar y administrar grupos de políticas.

Enforce Server
Agregue, configure y administre perfiles de datos.
Crear reglas de Agregar, configurar y administrar reglas de respuesta (pero sin agregarlas a las políticas).
respuesta
Ver "Acerca de los privilegios de autoría de reglas de respuesta" en la página 1424.
Perfiles de datos
Perfiles de datos
Los perfiles de datos son las configuraciones definidas por el usuario que crea
para implementar las condiciones de la política Coincidencia de datos estructurados
(EDM), Coincidencia de documentos indizados (IDM), Reconocimiento de formulario
y Aprendizaje de máquina vectorial (VML).
Ver "Tecnologías de detección de políticas de Data Loss Prevention"
en la página 414.
Tabla 15-6 describe los tipos de perfiles de datos que admite el sistema.
Tabla 15-6 Tipos de Perfiles de datos
Tipo de perfil de Descripción

datos
Perfil de datos El perfil de datos estructurados se usa para políticas de Coincidencia de datos estructurados
estructurados (EDM). Un perfil de datos estructurados contiene datos que se han indizados de un origen
de datos estructurados, por ejemplo, una base de datos, un servidor de directorios o un
archivo CSV. El perfil de datos estructurados se ejecuta en el servidor de detección. Si la
política de EDM se implementa en un endpoint, el Agente DLP envía el mensaje al servidor
de detección para su evaluación (detección de dos niveles).
Ver "Acerca del índice y el perfil de datos estructurados" en la página 505.
Ver "Presentación de la coincidencia de grupo de directorio (DGM)" en la página 890.
Ver "Acerca de la detección de dos niveles para EDM en el endpoint" en la página 511.
Perfil de documento Un perfil de documento indizado se usa para políticas de Coincidencia de documentos
indizado indizados (IDM). Un perfil de documento indizado contiene datos que se han indizado de
una recopilación de documentos confidenciales. El perfil de documento indizado se ejecuta
en el servidor de detección. Si la política de IDM se implementa en un endpoint, el Agente
DLP envía el mensaje al servidor de detección para su evaluación (detección de dos niveles).
Ver "Acerca del perfil de documento indizado" en la página 610.
Perfil de aprendizaje Un perfil de aprendizaje de máquina vectorial se usa para políticas de Aprendizaje de máquina
de máquina vectorial vectorial (VML). Un perfil de aprendizaje de máquina vectorial contiene un modelo estadístico
de las funciones (claves) extraídas del contenido que desea proteger. El perfil de VML se
carga en la memoria por medio del servidor de detección y el agente DLP. VML no necesita
la detección de dos niveles.
Ver "Acerca del Perfil de Aprendizaje de máquina vectorial" en la página 672.
Ver "Acerca del Perfil de Aprendizaje de máquina vectorial" en la página 672.

Grupos de usuarios
Tipo de perfil de Descripción

datos
Perfil de Un perfil de reconocimiento de formulario se usa para las políticas Reconocimiento de

reconocimiento de formulario. El perfil de reconocimiento de formulario contiene las imágenes en blanco de los
formulario formularios que desea detectar.
Cuando se configura un perfil, se especifica un valor numérico para representar el umbral

para completar. Este número es un valor de 1 a 10. 1 representa un formulario que se ha
rellenado mínimamente y 10 un formulario que se rellenó totalmente. Si se cumple o se
excede el umbral para completar, se abre un incidente.
Ver "Administración de perfiles de Reconocimiento de formulario" en la página 714.
Grupos de usuarios
Se definen los grupos de usuarios en Enforce Server. Los grupos de usuarios
contienen la información de identidad usuario que se completa sincronizando
Enforce Server con un grupo de servidores de directorios (Microsoft Active
Directory).
Es necesario tener privilegios de administrador de servidor o de autoría de políticas
para definir grupos de usuarios. Es necesario definir los grupos de usuarios antes
de sincronizar los usuarios.
Una vez definido un grupo de usuarios, usted lo completa con los usuarios, los
grupos y las unidades de negocio del servidor de directorio. Una vez que se
completa el grupo de usuarios, se lo asocia a las excepciones o las reglas de
detección de usuarios/remitentes y destinatarios. La política se aplica solamente
a los miembros de ese grupo de usuarios.
Ver "Presentación de la coincidencia de grupo de directorio (DGM) sincronizada"
en la página 881.
Importación y exportación de plantillas de políticas

Es posible exportar e importar las plantillas de políticas hacia Enforce Server y
desde él. Esta función permite compartir las plantillas de políticas entre entornos,
crear versiones de políticas existentes y archivar políticas anteriores.
Considere una situación en la que crea y refine una política en un sistema de prueba
y, luego, exporta la política como plantilla. A continuación, importa esta política a
un sistema de producción para la implementación en uno o más servidores de
Importación y exportación de plantillas de políticas
detección. O bien, si desea quitar una política, expórtela como plantilla para
archivado y elimínela del sistema.
Ver "Importación de plantillas de políticas" en la página 480.
Ver "Exportación de detección de políticas como plantilla" en la página 480.
Una plantilla de políticas es un archivo XML. La plantilla contiene metadatos de
políticas, detección y excepciones y regla del grupo. Si una plantilla de políticas
contiene más de una condición que requiere un perfil de datos, el sistema importa
solamente una de estas condiciones. Una plantilla de políticas no incluye reglas
de respuesta de políticas ni identificadores de datos modificados o personalizados.
Tabla 15-7 describe los componentes de la plantilla de política.
Tabla 15-7 Componentes incluidos en plantillas de políticas
Componente de políticas Descripción Incluidos en la

plantilla
Metadatos de políticas El nombre de la plantilla tiene que tener menos de 60 caracteres SÍ

(nombre, descripción, etiqueta) o no aparece en la lista de Plantillas importadas.
Coincidencia de contenido Si la plantilla contiene solamente métodos de DCM, se importa SÍ

descrito (DCM) con reglas y como exportada sin cambios.
excepciones
Condiciones Coincidencia de Si la plantilla contiene varias condiciones de coincidencia EDM SÍ

datos estructurados (EDM) y o IDM, solo se exporta una.
Coincidencia de documentos
Si la plantilla contiene una condición IDM y EDM, el sistema
indizados (IDM)
descarta el IDM.
Grupo de usuarios Los métodos de grupo de usuarios se mantienen en la NO

importación solamente si los grupos de usuarios existen en el
destino antes de la importación.
Grupo de políticas Los grupos de políticas no exportan. En la importación, puede NO

seleccionar un grupo de políticas local, de lo contrario, el
sistema asigna la política al grupo de políticas predeterminado.
Reglas de respuesta Es necesario definir y agregar reglas de respuesta a políticas NO

de instancia local de Enforce Server.
Perfiles de datos En la importación, debe consultar un perfil de los datos definido NO

localmente, de lo contrario, el sistema descarta los métodos
que requieren un perfil de datos.
Identificadores de datos Los identificadores de datos personalizados y modificados no NO

personalizados exportan.
Flujo de trabajo para implementar las políticas
Componente de políticas Descripción Incluidos en la

plantilla
Protocolos personalizados Los protocolos personalizados no exportan. NO
Estado de la política El estado de la política (activo/suspendido) no exporta. NO
Flujo de trabajo para implementar las políticas

Las políticas definen el contenido, el contexto de eventos y las identidades que
desea detectar. Las políticas pueden además definir acciones de reglas de
respuesta si se infringe una política. La creación de políticas correctas es un proceso
que necesita un análisis cuidadoso y la configuración apropiada para alcanzar
resultados óptimos.
Tabla 15-8 describe el flujo de trabajo típico para implementar las políticas de Data
Loss Prevention.
Tabla 15-8 Proceso de implementación de políticas
Acción Descripción
Conozca más sobre los diversos tipos de tecnologías Ver "Cómo detectar la pérdida de datos" en la página 405.
y de métodos de detección que Symantec Data Loss
Ver "Tecnologías de detección de políticas de Data Loss
Prevention proporciona y las consideraciones para ser
autor de políticas de prevención de pérdida de datos.
Ver "Prácticas recomendadas para crear políticas"

en la página 489.
Desarrolle una estrategia de políticas de detección que Ver "Desarrollo de una estrategia de políticas que admite
defina el tipo de datos que desea proteger contra sus objetivos de seguridad de datos" en la página 491.
pérdida de datos.
Revise las plantillas de políticas que se incluyen en Ver "Plantillas de políticas" en la página 393.
Symantec Data Loss Prevention y cualquier plantilla
Ver "Paquetes de soluciones" en la página 394.
que se importe manualmente o por el paquete de
soluciones.
Cree los grupos de políticas para controlar cómo se Ver "Grupos de políticas" en la página 395.
accede a las políticas cómo se editan y cómo se
implementan.
Para detectar datos exactos o datos no estructurados Ver "Perfiles de datos" en la página 399.
de contenido o similares, cree uno o más Perfiles de
datos.
Visualización, impresión y descarga de detalles de políticas
Para detectar identidades exactas de un servidor Ver "Grupos de usuarios" en la página 400.
sincronizado del directorio (Active Directory), configure
uno o más grupos de usuarios.
Configure las condiciones para la detección y agrupe Ver "Cómo crear una política de una plantilla"
las reglas y las excepciones. en la página 430.
Pruebe y ajuste sus políticas. Ver "Pruebe y ajuste de políticas para mejorar la exactitud
de coincidencia" en la página 493.
Agregue las reglas de respuesta a la política para tomar Ver "Acerca de las reglas de respuesta" en la página 1405.
medidas cuando se infringe la política.
Administre las políticas en su empresa. Ver "Administrar y agregar políticas" en la página 470.
Visualización, impresión y descarga de detalles de

políticas
Es posible que se le pida que comparta detalles de alto nivel sobre sus políticas
con individuos que no son usuarios de Symantec Data Loss Prevention. Por ejemplo,
es posible que se le pida que proporcione detalles de políticas a un oficial de
seguridad de la información en su empresa o a un auditor de seguridad externo.
Para simplificar esa acción, puede ver e imprimir los detalles de las políticas en un
formato fácilmente legible desde la pantalla Lista de políticas. La vista de detalles
de políticas no incluye ninguna nomenclatura técnica o marca específica de
Symantec Data Loss Prevention. Muestra el nombre de la política, la descripción,
la etiqueta, el grupo, el estado, la versión y la última fecha de modificación de la
política. También muestra las reglas de detección y respuesta para esa política.
Cualquier usuario con el privilegio Crear políticas para una política o un conjunto
dado de políticas puede ver e imprimir los detalles de la política.
Tabla 15-9 describe cómo trabajar con los detalles de la política.
Tabla 15-9 Trabajar con detalles de la política
Vea e imprima los detalles de una sola Ver "Visualización e impresión de detalles de
política. políticas" en la página 483.
Visualización, impresión y descarga de detalles de políticas
Descargue los detalles de todas las políticas. Ver "Descarga de detalles de políticas"
en la página 483.
Capítulo 16
Descripción general de la
detección de políticas
■ Cómo detectar la pérdida de datos
■ Detección de las clasificaciones de Symantec Information Centric Tagging (ICT)
■ Tecnologías de detección de políticas de Data Loss Prevention
■ Condiciones de coincidencia de política
■ Mensajes de detección y componentes de mensaje
■ Condiciones de excepción
■ Condiciones compuestas
■ Ejecución de detección de políticas
■ Detección de dos niveles para Agentes DLP
Cómo detectar la pérdida de datos

Symantec Data Loss Prevention detecta datos de prácticamente cualquier tipo de
mensaje o archivo, cualquier usuario, remitente o destinatario, dondequiera que
existan sus datos o endpoints. Es posible usar Data Loss Prevention para detectar
el contenido y el contexto de los datos dentro de su empresa. Se definen y
administran las políticas de detección desde la consola de administración
centralizada de Enforce Server basada en Web.
Ver "Contenido que se puede detectar" en la página 406.
Ver "Archivos que se pueden detectar" en la página 406.
Descripción general de la detección de políticas 406
Ver "Protocolos que se pueden supervisar" en la página 407.

Ver "Acerca de eventos de endpoint que se pueden detectar" en la página 407.
Ver "Identidades que se pueden detectar" en la página 407.
Ver "Idiomas que se pueden detectar" en la página 408.
Contenido que se puede detectar

Symantec Data Loss Prevention detecta contenido de datos y documentos, incluido
texto, marcado, presentaciones, hojas de cálculo, archivos de almacenamiento y
contenido, mensajes de correo electrónico, archivos de base de datos, diseños y
gráficos, archivos multimedia, formularios basados en imágenes y más. Por ejemplo,
el sistema puede abrir un archivo comprimido y analizar un documento de Microsoft
Word dentro del archivo comprimido en busca de la palabra clave “confidencial”.
Si coincide con la palabra clave, el motor de detección marca el mensaje como
incidente.
La detección basada en contenido se basa en el contenido real, no el archivo
mismo. Un servidor de detección puede detectar los extractos o los derivados del
contenido protegido o descrito. Este contenido puede incluir secciones de los
documentos que se han copiado y se han pegado a otros documentos o correos
electrónicos. Un servidor de detección puede además identificar datos confidenciales
en un formato de archivo diferente que el archivo de origen. Por ejemplo, si se
toman las huellas digitales de un archivo confidencial de Word, el motor de detección
puede coincidir con el contenido enviado por correo electrónico en un archivo
adjunto PDF.
Ver "Condiciones de coincidencia de contenido" en la página 418.
Archivos que se pueden detectar

Symantec Data Loss Prevention reconoce muchos tipos de archivos y archivos
adjuntos basados en su contexto, incluidos tipos de archivo, nombre de archivo y
tamaño de archivo. Symantec Data Loss Prevention identifica más de 300 tipos de
archivos, incluidos formatos de procesamiento de palabras, archivos multimedia,
hojas de cálculo, presentaciones, imágenes, formatos de encapsulación, formatos
de cifrado y otros.
Para la detección de tipo de archivo, el sistema no se basa en la extensión de
archivo para identificar el tipo de archivo. Por ejemplo, el sistema reconoce un
archivo de Microsoft Word, incluso si un usuario cambia la extensión del archivo a
.txt. En este caso, el motor de detección comprueba la firma binaria del archivo
para que coincida con su tipo.
Ver "Condiciones de coincidencia de propiedades de archivo" en la página 420.
Protocolos que se pueden supervisar

Symantec Data Loss Prevention detecta mensajes en la red identificando la firma
del protocolo: correo electrónico (SMTP), Web (HTTP), transferencia de archivos
(FTP), grupos de noticias (NNTP), TCP, Telnet y SSL.
Es posible configurar un servidor de detección para escuchar en los puertos no
predeterminados infracciones de pérdida de datos. Por ejemplo, si su red transmite
tráfico web en el puerto 81 en vez del puerto 80, el sistema aún reconoce el
contenido transmitido como HTTP.
Ver "Condición de coincidencia de protocolos para la red" en la página 420.
Acerca de eventos de endpoint que se pueden detectar

Symantec Data Loss Prevention le permite detectar infracciones de pérdida de
datos en varios destinos de endpoint. Estos destinos incluyen la unidad local, la
unidad de CD/DVD, los dispositivos de almacenamiento extraíble, los archivos
compartidos de red, el portapapeles de Windows, las impresoras y los faxes, y los
archivos de aplicación. Es posible también detectar eventos del protocolo en
endpoint para el correo electrónico (SMTP), la Web (HTTP) y el tráfico de
transferencia de archivos (FTP).
Por ejemplo, el Agente DLP (instalado en cada equipo de endpoint) puede detectar
la copia de un archivo confidencial a un dispositivo USB. O el Agente DLP puede
permitir copiar archivos solamente a una clase específica de dispositivo USB que
cumpla requisitos de cifrado corporativos.
Ver "Condiciones de coincidencia de endpoint" en la página 421.
Identidades que se pueden detectar

Symantec Data Loss Prevention le permite detectar la identidad de usuarios de
datos, remitentes de mensaje y destinatarios de mensaje con una variedad de
métodos. Estos métodos incluyen patrones de identidad descritos e identidades
exactas que coinciden desde un servidor de directorio o una base de datos
corporativa.
Por ejemplo, puede detectar mensajes de correo electrónico enviados por un
usuario específico o permitir mensajes de correo electrónico enviados hacia o
desde un grupo de usuarios específico según se define en el servidor de Microsoft
Active Directory
Ver "Condiciones de coincidencia de grupos (identidad)" en la página 421.
Detección de las clasificaciones de Symantec Information Centric Tagging (ICT)
Idiomas que se pueden detectar

Symantec Data Loss Prevention proporciona soporte internacional amplio para
detectar pérdidas de datos en muchos idiomas. Entre los idiomas admitidos, se
incluye la mayoría de los idiomas de Europa central y occidental, el hebreo, el
árabe, el chino (simplificado y tradicional), el japonés, el coreano y muchos más.
El motor de detección usa Unicode internamente. Es posible generar reglas y
excepciones de políticas localizadas usando cualquier tecnología de detección en
cualquier idioma admitido.
Ver "Detectar contenido en un idioma que no sea inglés" en la página 834.
Detección de las clasificaciones de Symantec

Information Centric Tagging (ICT)
Symantec Data Loss Prevention 15.0 admite la integración de clasificaciones de
Symantec Information Centric Tagging 14.6.
Acerca de Symantec Information Centric Tagging

Symantec Information Centric Tagging (ICT) es un sistema que permite a una
empresa definir una política de clasificación y etiquetado de datos. Las
clasificaciones de los datos se comprenden de etiquetas que se crean con una
jerarquía de tres partes: Empresa-Ámbito-Nivel. El administrador asigna un acrónimo
a cada parte. Un ejemplo de una etiqueta es SYM-MKT-CONFID. Las etiquetas
están asociadas con las reglas de seguridad y los roles de usuario. Un método
adicional de identificar las clasificaciones de datos es definir las marcas de agua.
Los usuarios aplican estas etiquetas y marcas de agua a datos sin estructuras
(archivos y correos electrónicos) mientras funcionan. Las clasificaciones identifican
qué datos se pueden compartir libremente, qué datos requieren consideración
especial, etc.
Acerca de la integración de Information Centric Tagging con Data

Loss Prevention
Integrar Information Centric Tagging controlado por el usuario con Data Loss
Prevention controlado por políticas mejora la protección que ambos enfoques
proporcionan.
La integración de Information Centric Tagging para Data Loss Prevention 15.0 es
manual. Una vez que un administrador define las clasificaciones en Information
Centric Tagging, las etiquetas y las marcas de agua resultantes están listas para
ser introducidas en Data Loss Prevention.
El administrador de Data Loss Prevention incorpora el texto de los acrónimos de
etiquetas y marcas de agua a las reglas de detección de Data Loss Prevention.
Los análisis encuentran las etiquetas y las marcas de agua que coinciden con las
palabras clave o las expresiones regulares. Las reglas de detección que contienen
los datos de Information Centric Tagging se pueden añadir a las políticas que
contienen criterios controlados por políticas o que existen en políticas separadas.
Las reglas de respuesta se pueden añadir según sea necesario.
La adición de etiquetas y marcas de agua de Information Centric Tagging en Data
Loss Prevention no requiere ningún uso especial de las funciones de Data Loss
Prevention. El único requisito previo para usar las reglas basadas en etiquetas es
cambiar una configuración del sistema en el servidor de detección y los agentes
endpoint. Esa configuración habilita la detección de metadatos, donde residen las
etiquetas. Data Loss Prevention realiza un análisis en busca de etiquetas cuando
lee los archivos. Data Loss Prevention realiza un análisis en busca de marcas de
agua cuando lee los correos electrónicos.
Para los tipos de archivo y la versión del correo electrónico admitidos:
Ver "Acerca de la integración de Symantec Information Centric Tagging con Data
Loss Prevention" en la página 409.
Acerca de la integración de Symantec Information Centric Tagging

con Data Loss Prevention
Resumen de los pasos para la integración de Information
Centric Tagging con Data Loss Prevention
Pasos para la integración de Information Centric Tagging con Data Loss Prevention
1 Requisito previo: El administrador de Information Centric Tagging define un
sistema de clasificación de datos con un conjunto de etiquetas y marcas de
agua.
2 Requisito previo: Información de la etiqueta de los usuarios (archivos y correos
electrónicos) mientras funcionan.
Nota: El uso del sistema de clasificación ocurre independientemente de

cualquier integración con Data Loss Prevention.
3 El administrador de Data Loss Prevention cambia una configuración del sistema

en los servidores de detección y los agentes endpoint para habilitar la detección
de los metadatos.
4 El administrador de Data Loss Prevention introduce las etiquetas y marcas de
agua en las reglas de detección y adjunta las reglas a las políticas.
5 Cuando Data Loss Prevention se ejecuta, lee las etiquetas y las marcas de
agua y realiza cualquier acción de respuesta definida.
Cómo integrar Information Centric Tagging con Data Loss

Prevention
La tabla describe cada paso del proceso de integración de Information Centric
Tagging con Data Loss Prevention.
Tabla 16-1 Pasos para la integración de Information Centric Tagging con Data
Loss Prevention
Ejecutor/herramienta/acción Notas
Acciones de requisito previo de Information Centric Tagging :
1 Ejecutor: Administrador de ITC Requisitos:
Herramienta: consola de administración ■ Information Centric Tagging 14.6 o

de Information Centric Tagging posterior
■ Data Loss Prevention 15.0 o superior
Acción: Definir las clasificaciones de
etiquetas en tres niveles Ambos sistemas requieren privilegios de
(empresa/ámbito/nivel). Añada cualquier acceso de administrador.
marca de agua.
Complete el sistema de clasificación al

aplicar las reglas de seguridad y los roles
de usuario.
Referencia: Guía del usuario de la consola

de administración de Information Centric
Tagging 14.6
2 Ejecutor: Usuarios finales Los usuarios tienen privilegios de

clasificación.
Herramientas: Complementos de
Information Centric Tagging para
aplicaciones de Microsoft Office o un menú
contextual del Explorador de Windows
Acción: Aplicar las etiquetas y/o las

marcas de agua a archivos y correos
electrónicos como parte del trabajo diario.
Referencia: Guía del usuario de

Information Centric Tagging v 14.6
Acciones de integración de Data Loss Prevention :
■ Ejecutor: Administrador de Data Loss Prevention

■ Consola de administración de Enforce Server
■ Referencia: Las instrucciones con vínculos están en esta Guía de administración de
Data Loss Prevention 15.0
3 Acción: Para detectar las etiquetas en el Si está detectando solamente marcas de

servidor, cambie la configuración del agua, este paso no es necesario.
sistema en cada servidor de detección
para habilitar la detección de metadatos,
donde residen las etiquetas. Reinicie cada
servidor modificado.
Ver "Habilitación de la detección de los

metadatos del servidor" en la página 926.
4 Acción: Para detectar etiquetas en el Si está detectando solamente marcas de

agente endpoint, cambie la configuración agua, este paso no es necesario.
del sistema en cada grupo Agente
endpoint para habilitar la detección de
metadatos, donde residen las etiquetas.
Ver "Habilitación de la detección de

metadatos del endpoint" en la página 926.
Para completar la acción, para cada grupo

Agente endpoint modificado, seleccione
Actualizar configuración para propagar
el cambio de la configuración del sistema.
Cuando un endpoint vuelve a conectarse
al servidor, la nueva configuración se
activa.
Ver "Ver y administrar grupos de agentes"

en la página 2178.
5 Acción: Elegir los métodos más útiles de Dirección para la coincidencia de palabra
detección (búsqueda) y escribir las clave:
etiquetas y marcas de agua en las reglas
■ Para cada etiqueta, incorpore los
de detección.
acrónimos concatenados, separados
Ver "Cómo configurar la condición El por guiones. Por ejemplo:
contenido coincide con la palabra clave" "SYM-ENG-SECRET"
en la página 819. Si está haciendo una búsqueda más
genérica, no es necesario incorporar
Ver "Cómo configurar la condición El
los tres niveles.
contenido coincide con la expresión
regular" en la página 830. ■ Para las marcas de agua del correo
electrónico, incorpore la sintaxis según
se creó en Information Centric Tagging.
Ejemplo: “Symantec-Confidencial”
Búsqueda en el asunto o el cuerpo.
6 Acción: Añada las reglas de detección a Ninguna

las políticas. Añada las reglas de
respuesta si lo desea.
7 Acción: Ejecute Data Loss Prevention. Formatos de archivo y versión de correo

Nota: Todos los canales de detección se electrónico admitidos:
admiten en las instalaciones y en la nube. ■ Data Loss Prevention lee las etiquetas
en estos formatos de archivo
solamente:
■ Formato binario de Microsoft Office
(anteriores a 2008, DOC, PPT,
XLS)
■ Formato XML (posteriores a 2008,
DOCX, PPTX, XLSX)
■ Archivos PDF
■ Excepción: Los archivos que fueron
cifrados en Information Centric
Tagging usando RMS o Ionic no se
leen.
■ Data Loss Prevention detecta las
marcas de agua (pero no las etiquetas)
en los correos electrónicos de Office
365.
Prácticas recomendadas para la integración de ICT con DLP

A medida que integre Information Centric Tagging con Data Loss Prevention, tenga
presentes estas prácticas recomendadas:
■ Tenga el mismo administrador configurado para las clasificaciones de Information
Centric Tagging y las reglas y políticas de Data Loss Prevention.
■ A medida que se defina la clasificación de etiquetas de Information Centric
Tagging, anote los acrónimos de empresa-ámbito-nivel. A continuación, use
esa lista para la entrada de datos de los acrónimos de etiqueta en las reglas
de Data Loss Prevention.
■ A lo largo del tiempo, a medida que edite o añada las clasificaciones de
Information Centric Tagging, asegúrese de revisar las clasificaciones ya
incorporadas en Data Loss Prevention. Confirme que los dos conjuntos de
clasificaciones aún coincidan. Puesto que esta integración es manual, los
cambios en un sistema no se propagan al otro sistema.
■ Considere la importancia relativa del nivel. ¿Es necesario escribir una regla de
detección que etiquete los documentos que se clasifican como "PÚBLICO"?
Tecnologías de detección de políticas de Data Loss Prevention
Cómo solucionar problemas de integración de ICT con DLP

Si los análisis de Data Loss Prevention no han descubierto ningún documento
etiquetado por Information Centric Tagging, considere las causas posibles:
■ El indicador de detección de metadatos no está habilitado para el servidor de
detección de Enforce.
■ El indicador de detección de metadatos no está habilitado para el grupo de
agentes.
■ Los documentos no se etiquetan.
Para confirmar que un documento está etiquetado, puede probar las
instrucciones en la tabla. Una etiqueta aparece como par nombre-valor; una
marca de agua usa un formato de cadena de texto.
Tabla 16-2 Cómo ver etiquetas y marcas de agua de Information Centric Tagging
en documentos
Tipo de documento Vista de una etiqueta de ITC
Documento de Microsoft Office (anteriores a 2008) Ver las propiedades del documento:
■ Seleccione Archivo ->

Propiedades
Archivo de Adobe PDF Ver las propiedades del archivo:
1 Abra el archivo en Adobe Reader

o Adobe Acrobat.
2 Seleccione Archivo- >

Propiedades- > Personalizar
Nota: El valor de la etiqueta que se

muestra en los archivos PDF es una
cadena codificada B64. Para
confirmar el valor de la cadena, puede
copiarlo y pegarlo en el decodificador
de Enforce.
Ver "Mejores prácticas para usar la detección de metadatos" en la página 927.
Tecnologías de detección de políticas de Data Loss

Prevention
Symantec Data Loss Prevention proporciona varios tipos de tecnologías de
detección para ayudarle a crear políticas para detectar pérdidas de datos. Cada
tipo de tecnología de detección proporciona funcionalidades únicas. A menudo, se

combinan tecnologías con políticas para lograr resultados de detección exactos.
Asimismo, Symantec Data Loss Prevention le proporciona varias maneras de
ampliar la detección de políticas y hacer coincidir cualquier tipo de datos, contenido
o archivos que desee.
Ver "Prácticas recomendadas para crear políticas" en la página 489.
Tabla 16-3 detalla los diversos tipos de tecnologías de detección y personalizaciones
proporcionadas por Data Loss Prevention.
Tabla 16-3 Tecnologías de la detección de Data Loss Prevention
Tecnología Descripción
Coincidencia de datos Use EDM para detectar información de identificación personal.

estructurados (EDM)
Ver "Presentación de la coincidencia de datos estructurados (EDM)" en la página 500.
Coincidencia de documentos Use IDM para detectar archivos, contenido de archivos exacto y contenido derivado.
indizados (IDM)
Ver "Presentación de coincidencia de documentos indexados (IDM)" en la página 606.
Aprendizaje de máquina Use VML para detectar contenido de documento similar.

vectorial (VML)
Ver "Presentación del Aprendizaje de máquina vectorial (VML)" en la página 671.
Reconocimiento de Use Reconocimiento de formularios para detectar las imágenes de los formularios
formularios que pertenecen a una galería asociada a una política de reconocimiento de formularios.
Ver "Acerca de la detección del Reconocimiento de formulario" en la página 707.
Coincidencia de grupo de Use DGM para detectar identidades exactas sincronizadas de un servidor de directorio
directorios (DGM) o perfiladas desde una base de datos.

en la página 881.

Coincidencia de contenido Use DCM para detectar contenido y contexto de mensaje, incluidos:
descrito (DCM)
■ Identificadores de datos para que coincida el contenido usando validadores de
datos y patrones exactos.
Ver "Presentación de los identificadores de datos" en la página 727.
■ Palabras clave para detectar contenido usando palabras clave, frases clave y
diccionarios de palabra clave.
Ver "Presentación de coincidencia de palabras clave" en la página 811.
■ Expresiones regulares para detectar caracteres, patrones y cadenas.
Ver "Presentación de la coincidencia de la expresión regular" en la página 828.
■ Propiedades del archivo para detectar archivos por tipo, nombre, tamaño y tipo
personalizado.
Ver "Presentación de la detección de las propiedades de archivo" en la página 840.
■ Usuario, remitente y patrones de destinatarios para detectar identidades descritas.
Ver "Presentación de la coincidencia de identidad descrita" en la página 869.
■ Firmas de protocolo para detectar tráfico de red.
Ver "Presentación de la supervisión del protocolo de red" en la página 854.
■ Destinos, dispositivos y protocolos para detectar eventos de endpoint.
Ver "Presentación de la detección de eventos de endpoint" en la página 858.
Condiciones de coincidencia de política
Métodos de detección de Data Loss Prevention proporciona métodos para personalizar y ampliar la detección,
políticas personalizados entre ellos:
■ Identificadores de datos personalizados
Implemente sus propios patrones del identificador de datos y validadores definidos
por el sistema.
■ Validadores de script personalizados para identificadores de datos
Use el lenguaje de programación de scripts de Symantec Data Loss Prevention
para validar tipos de datos personalizados.
Ver "Flujo de trabajo para crear los identificadores de datos personalizados"
en la página 787.
■ Identificación de tipos de archivos personalizados
Use el lenguaje de programación de scripts de Symantec Data Loss Prevention
para detectar tipos de archivos personalizados.
Ver "Acerca de la identificación de tipos de archivos personalizados"
en la página 841.
■ Detección de dispositivos endpoint personalizados
Detecte o permita cualquier dispositivo endpoint usando expresiones regulares.
Ver "Acerca de la detección de dispositivos endpoint" en la página 860.
■ Detección de protocolos de red personalizados
Defina los puertos TCP personalizados para el acceso para pruebas.
■ Extracción de contenido personalizado
Use un complemento para identificar formatos de archivo personalizado y los
contenidos de archivo de extracto para su análisis por parte del servidor de
detección.
Ver "Descripción general de formatos de archivo admitidos para la detección"
en la página 897.

Symantec Data Loss Prevention proporciona varios tipos de condiciones de
coincidencia, cada una de las cuales ofrece detección única. Se implementan
condiciones de coincidencia en políticas como reglas o excepciones. Las reglas
de detección usan condiciones para que coincida el contenido o el contexto del
mensaje. Las reglas de grupo usan condiciones para que coincidan las identidades.
También puede usar condiciones como excepciones de detección y políticas de
grupo.
Tabla 16-4 detalla los diversos tipos de condiciones de coincidencia de política

proporcionados por Data Loss Prevention.
Tabla 16-4 Tipos de condición de coincidencia de políticas
Tipo de condición Descripción
Contenido Ver "Condiciones de coincidencia de contenido" en la página 418.
Propiedades de archivo Ver "Condiciones de coincidencia de propiedades de archivo" en la página 420.
Protocolo Ver "Condición de coincidencia de protocolos para la red" en la página 420.
Endpoint Ver "Condiciones de coincidencia de endpoint" en la página 421.
Grupos (identidad) Ver "Condiciones de coincidencia de grupos (identidad)" en la página 421.
Condiciones de coincidencia de contenido

Symantec Data Loss Prevention proporciona varias condiciones para que coincidan
con el contenido de mensajes. Ciertas condiciones de contenido requieren un perfil
de datos y un índice asociados. Para la detección de contenido, se pueden
establecer coincidencias con componentes individuales de mensajes, entre ellos,
encabezado, asunto, cuerpo y archivos adjuntos para algunas condiciones.
Ver "Mensajes de detección y componentes de mensaje" en la página 423.
Ver "Contenido que se puede detectar" en la página 406.
Tabla 16-5 enumera las condiciones de coincidencia de contenido que se pueden
usar sin un perfil de datos y un índice.
Tabla 16-5 Condiciones de coincidencia de contenido
Tipo de regla de contenido Descripción
El contenido coincide con la Establece coincidencias con el contenido descrito usando expresiones regulares.
expresión regular
Ver "Cómo configurar la condición El contenido coincide con la expresión regular"

en la página 830.
El contenido coincide con la Establecen coincidencia de contenido usando palabras, frases clave y diccionarios
palabra clave de palabras clave
Ver "Cómo configurar la condición El contenido coincide con la palabra clave"

en la página 819.
El contenido coincide con el Establece coincidencia con el contenido descrito usando patrones y validadores del
identificador de datos identificador de datos.
Ver "Cómo configurar la condición El contenido coincide con el identificador de

datos" en la página 745.
Tabla 16-6 enumera las condiciones de coincidencia de contenido que requieren

un perfil de datos y un índice.
Ver "Detección de dos niveles para Agentes DLP" en la página 427.
Tabla 16-6 Condiciones de coincidencia de contenido basada en índice
El contenido coincide con Establezca coincidencias con los datos estructurados perfilados de un origen de
datos estructurados de un datos estructurado, como una base de datos o un archivo CSV.
perfil de datos estructurados
(EDM)
Ver "Configuración de la condición de política El contenido coincide con datos
estructurados" en la página 532.
Nota: Esta condición requiere la detección de dos niveles en el endpoint. Ver
"Acerca de la detección de dos niveles para EDM en el endpoint" en la página 511.
El contenido coincide con la Establezca coincidencias con los archivos y los contenidos de archivo exactamente
firma del documento de un o parcialmente usando la búsqueda de huella digital
perfil de documento indizado
(IDM)
Ver "Configuración de la condición de política El contenido coincide con la firma
del documento" en la página 645.
"Acerca del perfil de documento indizado" en la página 610.
Detectar usando un perfil de Establezca coincidencias con contenido del archivo con funciones similares al
Aprendizaje de máquina contenido de ejemplo que se ha entrenado.
vectorial (VML)
Ver "Configuración de la condición Detectar usando un perfil de Aprendizaje de

máquina vectorial" en la página 688.
Condiciones de coincidencia de propiedades de archivo

Symantec Data Loss Prevention proporciona varias condiciones para buscar
coincidencias de las propiedades de archivo, incluidos tipo de archivo, tamaño del
archivo y nombre del archivo.
Ver "Archivos que se pueden detectar" en la página 406.
Tabla 16-7 Condiciones de la coincidencia de las propiedades de archivo
Coincidencia de archivo Establezca coincidencias con formatos de archivo y archivos adjuntos de

adjunto del mensaje o tipo de documentos.
archivo
Ver "Acerca de la coincidencia de tipo de archivo" en la página 840.
Ver "Configuración de la condición Coincidencia de archivo adjunto del mensaje o

tipo de archivo" en la página 845.
Coincidencia de archivo Establezca coincidencias con los archivos o archivos adjuntos por encima del
adjunto del mensaje o tamaño tamaño especificado o por debajo de él.
de archivo
Ver "Acerca de la coincidencia de tamaño de archivo" en la página 842.
Ver "Cómo configurar la condición Coincidencia de archivo adjunto del mensaje o

tamaño de archivo" en la página 846.
Coincidencia de archivo Establezca coincidencias con los archivos o los archivos adjuntos que tienen un
adjunto del mensaje o nombre nombre específico o coinciden con los comodines.
de archivo
Ver "Acerca de la coincidencia de nombres de archivo" en la página 844.

nombre de archivo" en la página 848.
Propiedades y atributos del Clasifique los mensajes de correo electrónico de Microsoft Exchange basados en
mensaje/correo electrónico los atributos específicos del mensaje (atributos MAPI).
Firma de tipo de archivo Establezca coincidencias con los tipos de archivos personalizados según la firma
personalizado binaria usando scripts.
Ver "Acerca de la identificación de tipos de archivos personalizados" en la página 841.
Ver "Activar la Firma de tipo de archivo predeterminado en la consola de políticas"

en la página 850.
Condición de coincidencia de protocolos para la red

Symantec Data Loss Prevention proporciona la única condición de Supervisión
de protocolo para buscar coincidencias en el tráfico de red para las reglas de
detección y las excepciones de políticas.
Ver "Protocolos que se pueden supervisar" en la página 407.
Tabla 16-8 Condición de coincidencia de protocolos para la supervisión de red
Condición de coincidencia Descripción
Supervisión de protocolo Establezca coincidencias de incidentes en la red transmitidos por medio de un

protocolo especificado, incluido SMTP, FTP, HTTP/S, MI y NNTP.
Ver "Configuración de la condición Supervisión de protocolo para la detección de

red" en la página 855.
Condiciones de coincidencia de endpoint

Symantec Data Loss Prevention proporciona varias condiciones para eventos de
coincidencia de endpoint.
Ver "Acerca de eventos de endpoint que se pueden detectar" en la página 407.
Tabla 16-9 Condiciones de coincidencia de endpoint
Condición Descripción
Supervisar endpoint/protocolo Coincida mensajes de endpoint transmitidos usando un protocolo de transporte

especificado o cuando los datos se mueven o se copian a un destino determinado.
Ver "Configuración de la condición de supervisión de endpoints" en la página 861.
ID o clase de dispositivo Coincida los eventos de endpoint que ocurren en los dispositivos de hardware
endpoint especificados.
Ver "Cómo configurar la condición de Id. o clase de dispositivo endpoint"

en la página 864.
Ubicación del endpoint Establezca coincedencias con los eventos de endpoint dependiendo de si el agente
DLP está dentro o fuera de la red corporativa.
Ver "Cómo configurar la condición de ubicación de endpoint" en la página 863.
Condiciones de coincidencia de grupos (identidad)

Symantec Data Loss Prevention proporciona varias condiciones para buscar
coincidencias de identidad de usuarios y grupos, y los remitentes y los destinatarios
de mensajes.
Las reglas del patrón del remitente y del destinatario son reutilizables en diferentes
políticas. Las reglas de Coincidencia de grupo de directorio (DGM) le permiten
establecer coincidencias de remitentes y destinatarios derivados de Active Directory
(DGM sincronizada) o de un perfil de datos estructurados (DGM perfilada).
Ver "Identidades que se pueden detectar" en la página 407.
Tabla 16-10 Reglas del grupo disponibles para la coincidencia de identidades
Regla de grupo Descripción
El remitente/usuario coincide Establece coincidencias con remitentes de mensajes y usuarios según la dirección
con el patrón de correo electrónico, el Id. de usuario, el nombre de pantalla de MI y la dirección
IP.
Ver "Cómo configurar la condición El remitente/usuario coincide con el patrón"

en la página 871.
El destinatario coincide con el Establece coincidencias con remitentes de mensajes según el correo electrónico
patrón o la dirección IP o dominio web.
Ver "Cómo configurar la condición El destinatario coincide con el patrón"

en la página 875.
Remitente/usuario basado en Establece coincidencias con remitentes de mensajes y usuarios de un servidor

un grupo de servidores de sincronizado del directorio.
directorios
en la página 881.
Ver "Configuración de la condición Remitente/usuario basado en un grupo de

servidores de directorios" en la página 886.
Remitente/usuario basado en Establece coincidencias con remitentes de mensajes y usuarios de un servidor

un directorio de: un Perfil de perfilado del directorio.
datos estructurados
Ver "Configurar la condición Remitente/usuario basado en un directorio perfilado"

en la página 893.
"Acerca de la detección de dos niveles para DGM perfilado" en la página 891.
Mensajes de detección y componentes de mensaje
Destinatario basado en un Establece coincidencias con destinatarios de mensajes desde un servidor

grupo de servidores de sincronizado del directorio.
directorios
en la página 881.
Ver "Configuración de la condición Destinatario basado en un grupo de servidores

de directorios" en la página 887.
"Acerca de la detección de dos niveles para DGM sincronizada" en la página 882.
Destinatario basado en un Establece coincidencias con destinatarios de mensajes desde un servidor perfilado
directorio de: un perfil de datos del directorio.
estructurados
Ver "Configurar perfiles de datos estructurados para DGM" en la página 891.
Ver "Configurar la condición Destinatario basado en un directorio perfilado"

en la página 894.
"Acerca de la detección de dos niveles para DGM perfilado" en la página 891.
Mensajes de detección y componentes de mensaje

Los servidores de detección de Data Loss Prevention y los Agentes DLP reciben
los datos de entrada para el análisis en forma de mensajes. El sistema determina
el tipo de mensaje; por ejemplo, un correo electrónico o un documento de Word.
Dependiendo del tipo de mensaje, el sistema analiza el contenido del mensaje en
los componentes (encabezado, asunto, cuerpo, archivos adjuntos) o deja el mensaje
intacto. El sistema evalúa el mensaje o los componentes del mensaje para verificar
si se aplica alguna condición de coincidencia de políticas. Si una condición se
aplica y admite la coincidencia de componentes, el sistema evalúa el contenido en
comparación con cada componente del mensaje seleccionado. Si la condición no
admite la coincidencia de componentes, el sistema evalúa el mensaje entero con
respecto a la condición de coincidencia.
Ver "Cómo seleccionar componentes para establecer una coincidencia"
en la página 459.
Las condiciones basadas en contenido admiten la coincidencia de componentes.
Es posible configurar las condiciones de contenido de DCM para establecer
coincidencias en todos los componentes del mensaje. La condición de EDM coincide
con el sobre, el cuerpo y los archivos adjuntos del mensaje. Las condiciones del
documento coinciden con el cuerpo del mensaje y los archivos adjuntos, excepto
el Tipo de archivo y el Nombre que coinciden solamente con el archivo adjunto.
Condiciones de excepción
Las condiciones de protocolo, endpoint e identidad coinciden con el mensaje entero,

al igual que cualquier condición evaluada por el Agente DLP. El componente del
asunto se aplica solamente al correo electrónico SMTP o a los mensajes NNTP.
Tabla 16-11 resume la coincidencia de componentes compatible con cada tipo de
condición de coincidencia.
Tabla 16-11 Componentes del mensaje para establecer coincidencias en
Tipo de condición Sobre Asunto Cuerpo Archivos adjuntos
Condiciones de contenido descrito coincidencia coincidencia coincidencia coincidencia

(DCM) para la detección de
contenido:
Palabra clave, identificador de

datos, expresión regular
Coincidencia de datos coincidencia coincidencia coincidencia

estructurados (EDM)
Coincidencia de documentos coincidencia coincidencia

indizados (IDM)
Aprendizaje de máquina vectorial coincidencia coincidencia

(VML)
Reconocimiento de formularios coincidencia
Tamaño del archivo (DCM) coincidencia coincidencia
Tipo de archivo y nombre del coincidencia

archivo (DCM)
Protocolo (DCM) coincidencia (mensaje entero)
Endpoint (DCM) coincidencia (mensaje entero)
Identidad (DCM y DGM) coincidencia (mensaje entero)
Cualquier condición evaluada por coincidencia (mensaje entero)

el agente DLP
Symantec Data Loss Prevention proporciona excepciones de políticas para excluir
mensajes y componentes de mensajes de las coincidencias. Es posible usar las
condiciones de excepción para perfeccionar el alcance de sus reglas de detección
y de grupos.
Ver "Use un número limitado de excepciones para limitar el alcance de detección"

en la página 495.
Advertencia: No use varias excepciones compuestas en una única política. Hacerlo

puede causar que la detección se quede sin memoria. Si encuentra que la política
necesita varias excepciones compuestas para producir las coincidencias, es
necesario reconsiderar el diseño de las condiciones de coincidencia.
El sistema evalúa un mensaje o un componente de mensaje entrante en

comparación con excepciones de políticas antes que las reglas de políticas. Si la
excepción admite la coincidencia entre componentes (excepciones basadas en
contenido), la excepción se puede configurar para que busque coincidencias en
los componentes individuales del mensaje. De lo contrario, la excepción coincide
con el mensaje entero.
Si se encuentra una excepción, el sistema expulsa el mensaje entero o el
componente del mensaje que contiene el contenido que activó la excepción. El
mensaje o el componente del mensaje expulsado ya no están disponibles para la
evaluación frente a las reglas de políticas. El sistema no desecha solamente el
elemento de datos o el contenido con el que se estableció coincidencia; desecha
el mensaje entero o el componente del mensaje que contiene el elemento excluido.
Nota: Symantec Data Loss Prevention no admite excepciones de nivel de

coincidencia, solo excepciones de nivel de componente o mensaje.
Por ejemplo, considere una política que tiene una regla de detección con una
condición y una excepción con una condición. La regla coincide con todos los
mensajes que contienen archivos adjuntos de Microsoft Word y genera un incidente
para cada coincidencia. La excepción excluye de las coincidencia mensajes de
ceo@company.com. Un correo electrónico de ceo@compañía.com que contiene un
archivo adjunto de Word se exceptúa de la coincidencia y no activa un incidente.
La condición de excepción de la detección que excluye los mensajes de
ceo@company.com toma precedencia sobre la condición de coincidencia de la regla
de detección que, de otra manera, coincidiría con el mensaje.
Ver "Ejecución de detección de políticas" en la página 426.
Es posible implementar cualquier condición como excepción, salvo la condición El
contenido coincide con datos estructurados de de EDM. Además, Network
Prevent for Web no admite excepciones de DGM sincronizada. Es posible
implementar IDM como excepción, pero la excepción excluye los archivos exactos
de las coincidencias, sin contenido de archivo. Para excluir el contenido de archivos,
Condiciones compuestas
debe incluirlo en una "lista blanca". VML se puede usar como excepción si el
contenido es de la misma categoría.
Ver "Cómo agregar una excepción a una política" en la página 460.
Ver "Plantilla de políticas de la Ley CAN-SPAM" en la página 1271.
Ver "Colocación en una lista blanca de contenido de archivo para excluirlo de la
coincidencia parcial" en la página 624.
Condiciones compuestas
Una política válida debe declarar por lo menos una regla que defina por lo menos
una condición de coincidencia. La condición hace coincidir datos de entrada para
detectar pérdidas de datos. Una regla con una única condición es una regla simple.
Opcionalmente, se pueden declarar varias condiciones dentro de una única
detección o una regla de grupo. Una regla con varias condiciones es una regla
compuesta.
Para las condiciones compuestas, cada condición en la regla debe coincidir para
activar una infracción. Así, para una única política que declare una regla con dos
condiciones, si una condición coincide, pero la otra no, la detección no informa una
coincidencia. Si ambas condiciones coinciden, la detección informa una coincidencia
y asume que la regla está configurada para contar todas las coincidencias. En
términos programáticos, dos o más condiciones en la misma regla son Y juntas.
Como reglas, se pueden declarar varias condiciones dentro de una única excepción.
En este caso, todas las condiciones en la excepción deben coincidir para que la
excepción se aplique.
Ver "Uso de condiciones compuestas para mejorar la exactitud de coincidencia"
en la página 496.
Ejecución de detección de políticas

Es posible incluir cualquier combinación de excepciones y reglas de detección y
de grupo en una única política. Un servidor de detección evalúa las excepciones
de políticas primero. Si se cumple alguna excepción, el mensaje entero o el
componente de mensaje que coincida con la excepción se rechaza y deja de estar
disponible para las coincidencias de políticas.
El servidor de detección evalúa las reglas de detección y de grupo en la política
en cada regla. En términos de programación, donde existe una única definición de
Detección de dos niveles para Agentes DLP
políticas, la conexión entre las condiciones en la misma regla o la excepción es Y

(condiciones compuestas). La conexión entre dos o más reglas del mismo tipo es
OR (por ejemplo, 2 reglas de detección). Pero, si se combinan las reglas de diferente
tipo en una única política (por ejemplo, 1 regla de detección y 1 regla de grupo),
la conexión entre las reglas es AND. En esta configuración, ambas reglas deben
coincidir para activar un incidente. Sin embargo, las condiciones de excepción
creadas en las fichas "Detección" y "Grupos" se conectan con una OR implícita.
Tabla 16-12 resume la lógica de ejecución de condiciones de políticas para el
servidor de detección para las diversas configuraciones de políticas.
Tabla 16-12 Lógica de ejecución de condiciones de políticas
Configuración de Lógica Descripción

políticas
Condiciones compuestas AND Si una única regla o excepción en una política contiene dos o
más condiciones de coincidencia, todas las condiciones deben
coincidir.
Reglas o excepciones del OR Si hay dos reglas de detección en una única política, dos reglas
mismo tipo de grupo en una única política o dos excepciones del mismo
tipo (detección o grupo), las reglas o las excepciones son
independientes entre sí.
Reglas de distinto tipo AND Si una o más reglas de detección se combinan con una o más
reglas de grupo en una única política, las reglas son
dependientes.
Excepciones de distinto tipo OR Si una o más excepciones de detección se combinan con una
o más excepciones de grupo en una única política, las
excepciones son independientes.

Symantec Data Loss Prevention usa una arquitectura de detección de dos niveles
para analizar la actividad en los endpoints para algunas condiciones de coincidencia
basada en índices.
La detección de dos niveles requiere la comunicación y la transferencia de datos
entre Agente DLP y el servidor de endpoints para detectar incidentes. Si una
condición de coincidencia requiere detección de dos niveles, la condición no se
evalúa localmente en el endpoint por parte del Agente DLP. En su lugar, el Agente
DLP envía los datos al servidor de endpoints para la evaluación de políticas.
Ver "Instrucciones para la creación de políticas de endpoint" en la página 2003.
El efecto de la detección de dos niveles es que la evaluación de políticas se retrasa
por el tiempo que tarda el servidor de endpoints en enviar y evaluar los datos. Si
el Agente DLP no se conecta a la red o no puede comunicarse con servidor de
endpoints, la condición que requiere detección de dos niveles no se evalúa hasta
que se conecta el Agente DLP. Este retraso puede afectar el rendimiento del Agente
DLP si mensaje es un archivo adjunto o un archivo grande.
Ver "Políticas de solución de problemas" en la página 484.
La detección de dos niveles tiene implicaciones para las clases de políticas que
crea para los endpoints. Es posible reducir el cuello de botella potencial de detección
de dos niveles al ser consciente de las condiciones de detección que requieren
detección de dos niveles y crear políticas de endpoint de modo que eliminen o
reduzcan la necesidad de detección de dos niveles.
Ver "Creación de políticas para limitar el efecto potencial de detección de dos
niveles" en la página 497.
Tabla 16-13 enumera las condiciones de detección que requieren detección de
dos niveles en el endpoint.
Nota: No es posible combinar la regla de respuesta Endpoint Prevent: Notificar o

bloquear con las condiciones de coincidencia de dos niveles, incluidos Coincidencia
de datos estructurados (EDM), Coincidencia de grupo de directorios perfilada (DGM)
o Coincidencia de documentos indizados (IDM) cuando la detección de dos niveles
está habilitada. Si lo hace, el sistema muestra una advertencia para la condición
de detección y la regla de respuesta.
Tabla 16-13 Condiciones de coincidencia de políticas que requieren detección

de dos niveles
Tecnología de detección Condición de coincidencia Descripción
Coincidencia de datos estructurados El contenido coincide exactamente Ver "Presentación de la coincidencia

(EDM) con los datos de un perfil de datos de datos estructurados (EDM)"
estructurados en la página 500.
Ver "Acerca de la detección de dos

niveles para EDM en el endpoint"
en la página 511.
Tecnología de detección Condición de coincidencia Descripción
Coincidencia de grupos de directorios Remitente/usuario basado en un Ver "Presentación de la coincidencia

perfilados (DGM) directorio de un perfil de datos de grupo de directorio (DGM)"
Destinatario basado en un Ver "Acerca de la detección de dos

directorio de un perfil de datos niveles para DGM perfilado"
Coincidencia de grupos de directorios Destinatario basado en un grupo de Ver "Presentación de la coincidencia

sincronizados (DGM) servidores de directorios de grupo de directorio (DGM)
sincronizada" en la página 881.
Ver "Acerca de la detección de dos

niveles para DGM sincronizada"
en la página 882.
Coincidencia de documentos El contenido coincide con la firma Ver "Presentación de coincidencia de

indizados (IDM) del documento de un perfil de documentos indexados (IDM)"
documento indizado en la página 606.
Ver "Detección de IDM de dos niveles"

en la página 609.
Nota: La detección de dos niveles
para IDM se aplica solamente si está
habilitada en el Servidor de endpoints
(two_tier_idm = on). Si se habilita IDM
de endpoints (two_tier_idm = off), la
detección de dos niveles no se utiliza.
Capítulo 17
Cómo crear las políticas de
las plantillas
■ Cómo crear una política de una plantilla
■ Plantillas de políticas de aplicación de regulaciones de los EE. UU.
■ Plantillas de políticas de la regulación general de protección de datos
■ Plantillas de políticas de aplicación de regulaciones internacionales
■ Plantillas de políticas de protección de datos de clientes y empleados
■ Plantillas de políticas de protección de datos confidenciales o clasificados
■ Plantillas de políticas de aplicación de seguridad de la red
■ Plantillas de la política Aplicación de uso aceptable
■ Plantilla de políticas de aplicación de regulaciones de datos personales de

Columbia
■ Selección de un perfil de datos estructurados
■ Cómo elegir un perfil de documento indizado
Cómo crear una política de una plantilla

Es posible crear una política a partir de una plantilla provista por el sistema o de
una plantilla importada a Enforce Server.
Cómo crear las políticas de las plantillas 431
Tabla 17-1 Crear una política a partir de una plantilla
Agregar una política a partir de Ver "Cómo agregar una nueva política o plantilla de políticas" en la página 447.
una plantilla.
Elija la plantilla que desee usar. En la pantalla Administrar > Políticas > Lista de políticas > Nueva política -
Lista de plantillas el sistema enumera todas las plantillas de políticas.
Categorías de plantillas proporcionadas por el sistema:
■ Ver "Plantillas de políticas de aplicación de regulaciones de los EE. UU."

en la página 433.
■ Ver "Plantillas de políticas de la regulación general de protección de datos"
en la página 435.
■ Ver "Plantillas de políticas de aplicación de regulaciones internacionales"
en la página 436.
■ Ver "Plantillas de políticas de protección de datos de clientes y empleados"
en la página 437.
■ Ver "Plantillas de políticas de protección de datos confidenciales o clasificados"
en la página 439.
■ Ver "Plantillas de políticas de aplicación de seguridad de la red" en la página 440.
■ Ver "Plantillas de la política Aplicación de uso aceptable" en la página 441.
■ Ver "Plantilla de políticas de aplicación de regulaciones de datos personales
de Columbia" en la página 442.
Plantillas importadas aparece individualmente después de la importación:
■ Ver "Importación de plantillas de políticas" en la página 480.
Haga clic en Siguiente para Por ejemplo, seleccione la plantilla de políticas de Correo web y haga clic en
configurar la política. Siguiente.

Seleccionar un perfil de datos (si Si la plantilla se basa en uno o más perfiles de datos, el sistema le solicita
se le solicita). seleccionar cada uno:
■ Perfil de datos estructurados
Ver "Selección de un perfil de datos estructurados" en la página 443.
■ Perfil de documento indizado
Ver "Cómo elegir un perfil de documento indizado" en la página 445.
Si no tiene un perfil de datos, puede optar entre lo siguiente:
■ Cancele el proceso de definición de políticas, defina el perfil y reanude la

creación de la política a partir de la plantilla.
■ Haga clic en Siguiente para configurar la política.
Cuando se crea la política, el sistema da de baja cualquier regla o excepción
que se basen en el perfil de datos.
Nota: Es necesario usar un perfil si una plantilla lo solicita.
Editar el nombre o la descripción Si se propone modificar una plantilla definida por el sistema, puede cambiar el
de la política (opcional). nombre de forma que pueda distinguirlo del original.

Nota: Si desea exportar la política como plantilla, el nombre de política debe tener
menos de 60 caracteres. Si se excede ese límite, la plantilla no aparece en la
sección Plantillas importadas de la pantalla Lista de plantillas.
Nota: El campo Etiqueta de la política está reservado para el portal con

autoservicio de Veritas Data Insight.
Seleccionar un grupo de políticas Si ha definido un grupo de políticas, selecciónelo de la lista de Grupo de políticas.
(si es necesario).
Si no ha definido un grupo de políticas, el sistema implementa la política en el

Grupo de políticas predeterminado.
Editar las reglas o excepciones La pantalla Configurar política muestra las reglas y las excepciones (si las hubiera)
de política (si es necesario). proporcionadas por la política.
Es posible modificar, agregar y eliminar reglas de políticas y excepciones para

cumplir sus requisitos.
Ver "Configuración de reglas de políticas" en la página 453.
Ver "Cómo configurar excepciones de políticas" en la página 463.

Plantillas de políticas de aplicación de regulaciones de los EE. UU.
Guardar la política y exportarla Haga clic en Guardar para guardar la política.

(opcional).
Es posible exportar la detección de políticas como plantilla para compartir o archivar.
Por ejemplo, si cambió la configuración de una plantilla de políticas definida por

el sistema, puede exportarla para compartirla a través de diversos entornos.
Probar y ajustar la política Pruebe y ajuste la política usando datos que la política debe y que no debe detectar.
(recomendado).
Revise los incidentes que la política genera. Perfeccione las reglas y las
excepciones de políticas como sea necesario para reducir falsos positivos y falsos
negativos.
Agregar reglas de respuesta Agregue reglas de respuesta a la política para informar y reparar infracciones.
(opcional).
Ver "Implementación de reglas de respuesta" en la página 1425.
Nota: Las reglas de respuesta no se incluyen en las plantillas de políticas.

de los EE. UU.
Symantec Data Loss Prevention proporciona varias plantillas de políticas que
admiten las pautas de aplicación de regulaciones de los EE. UU.
Tabla 17-2 Plantillas de políticas de aplicación de regulaciones de los EE. UU.
Plantilla de políticas Descripción
Ley CAN-SPAM Establece los requisitos para enviar correos electrónicos

comerciales.
Ver "Plantilla de políticas de la Ley CAN-SPAM" en la página 1271.
Clasificación de GENSER del Sistema de Detecta la información clasificada como confidencial.

Mensajes de Defensa (DMS)
Ver "Plantilla de políticas Clasificación de GENSER del Sistema
de Mensajes de Defensa (DMS)" en la página 1282.
Regulaciones de Administración de Exportaciones Impone las Regulaciones de Administración de Exportaciones del

(EAR) Departamento de Comercio de los EE. UU. (EAR).
Ver "Plantilla de políticas de Regulaciones de Administración de

Exportaciones (EAR)" en la página 1287.
Plantillas de políticas de aplicación de regulaciones de los EE. UU.
FACTA 2003 (Reglas de alerta) Aplica las secciones 114 y 315 (o reglas de alerta) de la Ley de
Transacciones de Crédito Imparciales y Exactas (FACTA) del año
2003.
Ver "Plantilla de políticas de FACTA 2003 (reglas de alerta)"
en la página 1288.
Gramm-Leach-Bliley Esta política limita el uso compartido de información del

consumidor entre instituciones financieras.
Ver "Plantilla de políticas de Gramm-Leach-Bliley" en la página 1347.
HIPAA e HITECH (incluida PHI [del inglés Esta política aplica la Ley de Portabilidad y de Responsabilidad
Protected Health Information: Información del Seguro de Salud de EE. UU. (HIPAA).
Protegida sobre la Salud])
Ver "Plantilla de la política HIPAA e HITECH (incluida PHI [del
inglés Protected Health Information: Información Protegida sobre
la Salud]) " en la página 1349.
Regulaciones de Tráfico Internacional de Armas Esta política aplica las cláusulas de ITAR del Departamento de
(ITAR) Estado de los EE. UU.
Ver "Plantilla de políticas de Regulaciones de Tráfico Internacional

de Armas (ITAR)" en la página 1357.
Regla 2711 de NASD y reglas 351 y 472 de NYSE Esta política protege los nombres de cualquier compañía que
(del inglés New York Stock Exchange: Bolsa de participe en una oferta de acciones próxima.
Valores de Nueva York)
Ver "Plantilla de políticas de regla 2711 de NASD y reglas 351 y
472 de NYSE" en la página 1361.
Regla 3010 de NASD y regla 342 de NYSE Esta política supervisa las comunicaciones de los corredores de
bolsa.
Ver "Plantilla de políticas de regla 3010 de NASD y regla 342 de

NYSE" en la página 1362.
Pautas de seguridad para empresas de Esta política detecta información detallada en las pautas de
electricidad del NERC seguridad del Consejo Norteamericano de Confiabilidad Eléctrica
(NERC) destinadas al sector eléctrico.
Ver "Plantilla de políticas de Pautas de seguridad para empresas

de electricidad del NERC" en la página 1364.
Oficina de Control de Activos Internacionales Esta plantilla detecta comunicaciones que implican grupos de
(OFAC) destino de la OFAC.
Ver "Plantilla de políticas de la Oficina de Control de Activos

Internacionales (OFAC)" en la página 1368.
Plantillas de políticas de la regulación general de protección de datos
Regulaciones FIPS 199 y Memorándum 06-16 de Esta plantilla detecta la información que se clasifica como
la OMB confidencial.
Ver "Plantilla de políticas de Regulaciones FIPS 199 y
Memorándum 06-16 de la OMB" en la página 1370.
Estándar de seguridad de los datos para la Esta plantilla detecta datos de número de tarjeta de crédito.
industria de pagos con tarjeta de crédito.
Ver "Plantilla de políticas Estándar de Seguridad de los Datos
para la Industria de Pagos con Tarjeta de Crédito (PCI)"
en la página 1372.
Sarbanes-Oxley Esta plantilla detecta datos financieros confidenciales.
Ver "Plantilla de políticas Sarbanes-Oxley" en la página 1380.
Regulación de divulgación equitativa de la SEC Esta plantilla detecta divulgación de información financiera
material.
Ver "Plantilla de políticas Regulación de divulgación equitativa de

la SEC" en la página 1383.
Leyes estatales de privacidad de datos Esta plantilla detecta infracciones de confidencialidad exigidas
por el Estado.
Ver "Plantilla de la política Leyes estaduales de privacidad de

Marcaciones de control de inteligencia de los EE. Esta plantilla detecta términos autorizados para identificar
UU. (CAPCO) y DCID 1/7 información confidencial en la comunidad de Inteligencia federal
de los EE. UU.
Ver "Plantilla de políticas Marcaciones de control de inteligencia

de los EE. UU. (CAPCO) y DCID 1/7" en la página 1395.
Plantillas de políticas de la regulación general de

protección de datos
Symantec Data Loss Prevention proporciona varias plantillas de política para el
cumplimiento de la regulación general de protección de datos (GDPR).
Plantillas de políticas de aplicación de regulaciones internacionales
Tabla 17-3
Regulaciones generales de protección de datos (sectores Esta política protege la información de identificación
bancario y financiero) personal relacionada con la actividad bancaria y financiera.
Ver "Regulación general de protección de datos (sectores
bancario y financiero)" en la página 1295.
Regulación general de protección de datos (identidad Esta política protege información de identificación personal
digital) relacionada con la identidad digital.
Ver "Regulación general de protección de datos (identidad

digital)" en la página 1310.
Regulación general de protección de datos (identificación Esta política protege información de identificación personal
gubernamental) relacionada con identificación gubernamental.
Ver "Regulación general de protección de datos

(identificación gubernamental)" en la página 1311.
Regulación general de protección de datos (atención Esta política protege información de identificación personal
sanitaria y seguros) relacionada con atención sanitaria y seguros.
Ver "Regulación general de protección de datos (atención

sanitaria y seguros)" en la página 1330.
Regulación general de protección de datos (perfil personal) Esta política protege información de identificación personal
relacionada con datos de perfiles personales.
Ver "Regulación general de protección de datos (perfil

personal)" en la página 1340.
Regulación general de protección de datos (viaje) Esta política protege información de identificación personal
relacionada con viajes.
Ver "Regulación general de protección de datos (viaje)"

en la página 1341.

internacionales
Symantec Data Loss Prevention proporciona varias plantillas de políticas para la
aplicación de regulaciones internacionales.
Plantillas de políticas de protección de datos de clientes y empleados
Tabla 17-4 Plantillas de políticas de aplicación de regulaciones internacionales
Informe de Caldicott Esta política protege la información de pacientes del Reino Unido.
Ver "Plantilla de políticas del informe de Caldicott" en la página 1268.
Ley 1998 de la protección de datos Esta política protege información de identificación personal.
Ver "Plantilla de la políticas de la Ley de Protección de Datos del año 1998"

en la página 1278.
Políticas de protección de datos de la Esta política detecta datos personales específicos de las políticas de la UE.
UE
Ver "Plantilla de políticas de la protección de datos (UE)" en la página 1280.
Ley de Derechos Humanos de 1998 Esta política impone el artículo 8 de la ley para los ciudadanos del Reino
Unido.
Ver "Plantilla de políticas de la Ley de Derechos Humanos del año 1998"

en la página 1355.
PIPEDA Esta política detecta datos de cliente de ciudadanos canadienses.
Ver "Plantilla de políticas PIPEDA" en la página 1373.
Plantillas de políticas de protección de datos de

clientes y empleados
Symantec Data Loss Prevention proporciona varias plantillas de políticas de
protección de datos de clientes y empleados.
Tabla 17-5 Plantillas de políticas de protección de datos de clientes y empleados
Números de seguro social de Canadá Esta política detecta los patrones que indican números de seguro
social canadienses.
Ver "Plantilla de políticas de los números de seguro social de Canadá"

en la página 1270.
Números de tarjeta de crédito Esta política detecta los patrones que indican los números de tarjeta
de crédito.
Ver "Plantilla de políticas de los números de tarjeta de crédito"

en la página 1275.
Plantillas de políticas de protección de datos de clientes y empleados
Protección de datos de clientes Esta política detecta datos del cliente.
Ver "Plantilla de políticas de protección de datos de clientes"

en la página 1276.
Protección de datos de empleados Esta política detecta datos del empleado.
Ver "Plantilla de políticas de la protección de datos de empleados"

en la página 1285.
Números de Identificación Personal del Esta política detecta los números de procesamiento fiscal emitidos
Contribuyente (ITIN) de los EE. UU. por el IRS.
Ver "Plantilla de políticas de números de Identificación Personal del

Contribuyente (ITIN)" en la página 1356.
Códigos SWIFT Esta política detecta el uso de códigos bancarios para transferir dinero
a través de fronteras internacionales.
Ver "Plantilla de políticas Códigos SWIFT" en la página 1391.
Números de licencias de conducir del Reino Esta política detecta números de licencias de conducir del Reino Unido.
Unido
Ver "Plantilla de políticas de números de licencia de conducir del Reino
Unido" en la página 1392.
Números de registro electoral del Reino Unido Esta política detecta los números de registro electoral del Reino Unido.
Ver "Plantilla de políticas Números de registro electoral del Reino

Números de seguro nacional del Reino Unido Esta política detecta los números de seguro nacional del Reino Unido.
Ver "Plantilla de políticas Números de seguro nacional del Reino Unido"

en la página 1394.
Número de Servicio Nacional de Salud del Esta política detecta números de identificación personal emitidos por
Reino Unido el Servicio Nacional de Salud (NHS).
Ver "Plantilla de políticas de número de servicio nacional de salud

(NHS) del Reino Unido" en la página 1393.
Números de pasaporte del Reino Unido Esta política detecta pasaportes válidos del Reino Unido.
Ver "Plantilla de políticas Números de pasaporte del Reino Unido"

en la página 1394.
Números de identificación fiscal del Reino Esta política detecta los números de identificación fiscal del Reino
Unido Unido.
Ver "Plantilla de políticas Números de identificación fiscal del Reino

Plantillas de políticas de protección de datos confidenciales o clasificados
Números de la seguridad social de los EE. Esta política detecta los patrones que indican los números de la
UU. seguridad social.
Ver "Plantilla de políticas de números de la seguridad social de los
EE. UU." en la página 1396.
Plantillas de políticas de protección de datos

confidenciales o clasificados
Symantec Data Loss Prevention proporciona varias plantillas de políticas de
protección de datos confidenciales o clasificados.
Tabla 17-6 Plantillas de políticas de protección de datos confidenciales o

clasificados
Documentos confidenciales Esta política detecta los documentos confidenciales de la compañía.
Ver "Plantilla de políticas de documentos confidenciales" en la página 1274.
Documentos de diseño Esta política detecta diversos tipos de documentos de diseño.
Ver "Plantilla de políticas de documentos de diseño" en la página 1284.
Datos cifrados Esta política detecta el uso del cifrado mediante una variedad de métodos.
Ver "Plantilla de políticas de datos cifrados" en la página 1286.
Información financiera Esta política detecta información y datos financieros.
Ver "Plantilla de políticas de información financiera" en la página 1292.
Acuerdos de fusión y adquisición Esta política detecta información y comunicaciones sobre actividades
próximas de fusión y adquisición.
Ver "Plantilla de políticas Acuerdos de fusión y adquisición" en la página 1359.
Información sobre precios Esta política detecta SKU específicos e información sobre precios.
Ver "Plantilla de políticas Información sobre precios" en la página 1375.
Datos de proyectos Esta política detecta discusiones de proyectos confidenciales.
Ver "Plantilla de políticas Datos de proyectos" en la página 1376.

Plantillas de políticas de aplicación de seguridad de la red
Archivos de soportes propietarios Esta política detecta diversos tipos de archivos de video y audio.
Ver "Plantilla de políticas Archivos de soportes propietarios"

en la página 1376.
Documentos de publicación Esta política detecta diversos tipos de documentos de publicación.
Ver "Plantilla de políticas Documentos de publicación" en la página 1377.
Currículum vítae Esta política detecta búsquedas activas de trabajo.
Ver "Plantilla de políticas Currículum vítae" en la página 1379.
Código fuente Esta política detecta diversos tipos de código fuente.
Ver "Plantilla de políticas Código fuente" en la página 1385.
Symantec DLP Awareness and Avoidance Esta política detecta cualquier comunicación con respecto a Symantec
DLP u otros sistemas de prevención de pérdida de datos y posible evasión
de la detección.
Ver "Plantilla de políticas Symantec DLP Awareness and Avoidance"

en la página 1392.
Plantillas de políticas de aplicación de seguridad de

la red
Symantec Data Loss Prevention proporciona varias plantillas de políticas para la
aplicación de seguridad de la red.
Tabla 17-7 Plantillas de políticas de aplicación de seguridad de la red
Sitios comunes de carga de spyware Esta política detecta el acceso a páginas web de carga de spyware comunes.
Ver "Plantilla de políticas de sitios comunes de carga de spyware"

en la página 1273.
Diagramas de red Esta política detecta diagramas de redes informáticas.
Ver "Plantilla de políticas Diagramas de red" en la página 1366.
Seguridad de la red Esta política detecta pruebas de herramientas de hacking y planificación de

ataques.
Ver "Plantilla de políticas Seguridad de la red" en la página 1367.

Plantillas de la política Aplicación de uso aceptable
Archivos de contraseña Esta política detecta formatos de archivos de contraseña.
Ver "Plantilla de políticas Archivos de contraseña" en la página 1371.
Plantillas de la política Aplicación de uso aceptable

Symantec Data Loss Prevention proporciona varias plantillas de políticas para
permitir usos aceptables de la información.
Tabla 17-8 Plantillas de la política Aplicación de uso aceptable
Comunicaciones con competidores Esta política detecta comunicaciones prohibidas con los competidores.
Ver "Plantilla de políticas de las comunicaciones con competidores"

en la página 1274.
Sitios web prohibidos Esta política detecta el acceso a los sitios web especificados.
Ver "Plantilla de políticas de sitios web prohibidos" en la página 1293.
Apuesta Esta política detecta cualquier referencia a apuestas.
Ver "Plantilla de políticas de apuestas" en la página 1294.
Drogas ilegales Esta política detecta conversaciones acerca de drogas ilegales y sustancias
de uso controlado.
Ver "Plantilla de políticas de drogas ilegales" en la página 1356.
Archivos de soportes Esta política detecta diversos tipos de archivos de video y audio.
Ver "Plantilla de políticas Archivos de soportes" en la página 1358.
Vocabulario ofensivo Esta política detecta el uso de vocabulario ofensivo.
Ver "Plantilla de políticas Vocabulario ofensivo" en la página 1367.
Vocabulario racista Esta política detecta el uso de vocabulario racista.
Ver "Plantilla de políticas Vocabulario racista" en la página 1378.
Archivos restringidos Esta política detecta diversos tipos de archivo que, por lo general, resultan
inadecuados para enviar a destinos externos a la empresa.
Ver "Plantilla de políticas Archivos restringidos" en la página 1378.

Plantilla de políticas de aplicación de regulaciones de datos personales de Columbia
Destinatarios restringidos Esta política detecta comunicaciones con destinatarios especificados.
Ver "Plantilla de políticas Destinatarios restringidos" en la página 1379.
Vocabulario sexualmente explícito Esta política detecta contenido sexualmente explícito.
Ver "Plantilla de políticas Vocabulario sexualmente explícito" en la página 1385.
Violencia y armas Esta política detecta el uso de vocabulario violento y conversaciones sobre
armas.
Ver "Plantilla de políticas de violencia y armas" en la página 1397.
Correo web Esta política detecta el uso de una variedad de servicios de correo web.
Ver "Plantilla de políticas Correo web" en la página 1397.
Actividad en paneles de mensajes de Esta política detecta actividad en paneles de mensajes de Yahoo!.
Yahoo!
Ver "Plantilla de políticas Actividad en paneles de mensajes de Yahoo!"
en la página 1398.
Mensajería Yahoo! y MSN en el puerto Esta política detecta actividad de mensajería de Yahoo IM y MSN Messenger.
80
Ver "Plantilla de políticas Mensajería Yahoo! y MSN en el puerto 80"
en la página 1400.
Plantilla de políticas de aplicación de regulaciones

de datos personales de Columbia
Symantec Data Loss Prevention proporciona plantillas de política para la aplicación
de las regulaciones de datos personales de Columbia.
Tabla 17-9 Plantilla de políticas de aplicación de regulaciones de datos

personales de Columbia
Ley 1581 de protección de datos personales de Columbia Esta política detecta infracciones de la Ley 1581 de
protección de datos personales de Columbia.
Ver "Plantilla de política de Ley 1581 de protección de

datos personales de Colombia" en la página 1272.
Selección de un perfil de datos estructurados

Si la plantilla de políticas seleccionada implementa la coincidencia de datos
estructurados (EDM), el sistema le solicita seleccionar un perfil de datos
estructurados. Tabla 17-10 enumera las plantillas de políticas que se basan en
perfiles de datos estructurados.
Si no tiene un perfil de datos estructurados, puede cancelar la creación de políticas
y definir un perfil. O puede elegir no usar un perfil de datos estructurados. En este
caso el sistema deshabilita las reglas de detección de EDM asociadas en la plantilla
de políticas. Es posible usar cualquier regla de DCM o las excepciones que la
plantilla de políticas proporcione.
Para elegir un perfil de datos estructurados
1 Seleccione un Perfil de datos exactos de la lista de perfiles disponibles.
2 Haga clic en Siguiente para continuar con la creación de la política de la
plantilla.
Haga clic en Anterior para volver a la lista de plantillas de políticas.
Nota: Cuando el sistema le solicite seleccionar un perfil de datos estructurados, la

pantalla enumera las columnas de los datos para incluir en el perfil y así
proporcionar el más alto nivel de exactitud. Si los campos de datos en el perfil de
datos estructurados no se representan en la plantilla de políticas seleccionada, el
sistema muestra esos campos para hacer coincidir el contenido cuando se define
la regla de detección.
Tabla 17-10 Plantillas de políticas que implementan la coincidencia de datos

estructurados (EDM)
Informe de Caldicott Ver "Plantilla de políticas del informe de Caldicott" en la página 1268.
Protección de datos de clientes Ver "Plantilla de políticas de protección de datos de clientes"

en la página 1276.
Ley 1988 de la protección de datos Ver "Plantilla de la políticas de la Ley de Protección de Datos del año
1998" en la página 1278.
Protección de datos de empleados Ver "Plantilla de políticas de la protección de datos de empleados"

en la página 1285.
Políticas de protección de datos de la UE Ver "Plantilla de políticas de la protección de datos (UE)"

en la página 1280.
Regulaciones de Administración de Ver "Plantilla de políticas de Regulaciones de Administración de

Exportaciones (EAR) Exportaciones (EAR)" en la página 1287.
FACTA 2003 (Reglas de alerta) Ver "Plantilla de políticas de FACTA 2003 (reglas de alerta)"
en la página 1288.
Regulaciones generales de protección de Ver "Regulación general de protección de datos (sectores bancario y
datos (sectores bancario y financiero) financiero)" en la página 1295.
Regulaciones generales de protección de Ver "Regulación general de protección de datos (identidad digital)"
datos (identidad digital) en la página 1310.
Regulaciones generales de protección de Ver "Regulación general de protección de datos (identificación

datos (identificación gubernamental) gubernamental)" en la página 1311.
Regulaciones generales de protección de Ver "Regulación general de protección de datos (atención sanitaria y
datos (atención sanitaria y seguros) seguros)" en la página 1330.
Regulaciones generales de protección de Ver "Regulación general de protección de datos (perfil personal)"
datos (perfil personal) en la página 1340.
Regulaciones generales de protección de Ver "Regulación general de protección de datos (viaje)" en la página 1341.
datos (viaje)
Gramm-Leach-Bliley Ver "Plantilla de políticas de Gramm-Leach-Bliley" en la página 1347.
HIPAA y HITECK (incluso PHI) Ver "Plantilla de la política HIPAA e HITECH (incluida PHI [del inglés
Protected Health Information: Información Protegida sobre la Salud])
" en la página 1349.
Ley de Derechos Humanos de 1998 Ver "Plantilla de políticas de la Ley de Derechos Humanos del año
1998" en la página 1355.
Regulaciones de Tráfico Internacional de Ver "Plantilla de políticas de Regulaciones de Tráfico Internacional de

Armas (ITAR) Armas (ITAR)" en la página 1357.
Estándar de seguridad de los datos para la Ver "Plantilla de políticas Estándar de Seguridad de los Datos para la
industria de pagos con tarjeta de crédito. Industria de Pagos con Tarjeta de Crédito (PCI)" en la página 1372.
PIPEDA Ver "Plantilla de políticas PIPEDA" en la página 1373.
Información sobre precios Ver "Plantilla de políticas Información sobre precios" en la página 1375.
Cómo elegir un perfil de documento indizado
Currículum vítae Ver "Plantilla de políticas Currículum vítae" en la página 1379.
Leyes estatales de privacidad de datos Ver "Plantilla de políticas Regulación de divulgación equitativa de la
SEC" en la página 1383.

Si la plantilla de políticas que eligió utiliza detección mediante coincidencia de
documentos indizados (IDM), el sistema le solicita seleccionar el perfil de
documento.
Para usar un perfil de documento
1 Seleccione Perfil de documento de la lista de perfiles disponibles.
2 Haga clic en Siguiente para crear la política a partir de la plantilla.
Si no tiene un perfil de documento, puede cancelar la creación de políticas y definir
el perfil de documento. O puede elegir no usar un perfil de documento. En este
caso el sistema deshabilita cualquier regla o excepciones de IDM para la sesión
de políticas. Si la plantilla de políticas contiene reglas o excepciones de DCM,
puede usarlas.
Tabla 17-11 Plantillas de políticas que implementan la coincidencia de

documentos indizados (IDM)
Ley CAN-SPAM (excepción de IDM) Ver "Plantilla de políticas de la Ley CAN-SPAM" en la página 1271.
Regla 2711 de NASD y reglas 351 y 472 Ver "Plantilla de políticas de regla 2711 de NASD y reglas 351 y 472 de
de NYSE (del inglés New York Stock NYSE" en la página 1361.
Exchange: Bolsa de Valores de Nueva
York)
Pautas de seguridad para empresas de Ver "Plantilla de políticas de Pautas de seguridad para empresas de
electricidad del NERC electricidad del NERC" en la página 1364.
Sarbanes-Oxley Ver "Plantilla de políticas Sarbanes-Oxley" en la página 1380.

Regulación de divulgación equitativa de la Ver "Plantilla de políticas Regulación de divulgación equitativa de la SEC"
SEC en la página 1383.
Documentos confidenciales Ver "Plantilla de políticas de documentos confidenciales" en la página 1274.
Documentos de diseño Ver "Plantilla de políticas de documentos de diseño" en la página 1284.
Información financiera Ver "Plantilla de políticas de información financiera" en la página 1292.
Datos de proyectos Ver "Plantilla de políticas Datos de proyectos" en la página 1376.
Archivos de soportes propietarios Ver "Plantilla de políticas Archivos de soportes propietarios"

en la página 1376.
Documentos de publicación Ver "Plantilla de políticas Documentos de publicación" en la página 1377.
Código fuente Ver "Plantilla de políticas Código fuente" en la página 1385.
Diagramas de red Ver "Plantilla de políticas Diagramas de red" en la página 1366.

Capítulo 18
Configuración de políticas
■ Cómo agregar una nueva política o plantilla de políticas
■ Configuración de políticas
■ Cómo agregar una regla a una política
■ Configuración de reglas de políticas
■ Definición de gravedad de regla
■ Cómo configurar la cantidad de coincidencias
■ Cómo seleccionar componentes para establecer una coincidencia
■ Cómo agregar una excepción a una política
■ Cómo configurar excepciones de políticas
■ Cómo configurar condiciones compuestas de coincidencia
■ Límite de caracteres de entrada para la configuración de políticas
Cómo agregar una nueva política o plantilla de

políticas
Como un autor de políticas, puede definir una nueva política a partir de cero o de
una plantilla.
Configuración de políticas 448
Para agregar una nueva política o una plantilla de políticas

1 Haga clic en Nueva en la pantalla Administrar > Políticas > Lista de políticas.
2 Elija el tipo de política que desee agregar en la pantalla Nueva política.
Seleccione Agregar una política en blanco para agregar una nueva política
vacía.
Ver "Componentes de políticas" en la página 392.
Seleccione Agregar política desde una plantilla para agregar una política
de una plantilla.
3 Haga clic en Siguiente para configurar la política o la plantilla de políticas.
Haga clic en Cancelar para no agregar una política y para volver a la pantalla
Lista de políticas.
La pantalla Administrar > Políticas > Lista de políticas > Configurar política
es la página principal para configurar políticas.
Tabla 18-1 describe el flujo de trabajo para configurar políticas.
Tabla 18-1 Configuración de políticas
Definir una nueva política o editar una política Agregue una nueva política en blanco.
existente.
Ver "Cómo agregar una nueva política o plantilla de políticas"
en la página 447.
Crear una política de una plantilla.
Seleccione una política existente en la pantalla Administrar >

Políticas > Lista de políticas para editarla.

Escribir un Nombre de política y una Descripción. El nombre de política debe ser único en el grupo de políticas
en el que implementa la política.
Ver "Límite de caracteres de entrada para la configuración de
políticas" en la página 468.
Nota: El campo Etiqueta de la política está reservado para el
portal con autoservicio de Veritas Data Insight.
Seleccionar el Grupo de políticas de la lista donde Se selecciona Grupo de políticas predeterminado si no hay
la política va a ser implementada. grupo de políticas configurado.
Ver "Creación y modificación de grupos de políticas"

en la página 473.
Configurar el Estado de la política. Puede habilitar (configuración predeterminada) o deshabilitar

una política. Se implementa una política deshabilitada, pero no
se carga en la memoria para detectar incidentes.
Agregar una regla a la política o editar una regla Haga clic en Agregar regla para agregar una regla.
existente.
Ver "Cómo agregar una regla a una política" en la página 450.
Seleccione una regla existente para editarla.
Configurar la regla con una o más condiciones. Para una política válida, debe configurar por lo menos una regla
que enuncie al menos una condición. Las excepciones y las
condiciones compuestas son opcionales.
Opcionalmente, agregar una o más excepciones de Haga clic en Agregar excepción para agregarla.
políticas o editar una excepción existente.
Ver "Cómo agregar una excepción a una política"
en la página 460.d
Seleccione una excepción existente para editarla.
Configurar cualquier excepción. Ver "Cómo configurar excepciones de políticas" en la página 463.
Guardar la configuración de políticas. Haga clic en Guardar para guardar la configuración de políticas
en la base de datos de Enforce Server.
Exportar la política como una plantilla. Opcionalmente, puede exportar las excepciones y las reglas de
políticas como una plantilla.
Ver "Exportación de detección de políticas como plantilla"

en la página 480.
Cómo agregar una regla a una política
Agregar una o más reglas de respuesta a la política. Las reglas de respuesta se configuran de manera independiente
de las políticas.
Ver "Configuración de reglas de respuesta" en la página 1431.
Ver "Agregar una regla de respuesta automática a una política"

en la página 481.

En la pantalla Administrar > Políticas > Lista de políticas > Configurar política
- Agregar regla agregue una o más reglas a una política.
Es posible agregar dos tipos de reglas a una política: detección y grupo. Si dos o
más reglas en una política son del mismo tipo, el sistema las conecta por O. Si dos
o más reglas en la misma política son de distintos tipos, el sistema las conecta por
Y.
Nota: Se agregan excepciones independientemente de las reglas. Ver "Cómo

agregar una excepción a una política" en la página 460.
Para agregar una o más reglas a una política

1 Elija el tipo de regla (detección o grupo) para agregar a la política.
Para agregar una regla de detección, seleccione la ficha Detección y haga
clic en Agregar regla.
Para agregar una regla del grupo (identidad), seleccione la ficha Grupos y
haga clic en Agregar regla.
2 Seleccione la detección o la regla del grupo que desee implementar de la lista
de reglas.
3 Seleccione el componente necesario de antemano, si es necesario.
Si la regla de políticas necesita un Perfil de datos, Identificador de datos o
Grupo de usuarios selecciónelo de la lista.
4 Haga clic en Siguiente para configurar la regla de políticas.
Tabla 18-2 Cómo agregar reglas de políticas
Regla Requisito previo Descripción
Condiciones de coincidencia de Contenido
El contenido coincide con la Ver "Presentación de la coincidencia de la expresión

expresión regular regular" en la página 828.
El contenido coincide con datos Perfil de datos Ver "Acerca del índice y el perfil de datos
estructurados de estructurados estructurados" en la página 505.
Ver "Selección de un perfil de datos estructurados"

en la página 443.
El contenido coincide con la Ver "Presentación de coincidencia de palabras clave"

palabra clave en la página 811.
El contenido coincide con la Perfil de documento Ver "Presentación de coincidencia de documentos

firma del documento indizado indexados (IDM)" en la página 606.
Ver "Cómo elegir un perfil de documento indizado"

en la página 445.
El contenido coincide con el Identificador de datos Ver "Presentación de los identificadores de datos"
identificador de datos en la página 727.
Ver "Seleccionar una amplitud del identificador de

Detectar usando Aprendizaje de Perfil de VML Ver "Presentación del Aprendizaje de máquina
máquina vectorial vectorial (VML)" en la página 671.
Ver "Configurar los perfiles de VML y las condiciones

de política" en la página 676.
Condiciones de coincidencia de Contexto
Atributos del contexto (conector Para obtener información sobre los atributos del
del servicio en la nube contexto para los incidentes del conector en la nube,
solamente) consulte http://www.symantec.com/docs/DOC9451.
Condiciones de coincidencia de Propiedades del archivo
Coincidencia de archivo adjunto Ver "Acerca de la coincidencia de tipo de archivo"

del mensaje o tipo de archivo en la página 840.
Coincidencia de archivo adjunto Ver "Acerca de la coincidencia de tamaño de archivo"

del mensaje o tamaño de en la página 842.
archivo
Coincidencia de archivo adjunto Ver "Acerca de la coincidencia de nombres de

del mensaje o nombre de archivo" en la página 844.
archivo
Firma de tipo de archivo Regla habilitada Ver "Acerca de la identificación de tipos de archivos
personalizado personalizados" en la página 841.
Script personalizado
Ver "Activar la Firma de tipo de archivo
predeterminado en la consola de políticas"
en la página 850.
Condiciones de coincidencia de Protocolo y endpoint
Supervisión de protocolo Protocolos Ver "Presentación de la supervisión del protocolo de

personalizados (si los red" en la página 854.
hubiera)
Supervisión de endpoints Ver "Acerca de la supervisión del protocolo de

endpoints" en la página 858.
ID o clase de dispositivo Dispositivos Ver "Acerca de la detección de dispositivos endpoint"

endpoint personalizados en la página 860.
Ubicación del endpoint Ver "Acerca de la detección de ubicación de endpoint"

en la página 860.
Reconocimiento de formulario
Detectar usando el perfil de Perfil de reconocimiento Ver "Acerca de la detección del Reconocimiento de
reconocimiento de formulario de formulario formulario" en la página 707.
Ver "Configurar la regla de detección Reconocimiento

de formulario" en la página 712.
Condiciones de coincidencia de Grupos (Identidades)
El remitente/usuario coincide Ver "Presentación de la coincidencia de identidad

con el patrón descrita" en la página 869.
El destinatario coincide con el

patrón
Remitente/usuario basado en Grupo de usuarios Ver "Presentación de la coincidencia de grupo de

un grupo de servidores de directorio (DGM) sincronizada" en la página 881.
directorios
Ver "Configurar los grupos de usuarios"
Destinatario basado en un grupo en la página 882.
de servidores de directorios
Configuración de reglas de políticas
Remitente/usuario basado en Perfil de datos Ver "Presentación de la coincidencia de grupo de

un directorio de: estructurados directorio (DGM)" en la página 890.
Destinatario basado en un Ver "Configurar perfiles de datos estructurados para
directorio de: DGM" en la página 891.

- Editar regla, puede configurar una regla de políticas con una o más condiciones
de coincidencia. La configuración de cada condición de regla depende de su tipo.
Tabla 18-3 Configuración de reglas de políticas
Paso 1 Agregar una regla a una Ver "Cómo agregar una regla a una política" en la página 450.
política o modificar una regla.
Para modificar una regla existente, seleccione la regla en la interfaz del
generador de políticas en la pantalla Configurar política - Editar regla.
Paso 2 Dar un nombre a la regla o En la sección General de la regla, escriba un nombre en el campo Nombre
modificar un nombre. de la regla o modifique el nombre de una regla existente.
Paso 3 Configurar la gravedad de la En la sección Gravedad de la regla, seleccione o modifique un nivel de

regla. gravedad “Predeterminada”.
Además de la gravedad predeterminada, puede agregar varios niveles de

gravedad a una regla.
Ver "Definición de gravedad de regla" en la página 456.
Paso 4 Configurar la condición de En la sección Condiciones de la regla, configure una o más condiciones
coincidencia. de coincidencia para la regla. La configuración de una condición depende
de su tipo.
Paso 5 Configurar la cantidad de Si la regla lo requiere, configure cómo desea contar las coincidencias.
coincidencias (si es necesario).
Ver "Cómo configurar la cantidad de coincidencias" en la página 457.
Paso 6 Seleccionar los componentes Si las reglas se basan en contenido, seleccione una o más reglas de
con los que desea establecer contenido disponibles con las que desea establecer coincidencias.
coincidencias (si está
disponible).
en la página 459.
Paso 7 Agregar y configurar una o más Para definir una regla compuesta, Agregar otra condición de coincidencia
condiciones de coincidencia de la lista También hacer coincidir.
adicionales (opcionales).
Configure la condición adicional según su tipo (Paso 4).
Ver "Cómo configurar condiciones compuestas de coincidencia"

en la página 466.
Nota: Todas las condiciones de una única regla deben coincidir para
activar un incidente.Ver "Ejecución de detección de políticas"
en la página 426.
Paso 8 Guardar la configuración de Cuando termine de configurar la regla, haga clic en Aceptar.
políticas.
Esta acción le devuelve la pantalla Configurar política donde puede
Guardar la política.
Tabla 18-4 enumera cada una de las condiciones de coincidencia disponibles y

proporciona vínculos a los temas para configurar cada condición.
Tabla 18-4 Configurar las condiciones de políticas de la coincidencia
Regla Descripción
Condiciones de coincidencia de Contenido
El contenido coincide con la expresión Ver "Cómo configurar la condición El contenido coincide con la expresión
regular regular" en la página 830.
El contenido coincide exactamente con Ver "Configuración de la condición de política El contenido coincide con
los datos de un perfil de datos datos estructurados" en la página 532.
estructurados
El contenido coincide con la palabra Ver "Cómo configurar la condición El contenido coincide con la palabra
clave clave" en la página 819.
El contenido coincide con la firma del Ver "Configuración de la condición de política El contenido coincide con
documento la firma del documento" en la página 645.
El contenido coincide con el Ver "Cómo configurar la condición El contenido coincide con el identificador
identificador de datos de datos" en la página 745.
Detectar usando un perfil de Ver "Configuración de la condición Detectar usando un perfil de Aprendizaje
Aprendizaje de máquina vectorial de máquina vectorial" en la página 688.
Detectar usando el perfil de Ver "Configurar la regla de detección Reconocimiento de formulario"

reconocimiento de formulario en la página 712.
Regla Descripción
Condiciones de coincidencia de Propiedades del archivo
Coincidencia de archivo adjunto del Ver "Configuración de la condición Coincidencia de archivo adjunto del
mensaje o tipo de archivo mensaje o tipo de archivo" en la página 845.
Coincidencia de archivo adjunto del Ver "Cómo configurar la condición Coincidencia de archivo adjunto del
mensaje o tamaño de archivo mensaje o tamaño de archivo" en la página 846.
Coincidencia de archivo adjunto del Ver "Cómo configurar la condición Coincidencia de archivo adjunto del
mensaje o nombre de archivo mensaje o nombre de archivo" en la página 848.
Firma de tipo de archivo personalizado Ver "Cómo configurar la condición Firma de tipo de archivo personalizado"
en la página 850.
Condiciones de coincidencia de Protocolo
Supervisión de red Ver "Configuración de la condición Supervisión de protocolo para la

detección de red" en la página 855.
Supervisión de endpoints Ver "Configuración de la condición de supervisión de endpoints"

en la página 861.
ID o clase de dispositivo endpoint Ver "Cómo configurar la condición de Id. o clase de dispositivo endpoint"
en la página 864.
Ubicación del endpoint Ver "Cómo configurar la condición de ubicación de endpoint"

en la página 863.
Condiciones de coincidencia de Grupos
El remitente/usuario coincide con el Ver "Cómo configurar la condición El remitente/usuario coincide con el
patrón patrón" en la página 871.
El destinatario coincide con el patrón Ver "Cómo configurar la condición El destinatario coincide con el patrón"
en la página 875.
Remitente/usuario basado en un grupo Ver "Configuración de la condición Remitente/usuario basado en un grupo

de servidores de directorios de servidores de directorios" en la página 886.
Remitente/usuario basado en un Ver "Configurar la condición Remitente/usuario basado en un directorio

directorio de un perfil de datos perfilado" en la página 893.
estructurados
Destinatario basado en un grupo de Ver "Configuración de la condición Destinatario basado en un grupo de

servidores de directorios servidores de directorios" en la página 887.
Destinatario basado en un directorio Ver "Configurar la condición Destinatario basado en un directorio perfilado"
de un perfil de datos estructurados en la página 894.
Definición de gravedad de regla
Definición de gravedad de regla

El sistema asigna un nivel de gravedad a una infracción de políticas de la regla.
La configuración predeterminada es “Alta”. Es posible configurar la opción
predeterminada y agregar uno o más niveles de gravedad adicionales.
La gravedad de políticas de regla funciona con la condición de regla de respuesta
Gravedad. Si configuró el nivel de gravedad de políticas predeterminado de la
regla en “Alto” y define niveles de gravedad adicionales, el sistema no asigna la
gravedad adicional al incidente basado en la cantidad de coincidencias. El resultado
es que, si tiene una regla de respuesta configurada en un nivel de gravedad de
cantidad de coincidencias que es menor que la gravedad predeterminada de “Alto”,
la regla de respuesta no se ejecuta.
Ver "Cómo la condición de respuesta Gravedad" en la página 1447.
Para definir la gravedad de políticas de la regla
1 Configure una regla de políticas.
2 Seleccione un nivel Default de la lista Gravedad.
El nivel de gravedad predeterminado es el nivel inicial que el sistema informa.
El sistema aplica el nivel de gravedad predeterminado a cualquier coincidencia
de la regla, a menos que los niveles de gravedad adicionales anulen la
configuración predeterminada.
3 Haga clic en Agregar gravedad para definir los niveles de gravedad adicionales
para la regla.
Si agrega un nivel de gravedad, se basa en la cantidad de coincidencias.
4 Seleccione el nivel de gravedad deseado, elija el intervalo de la cantidad de
coincidencias e introduzca la cantidad de coincidencias.
Por ejemplo, se puede configurar una gravedad Media con el intervalo X para
que coincida una vez que se han contado 100 coincidencias.
5 Si agrega un nivel de gravedad adicional, puede seleccionarlo para que sea
la gravedad predeterminada.
6 Para eliminar un nivel de gravedad definido, haga clic en el icono X junto a la
definición de la gravedad.
Cómo configurar la cantidad de coincidencias

Algunas condiciones le permiten especificar cómo desea contar coincidencias.
Contar todas las coincidencias es el comportamiento predeterminado. Es posible
configurar el número mínimo de coincidencias necesarias para causar un incidente.
También se pueden contar todas las coincidencias como un incidente. Si una
condición admite que se cuenten coincidencias, se puede configurar esta
configuración para las reglas de políticas y las excepciones.
Tabla 18-5 Cómo configurar la cantidad de coincidencias
Parámetro Tipo de Descripción del incidente

condición
Comprobar si Simple Esta configuración informa una cantidad de coincidencias de 1 si hay una o más
existe coincidencias; no cuenta varias coincidencias. Por ejemplo, 10 coincidencias son
un incidente.
Compuesto Esta configuración informa una cantidad de coincidencias de 1 si hay una o más
coincidencias, y TODAS las condiciones de la regla o la excepción se configuran
para que se compruebe la existencia.
Parámetro Tipo de Descripción del incidente

condición
Contar todas las Simple Esta configuración informa una cantidad de coincidencias equivalente al número
coincidencias exacto de coincidencias detectadas por la condición. Por ejemplo, 10 coincidencias
cuentan como 10 incidentes.
Compuesto Esta configuración informa una cantidad de coincidencias equivalente a la suma

de todas las coincidencias de la condición de la regla o la excepción. La opción
predeterminada es un incidente por coincidencia de condición y se aplica si
cualquier condición de la regla o la excepción está configurada para que cuente
todas las coincidencias.
Por ejemplo, si una regla tiene dos condiciones y una se configura para contar
todas las coincidencias y detecta cuatro coincidencias, y la otra condición se
configura para comprobar la existencia y detecta seis coincidencias, la cantidad
informada de coincidencias es 10. Si una tercera condición de la regla detecta
una coincidencia, la cantidad de coincidencias es 11.
Solo informar Es posible cambiar la cantidad predeterminada de un incidente por coincidencia

incidentes con especificando el número mínimo de coincidencias necesarias para informar un
al menos _ incidente.
coincidencias
Por ejemplo, en una regla con dos condiciones, si se configura una condición
para contar todas las coincidencias y para especificar cinco como el número
mínimo de coincidencias para cada condición, una suma de 10 coincidencias
informadas por las dos condiciones genera dos incidentes. Es necesario ser
coherente y seleccionar esta opción para cada condición de la regla o la excepción
para alcanzar este comportamiento.
Nota: La configuración para contar todas las coincidencias se aplica a cada
componente de mensaje con se establezca la coincidencia. Por ejemplo, considere
una política donde se especifica una cantidad de coincidencias de 3 y se configura
una regla de palabra clave que coincida con los cuatro componentes del mensaje
(configuración predeterminada para esta condición). Si un mensaje se recibe con
dos sesiones de la palabra clave en el cuerpo y de una sesión de la palabra clave
en el sobre, el sistema no informa esto como coincidencia. Sin embargo, si tres
sesiones de la palabra clave aparecen en un archivo adjunto (o cualquier otro
único componente del mensaje), el sistema lo informaría como coincidencia.
Contar todas las Contar La cuenta de las coincidencias únicas es nueva para la versión 11.6 de Symantec
coincidencias solamente las Data Loss Prevention y está solamente disponible para los identificadores de
únicas coincidencias datos.
únicas
Ver "Acerca de la cuenta de coincidencias únicas." en la página 742.
Cómo seleccionar componentes para establecer una coincidencia
Tabla 18-6 Condiciones que admiten la cuenta de coincidencias
Condición Descripción
El contenido coincide con la Ver "Presentación de la coincidencia de la expresión regular" en la página 828.
expresión regular
en la página 830.
El contenido coincide con la Ver "Presentación de coincidencia de palabras clave" en la página 811.
palabra clave
en la página 819.
El contenido coincide con la firma Ver "Configuración de la condición de política El contenido coincide con la firma
del documento (IDM) del documento" en la página 645.
El contenido coincide con el Ver "Presentación de los identificadores de datos" en la página 727.
identificador de datos
Ver "Configurar la cuenta de coincidencias únicas" en la página 766.
El destinatario coincide con el Ver "Presentación de la coincidencia de identidad descrita" en la página 869.
patrón
en la página 875.
Cómo seleccionar componentes para establecer una

coincidencia
La disponibilidad de uno o más componentes del mensaje para coincidir depende
del tipo de condición de regla o excepción que se implementa.
Tabla 18-7 Establecer coincidencia con componentes
Componente Descripción
Sobre Si la condición admite la coincidencia con el componente Sobre, selecciónelo para que coincida
en los metadatos del mensaje. El sobre contiene el encabezado, la información de transporte y el
asunto si el mensaje es un correo electrónico SMTP.
Si la condición no admite la coincidencia con el componente Sobre, esta opción está en color gris.
Si la condición coincide con todo el mensaje, Sobre se selecciona y no se puede anular la selección,
y los otros componentes no pueden ser seleccionados.
Cómo agregar una excepción a una política
Asunto Ciertas condiciones de detección coinciden con el componente Asunto para algunos tipos de
mensajes.
Para las condiciones de detección que admiten la coincidencia de componentes de asunto, se
puede buscar coincidencias en Asunto para los siguientes tipos de mensajes:
■ Mensajes SMTP (correo electrónico) de Network Monitor o Network Prevent for Email.
■ Mensajes NNTP de Network Monitor.
Para buscar coincidencias en el componente Asunto, es necesario seleccionar (marcar) el

componente Asunto y anular la selección del componente Sobre para la regla de políticas. Si
selecciona ambos componentes, el sistema hace coincidir el asunto dos veces porque el asunto
del mensaje se incluye en el sobre como parte del encabezado.
Cuerpo Si la condición coincide en el componente de mensaje Cuerpo, selecciónelo para que coincida en
el texto o el contenido del mensaje.
Archivos Si la condición coincide en el componente de mensaje Archivos adjuntos, selecciónelo para

adjuntos detectar el contenido en los archivos enviados, descargados o adjuntados al mensaje.

- Agregar excepción agregue una o más excepciones a una política. Las
excepciones de políticas se ejecutan antes de las reglas de políticas. Si hay una
coincidencia de excepción, se descarta el mensaje entero.
Nota: Es posible crear excepciones para todas las condiciones de políticas, excepto
la condición EDM El contenido coincide con datos estructurados de. Además,
Network Prevent for Web no admite excepciones de DGM sincronizada.
Para agregar una excepción a una política

1 Agregue una excepción a una política.
Para agregar una excepción de regla de detección, seleccione la ficha
Detección y haga clic en Agregar excepción.
Para agregar una excepción de regla de grupo, seleccione la ficha Grupos y
haga clic en Agregar excepción.
2 Seleccione la excepción de políticas para implementar.
La pantalla Agregar excepción de detección enumera todas las excepciones
disponibles de la detección que se pueden agregar a una política.
La pantalla Agregar excepción de grupo enumera todas las excepciones
disponibles del grupo que se pueden agregar a una política.
3 Si es necesario, elija el perfil, el identificador de datos o el grupo de usuarios.
4 Haga clic en Siguiente para configurar la excepción.
Tabla 18-8 Cómo seleccionar una excepción de políticas
Excepción Requisito previo Descripción
Contenido
El contenido coincide con la Ver "Presentación de la coincidencia de la expresión regular"

expresión regular en la página 828.
El contenido coincide con la Ver "Presentación de coincidencia de palabras clave"

palabra clave en la página 811.
El contenido coincide con la firma Perfil de Ver "Cómo elegir un perfil de documento indizado"
del documento documento en la página 445.
indizado
El contenido coincide con el Identificador de Ver "Presentación de los identificadores de datos"

identificador de datos datos en la página 727.
Ver "Seleccionar una amplitud del identificador de datos"

en la página 748.
Detectar usando un perfil de Perfil de VML Ver "Configuración de excepciones de políticas de VML"
Aprendizaje de máquina vectorial en la página 690.
Ver "Configurar los perfiles de VML y las condiciones de

política" en la página 676.
Propiedades del archivo
Coincidencia de archivo adjunto Ver "Acerca de la coincidencia de tipo de archivo"

del mensaje o tipo de archivo en la página 840.
Coincidencia de archivo adjunto Ver "Acerca de la coincidencia de tamaño de archivo"

del mensaje o tamaño de archivo en la página 842.
Coincidencia de archivo adjunto Ver "Acerca de la coincidencia de nombres de archivo"

del mensaje o nombre de archivo en la página 844.
Firma de tipo de archivo Condición Ver "Acerca de la identificación de tipos de archivos

personalizado habilitada personalizados" en la página 841.
Script
personalizado
agregado
Protocolo y endpoint
Protocolo de red Ver "Presentación de la supervisión del protocolo de red"

en la página 854.
Protocolo de endpoint, destino, Ver "Acerca de la supervisión del protocolo de endpoints"

aplicación en la página 858.
ID o clase de dispositivo endpoint Ver "Acerca de la detección de dispositivos endpoint"

en la página 860.
Ubicación del endpoint Ver "Acerca de la detección de ubicación de endpoint"

en la página 860.
Detectar usando el perfil de Perfil de Ver "Acerca de la detección del Reconocimiento de

reconocimiento de formulario reconocimiento de formulario" en la página 707.
formulario
Ver "Configurar la regla de excepción de Reconocimiento de
formulario" en la página 713.
Grupo (identidad)
El remitente/usuario coincide con Ver "Presentación de la coincidencia de identidad descrita"

el patrón en la página 869.
El destinatario coincide con el

patrón
Cómo configurar excepciones de políticas
Remitente/usuario basado en un Grupo de usuarios Ver "Presentación de la coincidencia de grupo de directorio

grupo de servidores de directorios (DGM) sincronizada" en la página 881.
Destinatario basado en un grupo Ver "Configurar los grupos de usuarios" en la página 882.
Nota: Network Prevent for Web no admite este tipo de
excepción. Use la DGM perfilada en su lugar.
Remitente/usuario basado en un Perfil de datos Ver "Presentación de la coincidencia de grupo de directorio

directorio de: estructurados (DGM)" en la página 890.
Destinatario basado en un Ver "Configurar perfiles de datos estructurados para DGM"

directorio de: en la página 891.

- Editar excepción puede configurar una o más condiciones para una excepción
de políticas.
Si una condición de excepción coincide, el sistema desecha el componente de
coincidencia del sistema. Este componente ya está no disponible para la evaluación.
Tabla 18-9 Configuración de excepciones de políticas
Paso 1 Agregue una nueva excepción de Ver "Cómo agregar una excepción a una política" en la página 460.
políticas o edite una excepción
Seleccione una excepción de políticas existente para modificarla.
existente.
Paso 2 Dé un nombre a la excepción o En la sección General, escriba un nombre único para la excepción o
edite un nombre o una modifique el nombre de una excepción existente.
descripción existente.
Nota: El nombre de la excepción se limita a 60 caracteres.
Paso 3 Seleccione los componentes para Si la excepción se basa en contenido, puede aplicar la coincidencia en
aplicar a la excepción (si está el mensaje entero o en componentes individuales del mensaje.
disponible).
Ver "Mensajes de detección y componentes de mensaje"
en la página 423.
Seleccione una de las opciones de Aplicar excepción a :
■ Todo el mensaje
Esta opción aplica la excepción al mensaje entero.
■ Solo componentes coincidentes
Esta opción aplica la excepción a cada componente del mensaje
que se selecciona de las opciones de Establecer coincidencia en
la sección Condiciones de la excepción.
Paso 4 Configure la condición de En la sección Condiciones de la pantalla Configurar política - Editar

excepción. excepción, defina la condición para la excepción de políticas. La
configuración de una condición depende del tipo de excepción.
Paso 5 Agregue una o más condiciones Es posible agregar condiciones hasta que la excepción se estructure
adicionales a la excepción según lo deseado.
(opcional).
en la página 466.
Para agregar otra condición a una excepción, seleccione la condición

de la lista de Hacer también coincidir.
Haga clic en Agregar y configure la condición.
Paso 6 Guarde y administre la política. Haga clic en Aceptar para completar el proceso de definición de la
excepción.
Haga clic en Guardar para guardar la política.
Tabla 18-10 enumera las condiciones de excepción que se pueden configurar con
los vínculos a los detalles de configuración.
Tabla 18-10 Condiciones de excepción de políticas disponibles para configuración
Excepción Descripción
Contenido
El contenido coincide con la expresión Ver "Cómo configurar la condición El contenido coincide con la expresión
regular regular" en la página 830.
El contenido coincide con la palabra clave Ver "Cómo configurar la condición El contenido coincide con la palabra
clave" en la página 819.
El contenido coincide con la firma del Ver "Configuración de la condición de política El contenido coincide con
documento la firma del documento" en la página 645.
El contenido coincide con el identificador de Ver "Cómo configurar la condición El contenido coincide con el
datos identificador de datos" en la página 745.
Detectar usando un perfil de Aprendizaje de Ver "Configuración de excepciones de políticas de VML" en la página 690.
máquina vectorial
Propiedades del archivo
Coincidencia de archivo adjunto del mensaje Ver "Configuración de la condición Coincidencia de archivo adjunto del
o tipo de archivo mensaje o tipo de archivo" en la página 845.
Coincidencia de archivo adjunto del mensaje Ver "Cómo configurar la condición Coincidencia de archivo adjunto del
o tamaño de archivo mensaje o tamaño de archivo" en la página 846.
Coincidencia de archivo adjunto del mensaje Ver "Cómo configurar la condición Coincidencia de archivo adjunto del
o nombre de archivo mensaje o nombre de archivo" en la página 848.
Firma de tipo de archivo personalizado Ver "Cómo configurar la condición Firma de tipo de archivo
personalizado" en la página 850.
Protocolo y endpoint
Protocolo de red Ver "Configuración de la condición Supervisión de protocolo para la

detección de red" en la página 855.
Protocolo o destino de endpoint Ver "Configuración de la condición de supervisión de endpoints"

en la página 861.
ID o clase de dispositivo endpoint Ver "Cómo configurar la condición de Id. o clase de dispositivo endpoint"
en la página 864.
Ubicación del endpoint Ver "Cómo configurar la condición de ubicación de endpoint"

en la página 863.
Reconocimiento de formularios
Detectar usando el perfil de reconocimiento Ver "Configurar la regla de excepción de Reconocimiento de formulario"
de formularios en la página 713.
Grupo (identidad)
El remitente/usuario coincide con el patrón Ver "Cómo configurar la condición El remitente/usuario coincide con el
patrón" en la página 871.
Cómo configurar condiciones compuestas de coincidencia
El destinatario coincide con el patrón Ver "Cómo configurar la condición El destinatario coincide con el patrón"
en la página 875.
Remitente/usuario basado en un grupo de Ver "Configuración de la condición Remitente/usuario basado en un

servidores de directorios grupo de servidores de directorios" en la página 886.
Destinatario basado en un grupo de Ver "Configuración de la condición Destinatario basado en un grupo de

servidores de directorios servidores de directorios" en la página 887.
Remitente/usuario basado en un directorio Ver "Configurar la condición Remitente/usuario basado en un directorio

de perfil de EDM perfilado" en la página 893.
Destinatario basado en un directorio de perfil Ver "Configurar la condición Destinatario basado en un directorio
de EDM perfilado" en la página 894.
Cómo configurar condiciones compuestas de

coincidencia
Es posible crear condiciones compuestas de coincidencia para las reglas de políticas
y las excepciones.
Ver "Cómo configurar condiciones compuestas de coincidencia" en la página 466.
El motor de detección conecta condiciones compuestas con Y. Todas las
condiciones de la regla o la excepción se deben cumplir para activar o exceptuar
un incidente.
No está limitado al número de condiciones de coincidencia que se pueden incluir
en una regla o una excepción. Sin embargo, las diversas condiciones que se
declaran en una única regla o una excepción deben estar lógicamente asociadas.
No confunda las reglas compuestas o las excepciones con varias reglas o
excepciones en una política.
en la página 496.
Cómo configurar condiciones compuestas de coincidencia
Tabla 18-11 Configure una regla compuesta o una excepción
Paso 1 Modifique o configure una Es posible agregar una o más condiciones adicionales de coincidencia a una
regla o una excepción de regla de políticas en la pantalla Configurar política - Editar regla.
política existente.
Es posible agregar una o más condiciones adicionales de coincidencia a una
regla o una excepción en las pantallas Configurar política - Editar regla o
Configurar política - Editar excepción.
Paso 2 Seleccione una condición Seleccione la condición adicional de coincidencia de la lista También hacer
adicional de coincidencia. coincidir.
Esta lista aparece en la parte inferior de la sección Condiciones para una

regla o una excepción existente.
Paso 3 Revise las condiciones El sistema enumera todas las condiciones adicionales disponibles que se
disponibles. pueden agregar una regla o a una excepción de política.
Ver "Cómo agregar una excepción a una política" en la página 460.
Paso 4 Agregue la condición Haga clic en Agregar para agregar la condición adicional de coincidencia a
adicional. la regla o a la excepción de políticas.
Una vez agregada, se puede contraer y expandir cada condición en una regla
o una excepción.
Paso 5 Configure la condición Ver "Configuración de reglas de políticas" en la página 453.

adicional.
Paso 6 Seleccione el mismo o Si la condición admite la coincidencia de componentes, especifique dónde

cualquier componente para deben coincidir los datos para generar o exceptuar un incidente.
que coincida.
El mismo componente : los datos coincididos deben existir en el mismo
componente que las otras condiciones que también admiten la coincidencia
de componentes para activar una coincidencia.
Cualquier componente : los datos coincididos pueden existir en cualquier

componente que se haya seleccionado.
Ver "Acerca de la coincidencia entre componentes" en la página 741.
Paso 6 Repita este proceso para Es posible agregar tantas condiciones a una regla o a una excepción como
las condiciones adicionales se necesiten.
de coincidencia de la regla
Todas las condiciones de una única regla o excepción deben coincidir para
o la excepción.
activar un incidente o para activar la excepción.
Límite de caracteres de entrada para la configuración de políticas
Paso 7 Guarde la política. Haga clic en Aceptar para cerrar la pantalla de la regla o de la configuración
de la excepción.
Haga clic en Guardar para guardar la configuración de la política.
Límite de caracteres de entrada para la configuración

de políticas
Cuando configure una política, considere los siguientes límites de caracteres de
entrada para componentes de configuración de políticas.
Tabla 18-12 Límite de caracteres de entrada para la configuración de políticas
Elemento de configuración Límite de caracteres de entrada
Nombre de un componente de políticas, 60 caracteres

incluidos:
Nota: Para importar una política como una plantilla, el nombre de política
■ Política debe tener menos de 60 caracteres, de lo contrario, no aparece en la lista
■ Regla Plantillas importadas.
■ Excepción
■ Grupo
■ Condición
Descripción del componente de políticas. 255 caracteres
Nombre del perfil de los datos, incluidos: 255 caracteres
■ Datos estructurados
■ Documento indizado
■ Aprendizaje de máquina vectorial
■ Reconocimiento de formulario
Límites de patrón del identificador de 100 caracteres por línea

datos
Ver "Usar el lenguaje del patrón del identificador de datos" en la página 790.
Capítulo 19
Administración de políticas
■ Administrar y agregar políticas
■ Administrar y agregar grupos de políticas
■ Creación y modificación de grupos de políticas
■ Importar las políticas
■ Exportación de políticas
■ Clonación de políticas
■ Importación de plantillas de políticas
■ Exportación de detección de políticas como plantilla
■ Agregar una regla de respuesta automática a una política
■ Eliminación de políticas y grupos de políticas
■ Visualización e impresión de detalles de políticas
■ Descarga de detalles de políticas
■ Políticas de solución de problemas
■ Cómo actualizar los perfiles de EDM y de IDM a la versión más reciente
■ Actualizar las políticas después de actualizar a la versión más reciente

Administración de políticas 470
Administrar y agregar políticas

La pantalla Administrar > Políticas > Lista de políticas es la página principal
para agregar y administrar las políticas. Se aplican las políticas para detectar y
para informar pérdida de datos.
Tabla 19-1 enumera y describe medidas que se puede tomar en la pantalla Lista
de políticas.
Tabla 19-1 Acciones de la pantalla Lista de políticas
Agregar una política Haga clic en Nueva para crear una nueva política.
Ver "Cómo agregar una nueva política o plantilla de políticas" en la página 447.
Modificar una política Haga clic en el nombre de política o el icono de edición para modificar una política
existente.
Activar una política Seleccione la política o las políticas que desee activar, después haga clic en Activar
en la barra de herramientas de la lista de políticas.
Desactivar una política Seleccione la política o las políticas que desee desactivar y después haga clic en
Suspender en la barra de herramientas de la lista de políticas.
Nota: De forma predeterminada, todas las políticas del paquete de soluciones se activan
en la instalación del paquete de soluciones.
Ordenar políticas Haga clic en cualquier encabezado de columna para ordenar la lista de políticas.
Filtrar políticas Es posible filtrar su lista de políticas por Estado, Nombre, Descripción o Grupo de
políticas.
Para filtrar su lista de políticas, haga clic en Filtrar en la barra de herramientas de la

lista de políticas y después seleccione o escriba sus criterios del filtro en la columna o
las columnas apropiadas.
Para quitar los filtros de su lista de políticas, haga clic en Borrar en la barra de
herramientas de la lista de políticas.
Eliminar una política Seleccione la política o las políticas que desee eliminar y después haga clic en Eliminar
También es posible hacer clic en el icono de la X roja al finalizar la fila de políticas para
eliminar una política individual.
Nota: No es posible eliminar una política que tenga incidentes activos.
Ver "Eliminación de políticas y grupos de políticas" en la página 482.
Importar y exportar políticas Es posible importar y exportar las políticas usando los botones Importar y Exportar en
la barra de herramientas de la lista de políticas.
Ver "Importar las políticas" en la página 475.
Ver "Exportación de políticas" en la página 478.
Exportar e importar Es posible exportar e importar las plantillas de políticas para reutilizarlas al crear nuevas
plantillas de políticas políticas.
Descargar detalles de Haga clic en Detalles de la descarga en la barra de herramientas de la lista de políticas
políticas para descargar los detalles para las políticas seleccionadas en la Lista de políticas.
Symantec Data Loss Prevention exporta los detalles de las políticas como archivos
HTML en un archivo ZIP. Abra el archivo de almacenamiento para ver e imprimir detalles
de políticas.
Ver "Descarga de detalles de políticas" en la página 483.
Vea e imprima detalles de Para ver los detalles de una sola política, haga clic en el icono de impresora al final de
políticas la fila de políticas. Para imprimir los detalles de la política, utilice la función de impresión
de su navegador web.
Ver "Visualización e impresión de detalles de políticas" en la página 483.
Clonar una política Seleccione la política o las políticas que desee clonar y después haga clic en Clonar
Ver "Clonación de políticas" en la página 479.
Asigne las políticas a un Es posible asignar políticas individuales o varias a un grupo de políticas desde la página
grupo de políticas de lista de políticas.
Seleccione la política o las políticas que desee asignar a un grupo de políticas y después
haga clic en Asignar grupo en la barra de herramientas de la lista de políticas.
Seleccione el grupo de políticas de la lista desplegable.

Administrar y agregar grupos de políticas
Tabla 19-2 enumera y describe los campos de visualización en la pantalla Lista

de políticas.
Tabla 19-2 Campos de visualización de pantalla Lista de políticas
Columna Descripción
Estado La columna de estado muestra uno de tres estados para la política:
■ Política mal configurada:

El icono de políticas es un signo amarillo de precaución.
■ Política activa:
El icono de políticas es verde. Una política activa puede detectar incidentes.
■ Política suspendida
El icono de políticas es rojo. Una política suspendida se implementa, pero no detecta
incidentes.
Nombre Ver y ordenar por nombre de la política.
Descripción Ver la descripción de la política.
Grupo de políticas Ver y ordenar por el grupo de políticas en el que se implementa la política.
Última modificación Ver y ordenar por última fecha de actualización de la política.
Administrar y agregar grupos de políticas

La pantalla Sistema > Servidores y detectores > Grupos de políticas detalla a
los grupos de políticas configurados en el sistema.
Desde la pantalla Grupos de políticas se administran los grupos de políticas
existentes y se agregan nuevos.
Tabla 19-3 Acciones de la pantalla Grupos de políticas
Agregue un grupo de Haga clic en Agregar grupo de políticas para definir un nuevo grupo de políticas.
políticas
Creación y modificación de grupos de políticas
Modifique un grupo de Para modificar un grupo de políticas existente, haga clic en el nombre del grupo o haga
políticas clic en el icono del lápiz a la derecha de la fila.
Eliminar un grupo de Haga clic en el icono de la X roja a la derecha de la fila para eliminar ese grupo de políticas
políticas del sistema. Un cuadro de diálogo confirma la eliminación.
Nota: Si elimina un grupo de políticas, se elimina cualquier política que esté asignada a
ese grupo.
Ver políticas de un grupo Para ver las políticas implementadas en un grupo de políticas existente, vaya a la pantalla
Sistema > Servidores y detectores > Grupos de políticas > Configurar grupo de
políticas.
Tabla 19-4 Campos de pantalla Grupos de políticas
Nombre El nombre del grupo de políticas.
Descripción La descripción del grupo de políticas.
Servidores y detectores El servidor de detección o el detector en la nube en los cuales se implementa el grupo de
disponibles políticas.
Última modificación La fecha de la última modificación del grupo de políticas.
Acciones Es posible editar o eliminar los grupos de políticas mediante los iconos en la columna
Acciones.

En la pantalla Sistema > Servidores y detectores > Grupos de políticas, configure
un nuevo grupo de políticas o modifique el existente.
Para configurar un grupo de políticas

1 Agregue un nuevo grupo de políticas o modifique el existente.
Ver "Administrar y agregar grupos de políticas" en la página 472.
2 Escriba el Nombre del grupo de políticas o modifique un nombre existente.
Use un nombre informativo. Los autores de políticas y los administradores de
Enforce Server se basan en el nombre de grupo de políticas cuando asocian
el grupo de políticas con políticas, roles y destinos.
El valor nombre se limita a 256 caracteres.
3 Escriba una Descripción del grupo de políticas o modifique una descripción
existente de un grupo de políticas existente.
4 Seleccione uno o más Servidores y detectores a los cuales asignar el grupo
de políticas.
El sistema muestra una casilla de selección para cada servidor de detección
configurado y registrado actualmente con Enforce Server.
■ Seleccione (marque) la opción Todos los servidores o detectores para
asignar el grupo de políticas a todos los servidores de detección y los
detectores en la nube del sistema. Si deja esta casilla de selección sin
marcar, puede asignar el grupo de políticas a servidores individuales.
La entrada Todos los servidores de Discover no es configurable porque
el sistema asigna automáticamente todos los grupos de políticas a todos
los servidores Network Discover. Esta función permite asignar grupos de
políticas a destinos de descubrimiento individuales.
Ver "Cómo configurar los campos necesarios para los destinos de Network
■ Anule la selección (desmarque) de la opción Todos los servidores o
detectores para asignar el grupo de políticas a los servidores de detección
individuales.
El sistema muestra una casilla de selección para cada servidor configurado
y registrado actualmente con Enforce Server.
Seleccione cada servidor de detección individual para asignar el grupo de
políticas.
5 Haga clic en Guardar para guardar la configuración del grupo de políticas.

Importar las políticas
Nota: La sección Políticas en este grupo de la pantalla Grupo de políticas

enumera todas las políticas en el grupo de políticas. No puede editar estas entradas.
Cuando crea un nuevo grupo de políticas, esta sección está en blanco. Una vez
que implementa una o más políticas en un grupo de políticas (durante la
configuración de políticas), las pantallas de la sección Políticas en este grupo
muestran cada política en el grupo de políticas.


Es posible exportar las políticas de un Enforce Server e importarlas a otro Enforce
Server. Esta función hace más fácil mover las políticas de un entorno a otro. Por
ejemplo, se pueden exportar las políticas de su entorno de prueba e importarlas a
su entorno de producción.
Acerca de la importación de políticas

Para importar políticas, es necesario tener el privilegio Importar políticas. Para
habilitar este privilegio, se debe además tener los privilegios Administración de
servidores, Crear políticas, Crear reglas de respuesta y Todos los grupos de
políticas.
Cuando se importa una política, tenga en cuenta lo siguiente:
■ La política se importa en el mismo estado en el cual fue exportada. Por ejemplo,
si una política estaba activa cuando fue exportada, estará activa cuando se
importe. La única excepción a este comportamiento es para las políticas
preexistentes en el sistema al cual usted está importando la política (el "sistema
de destino"). Si la política existente está activa, la política importada también
estará activa, sin importar su estado en el sistema de exportación.
■ Las políticas importadas sobrescribirán las políticas existentes que tienen el
mismo nombre. Es posible cambiar el nombre de la política exportada en el
archivo XML si desea importarla sin sobrescribir la política existente.
■ Si el grupo de políticas al cual la política exportada pertenecía existe en el
sistema de destino, la política será añadida a ese grupo de políticas o
sobrescribirá una política con el mismo nombre en ese grupo. Si el grupo de
políticas no existe en el sistema de destino, se creará después de la importación.
Si la política existe en el sistema de destino, pero pertenece a otro grupo de
políticas, la política importada será asignada a un grupo de políticas creado

recientemente en el sistema de destino y no sobrescribirá la política existente.
■ Cuando se importa una política, se puede elegir importar o no sus reglas de
respuesta si están en conflicto con las reglas de respuesta existentes en el
sistema de destino.
■ La página Vista previa de importación de políticas mostrará las advertencias
acerca de cualquier elemento de políticas que sea creado o sobrescrito cuando
se importe la política.
■ Es posible importar solamente una política al mismo tiempo.
Para importar una política
1 Vaya a Administrar > Políticas > Lista de políticas.
2 Haga clic en Importar.
La página Importar política aparece.
3 Haga clic en Examinar para seleccionar el archivo de política exportado que
desee importar.
4 Haga clic en Importar política.
La página Vista previa de importación de políticas aparece. Esta página le
advertirá de cualquier elemento de políticas que pueda ser sobrescrito cuando
se importe esta política. Si la política que usted está importando incluye
cualquier regla de respuesta entre los elementos que pueden ser sobrescritos,
se pueden excluir esas reglas de respuesta de la importación en esta página.
5 Haga clic en Proceda con la importación.
Se importa la política. Si la política tiene referencias sin resolver, la página
Comprobación de referencias de política aparece.
Es posible resolver cualquier referencia de políticas no resuelta en esta página.
Ver "Acerca de las referencias de políticas" en la página 476.
Acerca de las referencias de políticas

Las políticas se exportan en formato XML. Los archivos XML de políticas contienen
metadatos de políticas, referencias a perfiles de datos, reglas de respuesta,
identificadores de datos y reglas de grupo y detección y excepciones. Los archivos
no contienen los perfiles de datos, las conexiones de directorio, las credenciales
ni los complementos de FlexResponse reales. Es necesario proporcionar esos
elementos en el sistema en el cual usted está importando la política.
Cuando se importe una política, Symantec Data Loss Prevention le alertará sobre
cualquier referencia sin resolver en la página Comprobación de referencias de
política. La página Comprobación de referencias de política se muestra al

finalizar el proceso de importación de políticas. Es posible también ver esta página
haciendo clic en el icono de referencias sin resolver en las páginas Lista de
políticas y Edición de políticas.
Para resolver las referencias de políticas, haga clic en el icono de edición (lápiz)
en la página Comprobación de referencias de política. Symantec Data Loss
Prevention muestra la página de edición adecuada para cada referencia sin
resolver.En la Tabla 19-5, se proporciona información sobre cómo resolver las
referencias de políticas.
Tabla 19-5 Resolución de referencias de políticas
Referencia de políticas sin resolver Resolución
Grupo de políticas donde no se especifica Seleccione servidores de detección para el

ningún servidor de detección: grupo de políticas.
Conexión de directorio sin credenciales: Proporcione las credenciales para la conexión

de directorio.
Perfil de EDM sin archivo de origen ni índice: Especifique el archivo de origen de datos
correcto.
Perfil de IDM sin ruta de importación ni Especifique el origen de datos correcto.

nombre de archivo:
Perfil de IDM remoto sin credenciales: Proporcione las credenciales para el perfil de
IDM remoto.
Perfil de VML sin perfil entrenado ni datos Proporcione el perfil entrenado y sus datos
relacionados: relacionados, entrene y acepte al perfil de
VML.
Perfil de reconocimiento de formulario sin Proporcione el archivo ZIP de la galería.

archivo de almacenamiento ZIP de galería:
Regla de respuesta de cuarentena de Proporcione las credenciales para la regla

endpoint sin credenciales guardadas: de respuesta de cuarentena de endpoint.
Regla de respuesta sin complemento de Implemente el archivo JAR de Server

Server FlexResponse: FlexResponse en el sistema de destino.
Ver "Implementación de un complemento de

Server FlexResponse" en la página 1844.
Exportación de políticas
Exportación de políticas
Es posible exportar datos de políticas a un archivo XML para compartir fácilmente
políticas entre Enforce Server.
Acerca de la exportación de políticas

Las políticas se exportan en formato XML. Los archivos XML de políticas contienen
metadatos de políticas, referencias a perfiles de datos, reglas de respuesta,
identificadores de datos y reglas de grupo y detección y excepciones. Los archivos
no contienen los perfiles de datos, las conexiones de directorio, las credenciales
ni los complementos de FlexResponse reales. Es necesario copiar esos elementos
en el sistema en el cual usted está importando la política.
Es posible exportar las políticas individualmente o multiplicar. Para exportar políticas,
es necesario tener el privilegio Crear políticas.
Las políticas exportadas incluyen los elementos siguientes:
■ Nombre de política, descripción y grupo de políticas
■ Reglas de políticas, incluso las definiciones de EDM, IDM, VML y reconocimiento
de formularios
■ Ubicaciones y dispositivos de endpoint
■ Patrones de remitente y destinatario
■ Reglas de respuesta
■ Identificadores de datos
■ Protocolos personalizados
Las políticas exportadas no incluyen los elementos siguientes:
■ Credenciales
■ Índices de EDM, IDM, VML o reconocimiento de formularios
■ Archivos de origen de datos de EDM, IDM o reconocimiento de formularios
■ Archivos de entrenamiento de VML
■ Complementos de FlexResponse
Para exportar políticas:
1 Vaya a Administrar > Políticas > Lista de políticas.
2 Realice una de las siguientes acciones:
Clonación de políticas
■ Para exportar una única política, haga clic en el icono de exportación de

esa política.
■ Para exportar varias políticas en un archivo ZIP, seleccione las políticas
que desee exportar, después haga clic en Exportar.
3 Symantec Data Loss Prevention exporta sus políticas usando las convenciones
de nomenclatura siguientes:
■ Para políticas únicas, la convención de nomenclatura es
ENFORCEHOSTNAME-POLICYNAME-DATE-TIME.XML.
■ Para la exportación de políticas masiva, la convención de nomenclatura

es ENFORCEHOSTNAME-policies-DATE-TIME.ZIP.
Clonación de políticas
Es posible clonar políticas desde la página Lista de políticas.
Las políticas clonadas son copias exactas de la política original. Incluyen los
siguientes elementos:
■ Nombre de la política, descripción y grupo de políticas.
Las políticas clonadas aparecen en la lista de políticas como Copia N de
nombre de política original.
■ Reglas de políticas, incluso las definiciones de EDM, IDM, VML y reconocimiento
de formularios
■ Ubicaciones y dispositivos de endpoint
■ Patrones de remitente y destinatario
■ Reglas de respuesta
■ Identificadores de datos
■ Protocolos personalizados
Nota: Es necesario tener privilegios de autor en la política para clonarla.
Para obtener información sobre cómo importar y exportar políticas y plantillas de

políticas, consulte estos temas:
Importación de plantillas de políticas
Importación de plantillas de políticas

Es posible importar una o más plantillas de políticas a Enforce Server. Es necesario
contar con privilegios de sistemas de políticas para importar plantillas de políticas.
Para importar una o más plantillas de políticas a Enforce Server
1 Coloque uno o más archivos XML de plantillas de políticas en el directorio
\SymantecDLP\Protect\config\templates en el host de Enforce Server.
Es posible importar varias plantillas de políticas colocándolas todas en el

directorio de plantillas.
2 Asegúrese de que el usuario del sistema de “protección” pueda leer el directorio
y los archivos.
3 Inicie sesión en la Consola de administración de Enforce Server con privilegios
de autoría de políticas.
4 Desplácese hasta Administrar > Políticas > Lista de política y haga clic en
Agregar política.
5 Elija la opción Agregar política desde una plantilla y haga clic en Siguiente.
6 Desplácese hacia abajo hasta la parte inferior de la lista de plantillas en la
sección Plantillas importadas.
Debe ver una entrada para cada archivo XML que coloca en el directorio de
plantillas.
7 Seleccione la plantilla de políticas importada y haga clic en Siguiente para
configurarla.
Exportación de detección de políticas como plantilla

Es posible exportar excepciones y reglas de detección de políticas a una plantilla
(archivo XML). No es posible exportar las reglas de respuesta de políticas. Es
posible exportar solamente una plantilla de políticas al mismo tiempo.
Agregar una regla de respuesta automática a una política
Para exportar una política como plantilla

1 Inicie sesión en la consola de administración de Enforce Server con privilegios
de administrador.
2 Vaya a la pantalla Administrar > Políticas > Lista de políticas > Configurar
política de la política que desea exportar.
3 En el margen inferior de la pantalla Configurar política, haga clic en el vínculo
Exportar esta política como plantilla.
4 Guarde la política en un destino local o de red que usted elija.
Por ejemplo, el sistema exporta una política denominada Correo web al archivo
de plantilla de políticas Webmail.xml que puede guardar en la unidad local.
Para obtener información sobre cómo importar, exportar y clonar políticas, consulte
estos temas:
Ver "Clonación de políticas" en la página 479.
Agregar una regla de respuesta automática a una

política
Es posible agregar una o más reglas de respuesta automática a una política para
tomar medidas cuando se infringe esa política.
Nota: Las reglas de respuesta inteligente se ejecutan manualmente y no se

implementan con las políticas.
Para agregar una regla de respuesta automática a una política

1 Inicie sesión en la consola de administración de Enforce Server con privilegios
de autoría de políticas.
2 Navegue a la pantalla Administrar > Políticas > Lista de políticas >
Configurar política para la política a la que desee agregar una regla de
respuesta.
Eliminación de políticas y grupos de políticas
3 Seleccione la regla de respuesta que desee agregar de aquellas disponibles

en el menú desplegable.
Las políticas y las reglas de respuesta se configuran por separado. Para
agregar una regla de respuesta a una política, la regla de respuesta se debe
primero definir y guardar independientemente.
4 Haga clic en Agregar regla de respuesta para agregar la regla de respuesta
a la política.
5 Repita el proceso para agregar reglas de respuesta adicionales a la política.
6 Haga clic en Guardar la política cuando haya terminado de agregar reglas de
respuesta.
7 Verifique que el estado de la política sea verde una vez que haya agregado
la regla de respuesta a la política.
Nota: Si el estado de la política es una señal amarilla de precaución, la política

está mal configurada. El sistema no admite ciertos pares de reglas de detección y
acciones de reglas de respuesta automática. Ver Tabla 73-2 en la página 2005.
Eliminación de políticas y grupos de políticas

Considere las siguientes pautas antes de eliminar una política o un grupo de
políticas de Enforce Server.
Tabla 19-6 Pautas para eliminar políticas y grupos de políticas
Acción Descripción Pauta
Eliminar una Si intenta eliminar una política que tiene Si desea eliminar una política, se deben eliminar primero
política incidentes asociados, el sistema no todos los incidentes que se asocien a esa política de
permite eliminar la política. Enforce Server.
Una alternativa consiste en crear un grupo de políticas no

implementadas (no asignadas a ningún servidor de
detección). Este método es útil para mantener los incidentes
y las políticas anteriores en revisión sin mantener estas
políticas en un grupo de políticas implementadas.
Ver "Importación y exportación de plantillas de políticas"

en la página 400.
Visualización e impresión de detalles de políticas
Acción Descripción Pauta
Eliminar un Si intenta eliminar un grupo de políticas Antes de eliminar un grupo de políticas, elimine cualquier
grupo de que contiene una o más políticas, el política de ese grupo, ya sea eliminándola o asignándola a
políticas sistema muestra un mensaje de error. Y diferentes grupos de políticas.
el grupo de políticas no se elimina.
Ver "Administrar y agregar grupos de políticas"
en la página 472.
Si desea eliminar un grupo de políticas, cree un grupo de

políticas de mantenimiento y mueva las políticas que desee
eliminar al grupo de mantenimiento.

en la página 473.

Visualización e impresión de detalles de políticas

Es posible ver e imprimir los detalles de políticas para una única política de la
pantalla Lista de políticas.
Es necesario tener el privilegio Crear políticas para las políticas que desee ver e
imprimir.
Ver "Visualización, impresión y descarga de detalles de políticas" en la página 403.
Para ver e imprimir detalles de políticas
1 Navegue a Administrar > Políticas > Lista de políticas y haga clic en el
icono de impresora situado al final de la fila de políticas.
La pantalla Instantánea de política aparece.
2 Consulte la información general de las políticas, las reglas de detección y las
reglas de respuesta en la pantalla Instantánea de la política.
3 Para imprimir los detalles de la política, utilice el comando Imprimir en su
navegador web desde la pantalla Instantánea de la política.
Descarga de detalles de políticas

Es posible descargar un archivo ZIP de detalles para las políticas en la Lista de
políticas. El archivo ZIP contiene documentos HTML con detalles para cada política
seleccionada en la lista de políticas, así como un archivo de índice para que sea
Políticas de solución de problemas
más fácil encontrar los detalles de la política que desee. Los archivos se titulan
usando el Id. de la política, como 123.html. El archivo del índice se titula
downloaded_policies_DATE.html y contiene el nombre de política, la descripción,
el estado, el grupo de políticas y la fecha de la última modificación de todas las
políticas seleccionadas en la descarga, así como vínculos a los detalles de las
políticas.
Es necesario tener el privilegio Crear políticas para las políticas que desee
descargar.
Ver "Visualización, impresión y descarga de detalles de políticas" en la página 403.
Para descargar detalles de políticas
1 Vaya a Administrar > Políticas > Lista de políticas, seleccione la política o
las políticas que desee y después haga clic en Detalles de la descarga.
2 En el cuadro de diálogo Abrir archivo, seleccione Guardar archivo y luego
haga clic en Aceptar.
3 Para ver los detalles para una política, extraiga los archivos del archivo ZIP y
luego abra el archivo que desee ver. Utilice el archivo del índice para buscar
las políticas descargadas por el nombre de la política, la descripción, el estado,
el grupo de políticas o la fecha de la última modificación.
La pantalla Instantánea de la política aparece.
4 Para imprimir los detalles de la política, utilice el comando Imprimir en su
navegador web desde la pantalla Instantánea de la política.
Políticas de solución de problemas

Tabla 19-7 enumera los archivos de registro para consultar las políticas de solución
de problemas.
Tabla 19-7 Archivos de registro para políticas de solución de problemas
Archivo de registro Descripción
VontuMonitor.log Registra cuando las políticas y los perfiles se envían de Enforce Server
a servidores de detección y servidores de endpoints. Muestra errores
de JRE.
detection_operational.log Registre la carga de políticas y la ejecución de detecciones.
detection_operational_trace.log Ver "Archivos de registro operativos" en la página 352.

Cómo actualizar los perfiles de EDM y de IDM a la versión más reciente
FileReader.log Registra cuando un archivo de índice se carga en la memoria. Para

EDM, busque la línea "perfil de base de datos cargado". Para IDM
busque la línea: "perfil de documento cargado".
Indexer.log Registra las operaciones del proceso del indizador para generar índices
de EDM e IDM.

en la página 367.
Ver "Archivos de registro para solucionar problemas de entrenamiento de VML y
detección de políticas" en la página 696.
Cómo actualizar los perfiles de EDM y de IDM a la

versión más reciente
Symantec Data Loss Prevention versión 14.0 proporciona varias actualizaciones
significativas para las tecnologías de coincidencia de documentos indizados (IDM)
y coincidencia de datos estructurados (EDM).
Para utilizar estas nuevas funciones en un sistema actualizado, es necesario volver
a indizar sus orígenes de datos y documentos. Antes de implementar un índice en
la producción, es necesario probar el perfil actualizado y las políticas basadas en
él para asegurarse de que detectan la pérdida de datos como se espera en el
sistema actualizado.
Tabla 19-8 enumera los requisitos de reindización para actualizar sus perfiles de
EDM y de IDM a la versión 14.0, y proporciona vínculos para más información.
Actualizar las políticas después de actualizar a la versión más reciente
Tabla 19-8 Requisitos de reindización para perfiles de datos de EDM y de IDM
Tecnología y funciones Acciones requeridas Más información
Coincidencia de datos Si tiene perfiles de datos estructurados existentes Ver "Actualizar los índices de EDM a
estructurados (EDM) que admiten políticas de EDM y desea utilizar la última versión" en la página 558.
las nuevas funciones de EDM, antes de actualizar
■ Coincidencia de varios Además, consulte el capítulo
los servidores de detección, es necesario:
tokens "Actualizar los índices de EDM a la
■ Rango de proximidad ■ Volver a indizar cada origen de datos última versión" en la Guía de
proporcional estructurados usando un indizador de EDM administración de Symantec Data
compatible con la versión 14.0 Loss Prevention y en la ayuda en
■ Cargar cada índice en un perfil de datos pantalla.
estructurados generado para la versión 14.0
Coincidencia de Si tiene perfiles de documentos indizados O consulte el tema "Usar la IDM del
documentos indizados existentes que admitan políticas de IDM y desea agente después de actualizar a la
(IDM) usar la IDM del agente, después de actualizar a versión 14.0" en la Guía de
14.0 es necesario: administración de Symantec Data
■ Coincidencia exacta de
Loss Prevention y la ayuda en
IDM en el endpoint (IDM ■ Deshabilitar la detección de dos niveles en el
pantalla.
del agente) servidor de endpoints
■ Volver a indizar cada origen de datos del
documento de modo que el índice de endpoint
se genere e implemente en el servidor de
endpoints para su descarga por parte del
agente DLP.
Actualizar las políticas después de actualizar a la

versión más reciente
Varias plantillas de la política fueron actualizadas en Symantec Data Loss Prevention
12.5. Si está actualizando desde una versión anterior a la versión 12.5, el sistema
actualiza las plantillas de políticas definidas por el sistema. Las políticas que haya
creado sobre la base de una plantilla de política actualizada no se cambian para
no sobrescribir las configuraciones que haya establecido. Si ha creado políticas
basadas en una o más plantillas de políticas actualizadas, es necesario actualizar
las políticas de modo que estén actualizadas.
Las plantillas de políticas de HIPAA e HITECH (incluida PHI [del inglés Protected
Health Information, información protegida sobre la salud]) y del Informe de
Caldicott se actualizaron con terminología de las listas de palabras clave de
medicamentos, tratamientos y enfermedades basada en la información de la
Administración de Alimentos y Fármacos (FDA) de EE. UU. y otras fuentes.
Symantec recomienda actualizar las políticas derivadas de estas plantillas con las
listas de palabras claves actualizadas de medicamentos, tratamientos y

enfermedades.
Ver "Actualización de listas de palabras clave de medicamentos, enfermedades y
tratamientos para sus políticas de HIPAA y Caldicott" en la página 823.
Además, las plantillas de políticas que utilizan patrones del identificador de datos
para detectar números de la seguridad social (SSN) se actualizan para utilizar el
identificador de datos SSN de EE. UU. aleatorio, que detecta SSN tradicionales y
seleccionados al azar. Symantec recomienda que actualice sus políticas de SSN
para utilizar el identificador de datos SSN de EE. UU aleatorio.
Ver "Actualizar las políticas para utilizar el identificador de datos del número de la
seguridad social (SSN) de los EE. UU. calculado de forma aleatoria" en la página 785.
Tabla 19-9 enumera las plantillas de políticas actualizadas para esta versión de
Tabla 19-9 Plantillas de políticas actualizadas en la versión 12.5 de Data Loss

Prevention
Plantilla actualizada Componentes actualizados Descripción de política
Informe de Caldicott Lista de palabras clave de Ver "Plantilla de políticas del informe de Caldicott"
tratamientos, enfermedades y en la página 1268.
medicamentos
Protección de datos de Identificador de datos SSN de Ver "Plantilla de políticas de protección de datos de
clientes EE. UU. aleatorio clientes" en la página 1276.
Protección de datos de Identificador de datos SSN de Ver "Plantilla de políticas de la protección de datos
empleados EE. UU. aleatorio de empleados" en la página 1285.
FACTA 2003 (Reglas de Identificador de datos SSN de Ver "Plantilla de políticas de FACTA 2003 (reglas de
alerta) EE. UU. aleatorio alerta)" en la página 1288.
Gramm-Leach-Bliley Identificador de datos SSN de Ver "Plantilla de políticas de Gramm-Leach-Bliley"

EE. UU. aleatorio en la página 1347.
HIPAA e HITECH (incluida Lista de palabras clave de Ver "Plantilla de la política HIPAA e HITECH (incluida
PHI [del inglés Protected tratamientos, enfermedades y PHI [del inglés Protected Health Information:
Health Information, medicamentos Información Protegida sobre la Salud]) "
información protegida sobre en la página 1349.
Identificador de datos SSN de
la salud])
EE. UU. aleatorio
Leyes estatales de privacidad Identificador de datos SSN de Ver "Plantilla de la política Leyes estaduales de
de datos EE. UU. aleatorio privacidad de datos" en la página 1386.
Plantilla actualizada Componentes actualizados Descripción de política
Números de la seguridad Identificador de datos SSN de Ver "Plantilla de políticas de números de la seguridad
social de los EE. UU. EE. UU. aleatorio social de los EE. UU." en la página 1396.
Capítulo 20
Prácticas recomendadas
para crear políticas
■ Prácticas recomendadas para crear políticas
■ Desarrollo de una estrategia de políticas que admite sus objetivos de seguridad

de datos
■ Use un número limitado de políticas para iniciar
■ Use las plantillas de la política, pero modifíquelas para cumplir sus requisitos
■ Use la condición de coincidencia apropiada para sus objetivos de prevención

de pérdida de datos
■ Pruebe y ajuste de políticas para mejorar la exactitud de coincidencia
■ Comience con los umbrales de coincidencia alta para reducir los falsos positivos
■ Use un número limitado de excepciones para limitar el alcance de detección
■ Uso de condiciones compuestas para mejorar la exactitud de coincidencia
■ Creación de políticas para limitar el efecto potencial de detección de dos niveles
■ Uso de grupos de políticas para administrar el ciclo de vida de políticas
■ Siga las prácticas recomendadas específicas de la detección
Prácticas recomendadas para crear políticas

Esta sección proporciona prácticas recomendadas generales para la creación de
políticas para Symantec Data Loss Prevention. Esta sección asume que el lector
Prácticas recomendadas para crear políticas 490
Prácticas recomendadas para crear políticas
tiene familiaridad general con la creación de políticas, incluyendo la configuración,

la prueba y la implementación de las políticas, de las reglas de detección, de las
condiciones de coincidencia y de las excepciones de políticas
Las prácticas recomendadas no se piensan para proporcionar dirección detallada
sobre la solución de problemas. En cambio, es meta de esta sección proporcionar
las prácticas recomendadas que, cuando se cumplen, ayudan proactivamente a
reducir la necesidad de solución de problemas y soporte para políticas.
Tabla 20-1 Resumen de las prácticas recomendadas para la creación de políticas
Prácticas recomendadas Descripción
Desarrollo de una estrategia de políticas que admite sus Ver "Desarrollo de una estrategia de políticas que admite
objetivos de seguridad de datos. sus objetivos de seguridad de datos" en la página 491.
Use un número limitado de políticas para iniciar. Ver "Use un número limitado de políticas para iniciar"
en la página 491.
Use las plantillas de la política, pero modifíquelas para Ver "Use las plantillas de la política, pero modifíquelas
cumplir sus requisitos. para cumplir sus requisitos" en la página 492.
Uso de grupos de políticas para administrar el ciclo de Ver "Uso de grupos de políticas para administrar el ciclo
vida de políticas. de vida de políticas" en la página 498.
Use la condición de coincidencia apropiada para sus Ver "Use la condición de coincidencia apropiada para sus
objetivos de prevención de pérdida de datos. objetivos de prevención de pérdida de datos"
en la página 492.
Pruebe y ajuste de políticas para mejorar la exactitud de Ver "Pruebe y ajuste de políticas para mejorar la exactitud
coincidencia. de coincidencia" en la página 493.
Comience con los umbrales de coincidencia alta para Ver "Comience con los umbrales de coincidencia alta para
reducir los falsos positivos. reducir los falsos positivos" en la página 495.
Use un número limitado de excepciones para limitar el Ver "Use un número limitado de excepciones para limitar
alcance de detección. el alcance de detección" en la página 495.
Uso de condiciones compuestas para mejorar la exactitud Ver "Uso de condiciones compuestas para mejorar la
de coincidencia. exactitud de coincidencia" en la página 496.
Creación de políticas para limitar el efecto potencial de Ver "Creación de políticas para limitar el efecto potencial
detección de dos niveles. de detección de dos niveles" en la página 497.
Siga las prácticas recomendadas específicas para la Ver "Siga las prácticas recomendadas específicas de la
detección. detección" en la página 499.
Desarrollo de una estrategia de políticas que admite sus objetivos de seguridad de datos
Desarrollo de una estrategia de políticas que admite

sus objetivos de seguridad de datos
El objetivo de detección es alcanzar resultados precisos basados en coincidencias
de políticas verdaderas. Las políticas correctamente creadas deben detectar
exactamente los datos que desea proteger con falsos positivos mínimos. Con el
uso de políticas correctamente definidas que implementan el tipo y la combinación
correctos de reglas, condiciones y excepciones, puede alcanzar los resultados de
detección exactos y evitar la pérdida de los datos más críticos de su empresa
Hay dos enfoques generales para desarrollar una estrategia de política de
prevención de pérdida de datos:
■ Basado en información: identifique las políticas de datos confidenciales y cree
políticas para evitar que se pierdan.
■ Impulsado por regulaciones: revise las regulaciones del gobierno y de la
industria, y cree políticas para cumplirlas.
Tabla 20-2 describe estos dos enfoques con más detalle.
Tabla 20-2 Enfoques de detección de políticas
Enfoque Descripción
Impulsado por Con este enfoque, comienza al identificar combinaciones de datos y elementos de datos
información específicos que desea proteger. Los ejemplos de tales datos pueden incluir campos perfilados
de una base de datos, de una lista de palabras clave, de un conjunto de usuarios o de una
combinación de estos elementos. Después se agrupan elementos de datos similares y se
crean las políticas para identificarlos y para protegerlos. Este enfoque funciona mejor cuando
se tiene acceso limitado a los datos o ninguna preocupación especial por una regulación
dada.
Impulsado por Con este enfoque, comienza con una plantilla de política basada en regulaciones con la cual
regulaciones es necesario cumplir con los requisitos. Los ejemplos de tales plantillas pueden incluir HIPAA
o FACTA. Además, comience con un conjunto grande de datos (por ejemplo, los datos del
cliente o del empleado). Use los requisitos de alto nivel estipulados por las regulaciones
como la base para este enfoque. A continuación, decida qué elementos de datos
confidenciales y documentos en su empresa cumplen estos requisitos. Estos elementos de
datos se convierten en condiciones para reglas de detección y excepciones en sus políticas.
Use un número limitado de políticas para iniciar

Las reglas de detección de políticas que se implementan se basan en los objetivos
de seguridad de la información de la organización. Las acciones que toma en
respuesta a las infracciones de políticas se basan en los requisitos de cumplimiento
Use las plantillas de la política, pero modifíquelas para cumplir sus requisitos
de la organización. En general, se recomienda comenzar poco a poco con la

detección de políticas. Habilite una o dos plantillas de políticas, o algunas
condiciones simples, como coincidencia de palabras clave. Revise los incidentes
que cada política detecta. Ajuste los resultados antes de implementar reglas de
respuesta para tomar medidas.
En general, es mejor tener menos políticas que se configuren para alcanzar los
objetivos específicos de la prevención de pérdida de datos en lugar de muchas
políticas que intenten atender todos sus requisitos de seguridad. Tener demasiadas
políticas puede afectar el rendimiento del sistema y puede generar demasiados
falsos positivos.
Ver "Pruebe y ajuste de políticas para mejorar la exactitud de coincidencia"
en la página 493.
Use las plantillas de la política, pero modifíquelas

para cumplir sus requisitos
Las plantillas de políticas proporcionan un punto de partida excelente para la autoría
de políticas. Symantec Data Loss Prevention proporciona 65 plantillas de políticas
previamente generadas que contienen las reglas de detección y las condiciones
para muchos tipos de casos de uso diferentes, dentro de los que se incluyen el
cumplimiento normativo, la protección de datos, la aplicación de la seguridad y
situaciones aceptables de uso.
Es necesario usar las plantillas de políticas proporcionadas por el sistema como
puntos de partida para las políticas. Esto le permitirá ahorrar tiempo y le ayudará
a evitar errores y huecos de información en las políticas, puesto que los métodos
de detección están predefinidos. Sin embargo, para la mayoría de las situaciones,
querrá modificar la plantilla de políticas y adaptarla a su entorno específico. No se
recomienda implementar una plantilla de políticas así como viene sin configurarla
para su entorno.
Use la condición de coincidencia apropiada para sus

objetivos de prevención de pérdida de datos
Para evitar pérdida de datos, es necesario detectar exactamente todos los tipos
de datos confidenciales dondequiera que los datos se almacenen, se copien o se
transmitan. Para lograr sus objetivos de seguridad de datos, debe implementar los
métodos de detección apropiados para el tipo de datos que desea proteger. La
recomendación es determinar los métodos de detección que funcionan mejor para
Pruebe y ajuste de políticas para mejorar la exactitud de coincidencia
usted y ajustar las políticas según sea necesario en función de los resultados de
su prueba de la detección.
Tabla 20-3 describe el caso de uso principal para cada tipo de condición de
coincidencia de políticas proporcionada por Data Loss Prevention.
Tabla 20-3 Condiciones de coincidencia comparadas
Tipo de datos que desea proteger Condición Coincidencia
Información de identificación personal (PII), como EDM Datos perfilados exactos

SSN, CCN y números de licencia de conducir
Identificadores de datos Patrones de datos validados y
descritos
Documentos confidenciales, por ejemplo Microsoft IDM Contenido de archivo exacto

Word, PowerPoint, PDF, etc.
Contenidos de archivo parciales
(derivado)
VML Contenidos de archivo similares
Archivos e imágenes confidenciales, como gráficos IDM Archivo exacto

CAD
Propiedades del archivo Contexto del archivo (tipo, nombre,
tamaño)
Palabras y frases, como "Confidencial" o Palabras clave Palabras exactas, frases,

"Propietario" proximidad
Caracteres, cadenas, texto Expresiones regulares Texto descrito
Red y comunicaciones endpoint Protocolo y endpoint Protocolos, destinos, supervisión
Determinado por la identidad del usuario, remitente, DGM sincronizada Identidad exacta del servidor LDAP
destinatario
DGM perfilada Identidad perfilada exacta
Remitente/usuario, Patrones de identidad descritos

destinatario
Describe un documento, como autor, título, fecha, Condiciones basadas en Metadatos de tipo de archivo
etc. contenido
Pruebe y ajuste de políticas para mejorar la exactitud

de coincidencia
Cuando se crean políticas de detección, existen dos problemas comunes de
detección para evitar. Si crea una política que es demasiado general o demasiado
Pruebe y ajuste de políticas para mejorar la exactitud de coincidencia
amplia, genera incidentes cuando no ocurre ninguna coincidencia real (falso

positivo). Por otra parte, si una política tiene reglas que son demasiado específicas
o limitadas sobre los datos que detecta, la política puede perder algunas
coincidencias que intenta captar (falsos negativos). Tabla 20-4 describe estos
problemas comunes más detalladamente.
Para reducir los falsos positivos y los falsos negativos, es necesario ajustar sus
políticas. La mejor manera de ajustar la detección es identificar un caso de uso
único y específico que sea una prioridad, como protección de código fuente para
un producto determinado. Luego crea una sola política, ya sea desde cero o basada
en una plantilla, dependiendo de su estrategia de DLP, que contiene una o dos
reglas de detección y prueba la política para ver cuántos (cantidad) y qué tipos
(calidad) de incidentes genera la política. De acuerdo con estos resultados iniciales,
ajuste las reglas de detección según sea necesario. Si la política genera más falsos
positivos de los que desea, haga la regla de detección más específica ajustando
las condiciones de coincidencia existentes, agregando condiciones de coincidencia
adicionales y creando excepciones de políticas. Si la política no detecta algunos
incidentes, haga las condiciones de detección menos específicas.
A medida que las políticas maduran, es importante continuar probándolas y
ajustándolas para asegurar la exactitud continua.
Ver "Siga las prácticas recomendadas específicas de la detección" en la página 499.
Tabla 20-4 Problemas comunes de detección a evitar
Problema Causa Descripción
Falsos Reglas de Los falsos positivos crean altos costos de tiempo y recursos que son necesarios
positivos políticas para investigar y resolver los incidentes aparentes que no son reales. Dado que
demasiado muchas organizaciones no tienen la capacidad para administrar muchos falsos
generales o positivos, es importante que sus políticas definan las reglas de contexto para
amplias mejorar la exactitud.
Por ejemplo, una política se diseña para proteger nombres de cliente y generar
un incidente por cualquier elemento que contenga un nombre y un apellido. Dado
que la mayoría de los mensajes contiene un nombre, en muchos casos nombre
y apellido, esta política es demasiado amplia y general. Aunque pueda captar
todas las instancias de nombres de cliente que se envían fuera de la red, esta
política devolverá demasiados falsos positivos al detectar mensajes de correo
electrónico que no divulgan información protegida. El nombre y apellido requiere
una comprensión mucho mayor de contexto para determinar si los datos son
confidenciales
Comience con los umbrales de coincidencia alta para reducir los falsos positivos
Problema Causa Descripción
Falsos Reglas de Los falsos negativos bloquean brechas de seguridad al permitir la pérdida de
negativos políticas datos, las posibles pérdidas financieras, la exposición legal y el daño a la
demasiado reputación de una organización. Los falsos negativos son especialmente peligrosos
limitadas o porque usted no sabe que ha perdido datos confidenciales.
estrechas
Por ejemplo, una política que contiene una coincidencia de palabra clave en la
palabra "confidencial", pero que además contiene una condición que excluye
todos los documentos de Microsoft Word sería demasiado limitada y podría ser
sospechosa de falsos negativos porque probablemente no detectaría muchos
incidentes reales que contienen dichos documentos
Ver "Comience con los umbrales de coincidencia alta para reducir los falsos
positivos" en la página 495.
Ver "Use un número limitado de excepciones para limitar el alcance de detección"
en la página 495.
en la página 496.
Comience con los umbrales de coincidencia alta para

reducir los falsos positivos
Para las reglas de detección basadas en contenido, hay un valor de configuración
que permite "contar todas las coincidencias", pero informar solamente un incidente
una vez que un número del umbral de coincidencias se ha alcanzado. La
recomendación general es comenzar con los umbrales de coincidencias altas para
las políticas de detección basadas en contenido. Si se ajustan las políticas, se
pueden reducir los umbrales de coincidencias para obtener más precisión.
Use un número limitado de excepciones para limitar

el alcance de detección
Es posible implementar condiciones de excepción para cualquier regla de detección,
excepto reglas de EDM. El uso limitado de condiciones de excepción puede ayudarle
a reducir los falsos positivos al limitar el ámbito de detección de políticas. Sin
embargo, si es necesario usar varias excepciones en una única política para
alcanzar los resultados de detección deseados, reconsidere el diseño de la política.
Uso de condiciones compuestas para mejorar la exactitud de coincidencia
Asegúrese de que la política esté bien definida y use las condiciones de coincidencia
apropiadas.
Precaución: Demasiadas excepciones compuestas en una política pueden causar

problemas de rendimiento del sistema. Es necesario evitar el uso de las excepciones
compuestas tanto cuanto sea posible.
Es importante comprender cómo las condiciones de excepción funcionan de forma

que pueda usarlas correctamente. Las condiciones de excepción descalifican
mensajes de creación de incidentes. El servidor de detección comprueba las
condiciones de excepción primero antes que las condiciones de coincidencia. Si
la condición de excepción coincide, el sistema descarta de forma inmediata el
mensaje o el componente de mensaje completo que cumple con la excepción. No
hay soporte para las excepciones de nivel de coincidencia. Una vez que el mensaje
o el componente de mensaje se descarte al cumplir con una excepción, los datos
ya no están disponibles para la evaluación de políticas.
en la página 496.
Uso de condiciones compuestas para mejorar la

exactitud de coincidencia
Las condiciones compuestas pueden ayudarle a mejorar la exactitud de coincidencia
de las políticas. Suponga que está preocupado por los documentos de Microsoft
Word que salen de la red. Inicialmente, se agrega una política que usa un tipo
condición de archivo adjunto para tomar todos los archivos de Word. Se detecta
rápidamente que demasiados mensajes contienen archivos adjuntos de Word que
no divulgan información protegida. Cuando se examinan los incidentes con mayor
detalle, se da cuenta de que está más preocupado por los archivos de Word que
contienen la palabra CONFIDENCIAL. En este caso, puede convertir la condición
de tipo de archivo adjunto a una regla compuesta agregando una regla palabra
clave para la palabra CONFIDENCIAL. Dicha configuración logrará resultados de
detección más exactos.
Creación de políticas para limitar el efecto potencial de detección de dos niveles
Creación de políticas para limitar el efecto potencial

de detección de dos niveles
Las condiciones de coincidencia de datos estructurados (EDM) y de coincidencia
de grupo de directorios (DGM) requieren la detección de dos niveles. Para estas
condiciones, el agente DLP debe enviar los datos al servidor de endpoints para su
evaluación. Coincidencia de documentos indexados (IDM) usa la detección de dos
niveles si se habilita.
En el endpoint, el Agente DLP primero ejecuta las reglas menos costosas. Si está
implementando una política en el endpoint que requiere detección de dos niveles,
puede crear la política de tal manera que limite el efecto potencial de detección de
dos niveles.
Tabla 20-5 proporciona algunas consideraciones para crear políticas para limitar
el efecto potencial de la detección de dos niveles.
Tabla 20-5 Configuración de políticas para reglas de detección de dos niveles
Condición de coincidencia de Configuración de políticas

dos niveles
Coincidencia de datos En las políticas de EDM, considere incluir O de reglas del identificador de datos
estructurados (EDM) con reglas de EDM. Por ejemplo, para obtener una política que use una condición
de EDM que coincida con los números de la seguridad sociales, puede agregar
una segunda regla que usa la condición de identificador de datos de SSN. El
identificador de datos no requiere detección de dos niveles y el Agente DLP lo
evalúa localmente. Si el Agente DLP no se conecta con el servidor de endpoints
cuando el Agente DLP recibe los datos, puede ejecutar una coincidencia de
patrones de SSN basada en la condición Identificador de datos.
Ver "Combine identificadores de datos con las reglas de EDM para limitar el impacto
de la detección de dos niveles" en la página 604.
Por ejemplo, configuraciones de políticas, cada una de las plantillas de políticas

que proporciona condiciones de EDM además de las condiciones correspondientes
del identificador de datos.

Uso de grupos de políticas para administrar el ciclo de vida de políticas
Condición de coincidencia de Configuración de políticas

dos niveles
Coincidencia de documentos Para las políticas de IDM que coinciden con los contenidos del archivo, considere
indizados (IDM) usar las O de reglas de VML con las reglas de IDM. Las reglas de VML no requieren
detección de dos niveles y el Agente DLP las ejecuta localmente. Si no es necesario
que el contenido del archivo coincida exactamente, puede usar VML en vez de
IDM.
Ver "Use la condición de coincidencia apropiada para sus objetivos de prevención

de pérdida de datos" en la página 492.
Si solo desea que coincida el archivo, no su contenido, considere usar reglas de

propiedades de archivo compuestas en vez de IDM. Las reglas de propiedades
del archivo no requieren detección de dos niveles.
Ver "Utilice las reglas compuestas de propiedades de archivo para proteger los
archivos de diseño y multimedia" en la página 852.
Coincidencia de grupo de Para la condición de destinatario de DGM sincronizada, considere incluir una O
directorios (DGM) de la condición El destinatario coincide con el patrón con la condición de DGM.
La condición de patrón no requiere detección de dos niveles y el Agente DLP lo
evalúa localmente.
Ver "Acerca de la detección de dos niveles para DGM sincronizada"

en la página 882.
Uso de grupos de políticas para administrar el ciclo

de vida de políticas
Use los grupos de políticas para probar las políticas antes de usarlas en la
producción. Cree un grupo de políticas de prueba al cual solamente usted tenga
acceso. A continuación, cree las políticas y agréguelas al grupo de políticas de
prueba. Revise los incidentes que capturen las políticas de prueba. Una vez que
se refinen las políticas y se confirme que capturan los incidentes previstos, puede
cambiar el nombre del grupo de políticas y concederle acceso a los roles apropiados.
Puede también usar grupos de políticas para administrar las políticas de versión
anterior, así como las políticas que desee importar o exportar.
Siga las prácticas recomendadas específicas de la detección
Siga las prácticas recomendadas específicas de la

detección
Además de estas consideraciones generales de autoría de políticas, es necesario
ser consciente y tener en cuenta las consideraciones de ajustes de las políticas
específicas para cada tipo de condición de coincidencia.
Tabla 20-6 enumera las consideraciones específicas de la detección, con los
vínculos a los temas para obtener más información.
Tabla 20-6 Prácticas recomendadas para los métodos de detección específicos
Método de detección Descripción
EDM Ver "Prácticas recomendadas para usar EDM" en la página 593.
IDM Ver "Prácticas recomendadas para usar IDM" en la página 647.
VML Ver "Prácticas recomendadas para usar VML" en la página 697.
Identificadores de datos Ver "Prácticas recomendadas para usar los identificadores de datos" en la página 805.
Palabras clave Ver "Prácticas recomendadas para usar coincidencia de palabras clave" en la página 824.
Expresiones regulares Ver "Prácticas recomendadas para usar la coincidencia de expresiones regulares"
en la página 832.
Detección de un idioma Ver "Prácticas recomendadas para detectar el contenido en un idioma que no sea inglés"
que no sea inglés en la página 835.
Propiedades de archivo Ver "Prácticas recomendadas para usar las coincidencias de las propiedades de archivo"
en la página 851.
Protocolos de red Ver "Prácticas recomendadas para usar las coincidencias de protocolo de red"
en la página 856.
Eventos de endpoint Ver "Prácticas recomendadas para usar la detección de endpoint" en la página 868.
Identidades descritas Ver "Prácticas recomendadas para usar la coincidencia de identidad descrita"
en la página 878.
DGM sincronizada Ver "Prácticas recomendadas para usar DGM sincronizada" en la página 888.
DGM perfilada Ver "Prácticas recomendadas para usar DGM perfilada" en la página 895.
Detección de metadatos Ver "Mejores prácticas para usar la detección de metadatos" en la página 927.
Capítulo 21
Detección de contenido
usando Coincidencia de
datos estructurados (EDM)
■ Presentación de la coincidencia de datos estructurados (EDM)
■ Configurar los perfiles de datos estructurados
■ Configurar las políticas de EDM
■ Usar coincidencia de varios tokens
■ Actualizar los índices de EDM a la última versión
■ Requisitos de memoria para EDM
■ Indización de EDM remoto
■ Prácticas recomendadas para usar EDM
Presentación de la coincidencia de datos

estructurados (EDM)
Coincidencia de datos estructurados (EDM) está diseñada para proteger su
contenido más confidencial. Es posible usar EDM para detectar información de
identificación personal (PII), como números de la seguridad social, números de
cuentas bancarias, números de tarjetas de crédito, registros del cliente y del
empleado confidenciales y otros datos confidenciales almacenados en un origen
Detección de contenido usando Coincidencia de datos estructurados (EDM) 501
Presentación de la coincidencia de datos estructurados (EDM)
de datos estructurado, tal como una base de datos, un servidor de directorio o un

archivo de datos estructurados como un archivo CSV o una hoja de cálculo.
Para implementar las políticas de EDM, se identifican y se preparan los datos que
desea proteger. Se crea un Perfil de datos exactos y se indiza el origen de datos
estructurado usando la consola de administración de Enforce Server o remotamente
usando el indizador de EDM remoto. Durante el proceso de la indización, el sistema
toma las huellas digitales de los datos, accede al contenido basado en texto y lo
extrae, lo normaliza y lo asegura usando un hash irreversible. Es posible programar
la indización periódicamente de forma que los datos sean actuales.
Una vez que haya perfilado los datos, se configura la condición El contenido
coincide con datos estructurados para buscar coincidencias con partes
individuales de los datos indizados. Para una mayor exactitud, se puede configurar
la condición de modo que coincida con combinaciones de campos de datos de un
registro determinado. La condición de política de EDM coincide con los datos que
vienen de la misma fila o registro de datos. Por ejemplo, se puede configurar la
condición de política de EDM para buscar Nombre, Apellido, SSN, Número de
cuenta o Número de teléfono, todo junto en un mensaje y de un registro de su base
de datos de clientes.
Una vez la política se implementa en uno o más servidores de detección, el sistema
puede detectar los datos que se han perfilado en el formato estructurado o no
estructurado. Por ejemplo, usted podría implementar la política de EDM en un
servidor Network Discover y analizar los repositorios de datos en busca de datos
confidenciales coincidentes con registros de datos en el índice. O, usted podría
implementar la política de EDM en un servidor Network Prevent for Email para
detectar registros en las comunicaciones y los archivos adjuntos de correo
electrónico, tal como archivos de Microsoft Word. Si el archivo adjunto está en una
hoja de cálculo, tal como Microsoft Excel, la política de EDM puede detectar la
presencia de registros confidenciales allí también.
Acerca de cómo usar EDM para proteger el contenido

Para entender cómo EDM trabaja, considere el ejemplo siguiente. Su compañía
mantiene a una base de datos de empleados que contiene los campos de columna
siguientes:
■ Nombre
■ Apellidos
■ SSN
■ Fecha de contratación
■ Salario
En un formato de datos estructurados, como una base de datos, cada fila representa
un registro, donde cada registro contiene valores para cada campo de datos de
columna. En este ejemplo, cada fila en la base de datos contiene la información
de un empleado y se puede usar EDM para proteger cada registro. Por ejemplo,
una fila en el archivo de origen de datos contiene el siguiente registro delimitado
por la barra vertical ("|"):
Nombre | Apellido | SSN | Fecha de contratación | Salario
Bob | Smith | 123-45-6789 | 05/26/99 | $42500
Se crea un perfil de datos estructurados y se indiza el archivo de origen de datos.

Cuando se configura el perfil, se asignan las columnas de campo de datos a los
patrones definidos por el sistema y se validan los datos. A continuación, se configura
la condición de política de EDM que hace referencia al Perfil de datos estructurados.
En este ejemplo, la condición coincide si un mensaje contiene los cinco campos
de datos.
El servidor de detección informa una coincidencia si detecta lo siguiente en cualquier
mensaje entrante:
Bob Smith 123-45-6789 05/26/99 $42500
Pero, un mensaje que contiene lo siguiente no es coincidente porque ese registro
no está en el índice:
Betty Smith 000-00-0000 05/26/99 $42500
Si limitó la condición a coincidir solamente los campos de columna Apellido, SSN
y Salario, el siguiente mensaje es una coincidencia porque cumple los criterios:
Robert, Smith, 123-45-6789, 05/29/99, $42500
Finalmente, el contenido del siguiente mensaje no es una coincidencia porque el
valor de SSN no está presente en el perfil:
Bob, Smith, 415-789-0000, 05/26/99, $42500
Ver "Configurar los perfiles de datos estructurados" en la página 512.
Funciones de la política de EDM

La coincidencia de política de EDM implica buscar contenido indizado en un mensaje
determinado y generar un incidente si una coincidencia se encuentra dentro del
rango de proximidad definido.
Las funciones de coincidencia de política de EDM incluye lo siguiente:
■ Es posible seleccionar cualquier número de columnas para que coincida con
un origen de datos dado.
■ Es posible definir combinaciones de exclusiones para que dichas coincidencias

frente a esas combinaciones no se informen.
■ Al crear el índice, el sistema proporciona la validación del patrón para números
de la seguridad social, números de tarjeta de crédito, números de teléfono y
códigos postales de los EE. UU. y Canadá, correos electrónicos y direcciones
IP, números y porcentajes.
■ Hay un diccionario de palabras editable que se puede utilizar para evitar que
las palabras de token irrelevantes simples coincidan.
■ El sistema destaca las coincidencias en la pantalla de instantáneas de incidente.
■ Es posible utilizar una cláusula where en la regla de EDM y las coincidencias
que no cumplen con la cláusula where se omiten.
■ Es posible utilizar la excepción del propietario de datos para omitir la detección
basada en el dominio o la dirección de correo electrónico del remitente o el
destinatario.
■ Es posible utilizar la coincidencia de grupos de directorio perfilados (DGM) para
coincidir los remitentes o los beneficiarios de datos basados en dirección de
correo electrónico, control de mensajería instantánea o nombre de usuario de
Windows.
■ El rango de coincidencia de proximidad que es proporcional al número de
coincidencias requeridas configuradas en la condición de la política.
■ Compatibilidad completa para coincidencia e indización de celdas de uno o
varios tokens. Una celda de varios tokens es una celda indizada que contiene
dos o más palabras.
Ver "Plantillas de políticas de EDM" en la página 503.
Plantillas de políticas de EDM

Symantec Data Loss Prevention proporciona varias plantillas de políticas con la
función EDM. Si utiliza una de estas plantillas, el sistema le deja validar su perfil
de datos exactos frente a la plantilla cuando usted está configurando el perfil.
■ Informe de Caldicott
■ Protección de datos de clientes
Ver "Plantilla de políticas de protección de datos de clientes" en la página 1276.
■ Ley 1988 de la protección de datos
en la página 1278.
■ Protección de datos de empleados

Ver "Plantilla de políticas de la protección de datos de empleados"
en la página 1285.
■ Políticas de protección de datos de la UE
■ Regulaciones de Administración de Exportaciones (EAR)
Ver "Plantilla de políticas de Regulaciones de Administración de Exportaciones
(EAR)" en la página 1287.
■ FACTA 2003 (Reglas de alerta)
Ver "Plantilla de políticas de FACTA 2003 (reglas de alerta)" en la página 1288.
■ Gramm-Leach-Bliley
Ver "Plantilla de políticas de Gramm-Leach-Bliley" en la página 1347.
■ HIPAA e HITECH (incluida PHI [del inglés Protected Health Information,
información protegida sobre la salud])
Ver "Plantilla de la política HIPAA e HITECH (incluida PHI [del inglés Protected
Health Information: Información Protegida sobre la Salud]) " en la página 1349.
■ Ley 1998 de los derechos humanos
en la página 1355.
■ Regulaciones de Tráfico Internacional de Armas (ITAR)
Ver "Plantilla de políticas de Regulaciones de Tráfico Internacional de Armas
(ITAR)" en la página 1357.
■ Estándar de seguridad de los datos para la industria de pagos con tarjeta de
crédito.
Ver "Plantilla de políticas Estándar de Seguridad de los Datos para la Industria
de Pagos con Tarjeta de Crédito (PCI)" en la página 1372.
■ PIPEDA
■ Información sobre precios
Ver "Plantilla de políticas Información sobre precios" en la página 1375.
■ Currículum vítae
Ver "Plantilla de políticas Currículum vítae" en la página 1379.
■ Leyes estatales de privacidad de datos
Ver "Plantilla de políticas Regulación de divulgación equitativa de la SEC"
en la página 1383.
Ver "Creación y modificación de perfiles de datos estructurados" en la página 520.
Ver "Aprovechamiento de las plantillas de políticas de EDM cuando es posible"

en la página 599.
Acerca del índice y el perfil de datos estructurados

El Perfil de datos estructurados es la configuración definida por el usuario que
se crea para indizar el origen de datos y asignar datos. El índice es un archivo
seguro (o conjunto de archivos) que contiene hashes de valores de datos
estructurados de cada campo en su origen de datos, junto con la información sobre
esos valores de datos. El índice no contiene los valores de datos mismos.
El índice que se genera incluye 12 archivos binarios DataSource.rdx, cada uno
con espacio para caber en la memoria de acceso aleatorio (RAM) en los servidores
de detección. De forma predeterminada, Symantec Data Loss Prevention almacena
archivos de índice en \SymantecDLP\Protect\index (Windows) o en
/var/SymantecDLP/index (en Linux) en Enforce Server.
Symantec Data Loss Prevention implementa automáticamente índices de EDM

(archivos *.rdx) al directorio index en todos los servidores de detección. Cuando
una política activa que se refiere a un perfil de EDM se implementa en un servidor
de detección, el servidor de detección carga el índice correspondiente de EDM en
la memoria RAM. Si se agrega un nuevo servidor de detección después de que se
crea un índice, los archivos *.rdx en la carpeta de índices en Enforce Server se
implementan en la carpeta de índices en el nuevo servidor de detección. No es
posible implementar manualmente archivos del índice en servidores de detección.
En el tiempo de ejecución durante la detección, el sistema convierte el contenido
de entrada en valores de datos con hashes usando el mismo algoritmo que emplea
para los índices. A continuación compara los valores de datos del contenido de
entrada con el de los archivos apropiados del índice e identifica coincidencias.
Ver "Requisitos de memoria para EDM" en la página 563.
Acerca del archivo de origen de datos exacto

El archivo de origen de datos es un archivo sin formato que contiene datos en un
formato delimitado estándar (barra vertical o tabulación) que se ha extraído de una
base de datos, una hoja de cálculos u otro origen de datos estructurado y se ha
limpiado para generar perfiles. Se carga el archivo de origen de datos a Enforce
Server cuando se está definiendo el Perfil de datos exactos. Por ejemplo, al
exportar datos de una base de datos (que ejecuta un "volcado de los datos"), el
archivo resultante *.dat se puede utilizar como origen de datos del perfil de EDM.
Ver "Crear el archivo del origen de datos estructurados para EDM" en la página 513.
Es posible utilizar el indizador previo de SQL para indizar el origen de datos

directamente. Sin embargo, este enfoque tiene limitaciones porque en la mayoría
de los casos los datos deben primero limpiarse antes de indizarse.
Ver "Indización de EDM remoto" en la página 573.
El archivo de origen de datos debe contener por lo menos un único campo de
columna. Algunos ejemplos de los campos de columna únicos incluyen el número
de la seguridad social, el número de licencia de conducir y el número de tarjeta de
crédito.
Ver "Prácticas recomendadas para usar EDM" en la página 593.
La cantidad de columnas máxima que un único archivo de origen de datos puede
tener es 32. Si el archivo de origen de datos tiene más de 32 columnas, la consola
de administración de Enforce Server presenta un mensaje de error en la pantalla
del perfil y el archivo de origen de datos no se indiza. La cantidad de filas máxima
es 4 mil millones - 2 (2^32-2) y la cantidad de celdas en un único archivo de origen
de datos no debe exceder las 6 mil millones de celdas. Si su archivo de origen de
datos es más grande, divídalo en varios archivos e indice cada uno por separado.
Tabla 21-1 resume las limitaciones de tamaño para los archivos de origen de datos
de EDM.
Nota: El formato para el archivo del origen de datos debe tener un formato basado
en texto que contiene contenido delimitado por tabulaciones y barras verticales.
En general, es necesario evitar usar un formato de hoja de cálculo para el archivo
de origen de datos (como XLS o XLSX) porque dichos programas usan una
anotación científica para representar los números.
Tabla 21-1 Limitaciones de tamaño del archivo de origen de datos de EDM
Archivo de origen Límite Descripción

de datos
Columnas 32 El archivo de origen de datos no puede tener más de 32 columnas. Si tiene más,
el sistema no lo indiza.
Celdas 6 mil millones El archivo de origen de datos no puede tener más de 6 mil millones de celdas
de datos. Si tiene más, el sistema no lo indiza.
Filas 4 mil millones La cantidad máxima de filas admitidas es 4 mil millones - 2 (2^32-2).
- 2 (2^32-2)
Acerca de la limpieza del archivo de origen de datos estructurados

Una vez que haya creado el archivo de origen de datos, es necesario prepara los
datos para la indización limpiándolo. Es fundamental que se limpie el archivo de
origen de datos para asegurarse de que las políticas de EDM sean lo más exactas
posible. Es posible usar herramientas como Stream Editor (sed) y AWK para limpiar
el archivo de origen de datos. Melissa Data proporciona buenas herramientas para
normalizar los datos en el origen de datos, como direcciones.
Tabla 21-2 proporciona el flujo de trabajo para limpiar el archivo de origen de datos
para la indización.
Tabla 21-2 Flujo de trabajo para limpiar el archivo de origen de datos
1 Elabore el archivo de origen de Ver "Preparación del archivo de origen de

datos para indizar. datos exactos para la indización"
en la página 516.
2 Asegúrese de que el origen de Ver "Asegúrese de que el origen de datos

datos tenga, por lo menos, una tenga por lo menos una columna para los
columna de datos únicos. datos únicos" en la página 594.
3 Elimine los registros incompletos y Ver "Limpie las columnas en blanco y las filas
duplicados. No llene las celdas duplicadas del archivo del origen de datos"
vacías de datos falsos. en la página 595.
4 Elimine los caracteres incorrectos. Ver "Elimine los tipos de carácter ambiguos
del archivo del origen de datos"
en la página 596.
5 Verifique que el archivo de origen

de datos esté por debajo del umbral
de error.
Acerca de cómo usar los campos del sistema para la validación del
origen de datos
Los encabezados de columna en su origen de datos son útiles para la referencia
visual. Sin embargo, no le dicen a Symantec Data Loss Prevention qué clase de
datos contienen las columnas. Para hacer esto, se usa la sección Asignaciones
de campo de Perfil de datos exactos para especificar las asignaciones entre los
campos en su origen de datos. También puede usar asignaciones de campos para
especificar campos que el sistema reconoce en las plantillas de la política
proporcionada por el sistema. La sección Asignaciones de campo además le
brinda opciones avanzadas para especificar campos personalizados y validar datos

en esos campos.
Ver "Campos de asignación de perfil de datos estructurados" en la página 524.
Considere el ejemplo de uso siguiente de las asignaciones de campo. Su compañía
desea proteger datos del empleado, entre ellos, los números de la seguridad social.
Crea una política de Data Loss Prevention basada en la plantilla de protección de
datos del empleado. La política necesita un índice de datos estructurados con
campos para números de seguridad social y otros datos de empleados. Prepara
su origen de datos y después crea el Perfil de datos exactos. Para validar los
datos en el campo de número de la seguridad social, se asigna este campo de
columna en su índice para el patrón de campo del sistema "Número de la seguridad
social". El sistema valida todos los datos en ese campo usando el validador de
números de la seguridad social para asegurarse de que cada elemento de datos
sea un número de la seguridad social
Usar los patrones de campo definidos por el sistema para validar sus datos es
crítico para la exactitud de sus políticas de EDM. Si no hay patrones de campo
definidos por el sistema que se correspondan con uno o más campos de datos en
su índice, puede definir campos personalizados y elegir el validador apropiado
para validar los datos.
Ver "Asigne la columna de origen de datos a los campos del sistema para utilizar
la validación" en la página 598.
Acerca de la programación del índice

Una vez que haya indizado un extracto del origen de datos estructurados, su
esquema no se puede cambiar porque el archivo *.rdx del índice es binario. Si el
origen de datos cambia o el número de asignación de columnas o datos del archivo
de origen de datos exacto cambia, es necesario crear un nuevo índice de EDM y
actualizar las políticas que hacen referencia a los datos modificados. En este caso,
se puede programar la indización para guardar el índice en sincronización con el
origen de datos.
El caso típico de uso es el siguiente. Se extraen los datos de una base de datos a
un archivo y se los limpia. Este es su archivo de origen de datos. Usando la consola
de administración de Enforce Server se define un perfil de los datos estructurados
y se indiza el archivo de origen de datos. El sistema genera los archivos de índice
*.rdx y los implementa en uno o más servidores de detección. Sin embargo, se
sabe que los datos cambian con frecuencia, usted necesita generar un archivo de
origen de datos nuevo semanal o mensualmente para mantener el ritmo de los
cambios a la base de datos. En este caso se puede utilizar la programación del
índice para automatizar la indización del archivo de origen de datos, de forma que
usted no tenga que volver a la consola de administración de Enforce Server y volver
a indizar el origen de datos actualizado. Su única tarea es colocar un archivo de

origen de datos actualizado y limpio en Enforce Server para la indización
programada.
Ver "Programación de la indización de Perfil de datos estructurados" en la página 528.
Ver "Use la indización programada para automatizar las actualizaciones del perfil"
en la página 600.
Acerca de la condición El contenido coincide con datos estructurados

de
La condición El contenido coincide con datos estructurados de un perfil de
datos estructurados es el componente de la detección que se usa para aplicar
las políticas de EDM. Cuando se define esta condición, se selecciona el perfil de
EDM en el cual se basa la condición. Usted además selecciona las filas que desea
usar en su condición, así como cualquier limitación de la cláusula WHERE.
Nota: No es posible usar la condición El contenido coincide con datos

estructurados de un perfil de datos estructurados como excepción de política.
Data Loss Prevention no admite el uso de la condición de EDM como excepción
de política.

Acerca de la excepción de propietario de datos

Aunque EDM no admita el uso explícito de excepciones de coincidencia en políticas,
EDM admite excepciones de coincidencia basadas en criterios. Esta función de
EDM se conoce como Excepción de propietario de datos. La excepción de
propietario de datos le permite etiquetar o autorizar un campo específico en el perfil
de datos estructurados como propietario de datos. En el tiempo de ejecución, si
se autoriza al remitente o al destinatario de los datos como propietario de datos,
la condición no activa una coincidencia y los datos los puede enviar o recibir el
propietario de datos
Se implementa la excepción del propietario de datos al incluir el campo de dirección
de correo electrónico o el campo de dirección de dominio en su Perfil de datos
exactos. En la condición de políticas de EDM, especifique el campo como remitente
o propietario de los datos del destinatario. Un propietario de datos autorizado,
identificado por su dirección de correo electrónico o dirección de dominio, que es
remitente puede enviar su propia información confidencial sin activar una

coincidencia o un incidente de EDM. Esto significa que el remitente puede enviar
cualquier información que se contenga en la fila donde se especifica su dirección
de correo electrónico o dominio. Los destinatarios propietarios de datos autorizados
pueden especificarse individualmente o todos los destinatarios de la lista pueden
recibir los datos sin activar una coincidencia.
Como creador políticas, la excepción del propietario de datos le da la flexibilidad
para permitir que los propietarios de datos usen sus propios datos de forma legítima.
Por ejemplo, si habilita la excepción de propietario de datos, un empleado puede
enviar un correo electrónico que contiene su propia información confidencial (como
un número de cuenta) sin activar una coincidencia o un incidente. Del mismo modo,
si la excepción del propietario de datos se configura para un destinatario, el sistema
no activa un incidente o una coincidencia de EDM si el propietario de datos está
recibiendo su propia información, como alguien fuera de la compañía está enviando
un correo electrónico al propietario de datos que contiene su número de cuenta.
Ver "Acerca de actualizar implementaciones de EDM" en la página 511.
Ver "Crear el archivo de origen de datos exacto para la excepción del propietario
de los datos" en la página 514.
Ver "Configurar la excepción de propietario de datos para las condiciones de la
política de EDM" en la página 535.
Acerca de la coincidencia de grupo de directorios perfilada (DGM)

La coincidencia de grupo de directorios perfilada (DGM) es una implementación
especializada de EDM que se usa para detectar la identidad exacta de un usuario
de mensaje, de un remitente o de un destinatario que se ha perfilado de un servidor
de directorio o de una base de datos.
La DGM perfilada aprovecha la tecnología de EDM para detectar identidades que
se han indizado desde la base de datos o el servidor de directorio mediante un
perfil de datos estructurados. Por ejemplo, puede usar DGM perfilada para identificar
la actividad del usuario de la red o para analizar contenido asociado con usuarios,
remitentes o destinatarios determinados. También se puede excluir del análisis a
ciertas direcciones de correo electrónico. Asimismo puede ser recomendable evitar
que ciertas personas envíen información confidencial por correo electrónico.
Para implementar la DGM perfilada, el archivo de origen de datos estructurados
debe contener uno o más de los campos siguientes:
■ Dirección de correo electrónico
■ Dirección IP
■ Nombre de usuario de Windows
■ Nombre de MI (AOL, Yahoo, MSN)

Si incluye el campo de la dirección de correo electrónico en el perfil de DGM, el
campo aparecerá en la lista desplegable Directorio para EDM en la pantalla de
instantáneas de incidentes en la consola de administración de Enforce Server, lo
que facilita la reparación.
Ver "Creación de archivo de origen de datos estructurados para DGM perfilada"
en la página 515.
Ver "Incluya un campo de la dirección de correo electrónico en el perfil de datos
exactos para DGM perfilado" en la página 604.
Ver "Uso de DGM perfilada para la detección de la identidad mediante Network
Prevent para Web" en la página 605.
Acerca de la detección de dos niveles para EDM en el endpoint

El índice de EDM se basa en el servidor. Si implementa una política que contenga
una condición de EDM para el Agente DLP en el endpoint, el sistema usa la
detección de dos niveles para evaluar si los datos coinciden. En este caso, la
condición de detección de EDM no es evaluada localmente por el Agente DLP. En
su lugar, el Agente DLP envía los datos al servidor de endpoints para la evaluación
con el índice. Si el endpoint está desconectado, el mensaje no se puede enviar
hasta que el servidor esté disponible, lo que puede afectar al rendimiento del
endpoint.
Para comprobar que la detección de dos niveles se está usando, consulte
\SymantecDLP\Protect\logs\debug\FileReader.log en el servidor de endpoints
para ver si se están cargando algunos índices de EDM. Busque la línea "perfil de
base de datos cargado".
Acerca de actualizar implementaciones de EDM

Para aprovechar las mejoras más recientes de EDM, es necesario actualizar los
servidores a Symantec Data Loss Prevention versión 14.0 y volver a indizar los
orígenes de datos de EDM con el indizador de EDM 14.0. Aunque los índices de
EDM antiguos se ejecuten en los servidores de detección 14.0, tales índices no
admiten nuevas funciones. Además, es necesario calcular la memoria requerida
para indizar el origen de datos y la carga y el proceso de cada índice de EDM en
el tiempo de ejecución.
Ver "Acerca de la excepción de propietario de datos" en la página 509.
Configurar los perfiles de datos estructurados
Ver "Actualizar los índices de EDM a la última versión" en la página 558.

Ver "Códigos de error desactualizados del índice de EDM" en la página 562.

Para implementar EDM, cree el Perfil de datos exactos, indice el origen de datos
y defina una o más condiciones de detección de EDM para que coincida
exactamente con los datos de perfiles.
Tabla 21-3 Cómo implementar Coincidencia de datos estructurados
1 Cree el archivo de origen de Exporte los datos de origen de la base de datos (o de otro repositorio
datos. de datos) a un archivo de texto tabular.
Si desea exceptuar de la coincidencia a los propietarios de datos,

deberá incluir elementos de datos específicos en el archivo de origen
de datos.
Ver "Acerca del archivo de origen de datos exacto" en la página 505.
Si desea coincidir las identidades para la Coincidencia de grupo de

directorios perfilada (DGM), es necesario incluir elementos de datos
específicos en los archivos de origen de datos.
Ver "Crear el archivo del origen de datos estructurados para EDM"

en la página 513.
2 Elabore el archivo de origen de Elimine las irregularidades del archivo de origen de datos.
datos para indizar.
Ver "Preparación del archivo de origen de datos exactos para la
indización" en la página 516.
3 Cargue el archivo de origen de Es posible copiar o cargar el archivo de origen de datos en Enforce
datos en Enforce Server. Server, o acceder a él remotamente.
Ver "Carga de archivos de origen de datos estructurados a Enforce

Server" en la página 517.
4 Cree un Perfil de datos exactos. Un perfil de datos estructurados es necesario para implementar
políticas de coincidencia de datos estructurados (EDM). El perfil de
datos estructurados especifica el origen de datos, los tipos de la zona
de daros y la indización de programación.
Ver "Creación y modificación de perfiles de datos estructurados"

en la página 520.
5 Asigne y valide los campos de Se asignan los campos de datos de origen a tipos de sistema o de
datos. datos personalizados que el sistema valida. Por ejemplo, un campo
de datos de número de la seguridad social debe ser de nueve dígitos.
Ver "Acerca de cómo usar los campos del sistema para la validación
del origen de datos" en la página 507.
Ver "Campos de asignación de perfil de datos estructurados"

en la página 524.
6 Indice el origen de datos o Ver "Acerca de la programación del índice" en la página 508.
programe la indización.
Ver "Programación de la indización de Perfil de datos estructurados"
en la página 528.
7 Configure y ajuste una o más Ver "Configuración de la condición de política El contenido coincide
condiciones de detección de con datos estructurados" en la página 532.
EDM.
Ver "Configuración de la condición de política El contenido coincide
con datos estructurados" en la página 532.
Crear el archivo del origen de datos estructurados para EDM

El primer paso en el proceso de la indización de EDM es crear el origen de datos.
Un origen de datos es un archivo “simple” que contiene datos en un formato
delimitado estándar.
Si planea usar una plantilla de políticas, revísela antes de crear el archivo del origen
de datos para ver qué campos de información usa la política. Para orígenes de
datos relativamente pequeños, incluya tantos campos sugeridos en su origen de
datos como sea posible. Sin embargo, tenga en cuenta que cuantos más campos
se incluyen, más memoria requiere la indización resultante. Esta consideración es
importante si tiene un origen de datos grande. Cuando crea el perfil de datos, puede
confirmar el nivel de coincidencia de los campos en el origen de datos con respecto
a los campos sugeridos por la plantilla.
Tabla 21-4 Creación de un archivo de origen de datos estructurados
Paso Descripción
1 Exporte los datos que desea proteger de una base de datos u otro formato de datos tabulares, como
una hoja de cálculo Excel, a un archivo sin formato. El archivo de origen de datos que cree debe ser
un archivo de texto tabular que contenga filas de datos del origen original. Cada fila de origen original
se incluye como una fila en el archivo de origen de datos. Delimite las columnas con una tabulación,
una coma o una barra vertical. Se prefiere una barra vertical. La coma no se debe utilizar si sus campos
del origen de datos contienen números.
Ver "Acerca del archivo de origen de datos exacto" en la página 505.
Es necesario mantener todos los datos estructurados que exportó de la tabla de base de datos de
origen o un formato similar a una tabla en un archivo de origen de datos. No es posible dividir el origen
de datos en varios archivos.
El archivo del origen de datos no puede exceder 32 columnas, 4000millones - 2 (2^32 -2) filas o 6000
millones de celdas. Si planea cargar el archivo del origen de datos en Enforce Server, la capacidad del
navegador limita el tamaño del origen de datos a 2 GB. Para archivos que superan este tamaño, puede
copiar el archivo a Enforce Server con FTP/S.
2 Incluye los campos de datos requeridos para implementaciones específicas de EDM:
■ Datos únicos
Para todas las implementaciones de EDM, asegúrese de que el origen de datos contenga por lo
menos una columna de datos únicos
Ver "Asegúrese de que el origen de datos tenga por lo menos una columna para los datos únicos"
en la página 594.
■ Excepción de propietario de datos
Asegúrese de que el origen de datos contenga el campo de dirección de correo electrónico o el
campo de dominio, si planea usar las excepciones del propietario de datos.
Ver "Crear el archivo de origen de datos exacto para la excepción del propietario de los datos"
en la página 514.
■ Coincidencia de grupo de directorios
Asegúrese de que el origen de datos incluya uno o más campos de identificación de
remitente/destinatario.
Ver "Creación de archivo de origen de datos estructurados para DGM perfilada" en la página 515.
3 Elabore el archivo de origen de datos para indizar.
Ver "Preparación del archivo de origen de datos exactos para la indización" en la página 516.
Crear el archivo de origen de datos exacto para la excepción del

propietario de los datos
Para implementar la excepción del propietario de datos y omitir a los propietarios
de los datos en la detección, es necesario incluir explícitamente la dirección de
correo electrónico de cada usuario o la dirección del dominio en Perfil de datos

estructurados. Cada dominio previsto (por ejemplo, symantec.com) debe agregarse
explícitamente al perfil de datos estructurados. El sistema no establece coincidencias
de forma automática en los subdominios (por ejemplo, fileconnect.symantec.com).
Cada subdominio se debe agregar explícitamente al perfil de datos estructurados.
Para implementar la función de la excepción del propietario de los datos, es
necesario que incluya cualquiera de los campos siguientes (o ambos) en su archivo
del origen de datos:
■ Dirección del dominio
Creación de archivo de origen de datos estructurados para DGM

perfilada
La DGM perfilada aprovecha la tecnología de coincidencia de datos estructurados
(EDM) para identificar y detectar identidades de manera precisa. Los atributos
relacionados con la identidad pueden incluir una dirección IP, dirección de correo
electrónico, nombre de usuario, unidad de negocio, departamento, administrador,
cargo o estado laboral. Otros atributos pueden ser si ese empleado ha
proporcionado consentimiento para ser supervisado o si el empleado tiene acceso
a información confidencial. Para implementar DGM perfilada, debe incluir al menos
un campo de datos requerido en el origen de datos.
Tabla 21-5 enumera los campos necesarios para DGM perfilada. El archivo de
origen de datos debe contener al menos uno de estos campos.
Tabla 21-5 Campos de origen de datos de DGM perfilada
Campo Descripción
Dirección de correo Si usa una columna de dirección de correo electrónico indizada en el archivo de origen de
electrónico datos, la dirección de correo electrónico aparece en la lista desplegable Directorio para EDM
en la pantalla de instantáneas de incidentes.
Dirección IP Por ejemplo: 172.24.56.33
Nombre de usuario Si usa un campo de nombre de usuario Windows en su origen de datos, los datos deben estar
de Windows en el formato siguiente: domain\user; por ejemplo: ACME\john_smith.
Campo Descripción
Nombre de MI de Nombre de pantalla MI/control

AOL
Por ejemplo: myhandle123
Yahoo! de Yahoo!
Nombre de MI de
MSN
Preparación del archivo de origen de datos exactos para la indización

Una vez que crea el archivo de origen de datos exactos, debe prepararlo para
poder indizar eficientemente los datos que desea proteger.
Cuando indiza un perfil de datos exactos, Enforce Server realiza un seguimiento
de celdas vacías y cualquier dato ubicado incorrectamente que se considera
erróneo. Por ejemplo, un error puede ser un nombre que aparece en una columna
para números de teléfono. Los errores pueden constituir cierto porcentaje de los
datos en el perfil (5%, de forma predeterminada). Si se cumple este umbral de error
predeterminado, Symantec Data Loss Prevention detiene la indización. A
continuación, muestra un error para advertirle que los datos pueden estar
desorganizados o dañados.
Para preparar el origen de datos estructurados para una indización de EDM
1 Asegúrese de que el archivo del origen de datos esté formateado de la siguiente
manera:
■ Si el origen de datos tiene más de 200.000 filas, verifique que tenga al
menos dos columnas de datos. Una de las columnas debe contener valores
únicos. Por ejemplo, números de tarjeta de crédito, números de la licencia
de conducir o números de cuenta (en oposición a nombre y apellidos, que
son genéricos).
Ver "Asegúrese de que el origen de datos tenga por lo menos una columna
para los datos únicos" en la página 594.
■ Verifique que se haya delimitado el origen de datos usando tabulaciones
o barras verticales ( | ). Si el archivo de origen de datos usa comas como
delimitadores, elimine cualquier coma que no sirva como delimitador.
Ver "No utilice el delimitador de coma si el origen de datos tiene campos
de número" en la página 597.
■ Verifique que los valores de datos no estén incluidos entre comillas.
■ Elimine caracteres únicos y valores de datos abreviados del origen de
datos. Por ejemplo, elimine el nombre de columna y todos los valores para
una columna en la que los posibles valores posibles sean S y N.
Opcionalmente, elimine cualquier columna que contenga valores numéricos

con menos que cinco dígitos, ya que estos pueden generar falsos positivos
en producción.
Ver "Elimine los tipos de carácter ambiguos del archivo del origen de datos"
en la página 596.
■ Verifique que los números, como tarjeta de crédito o seguridad social, estén
delimitados internamente por guiones, espacios o nada. Asegúrese de no
usar un delimitador de campos de datos, por ejemplo, una coma, como
delimitador interno en dichos números. Por ejemplo: 123-45-6789 o 123
45 6789 o 123456789 son válidos, pero no 123,45,6789.
Ver "No utilice el delimitador de coma si el origen de datos tiene campos
de número" en la página 597.
■ Elimine los registros duplicados que pueden generar incidentes duplicados
en producción.
Ver "Limpie las columnas en blanco y las filas duplicadas del archivo del
origen de datos" en la página 595.
■ No indexe valores comunes. EDM funciona mejor con valores que son
únicos. Piense en los datos que desee indizar (y, por consiguiente,
proteger). ¿Son estos datos realmente valiosos? Si el valor es común, no
es útil como valor de EDM. Por ejemplo, suponga que desea buscar los
“Estados de los EE. UU.”. Dado que hay solamente 50 estados, si su perfil
de datos exactos tiene 300.000 filas, el resultado generará muchos
duplicados de valores comunes. Symantec Data Loss Prevention indiza
todos los valores en el perfil de datos estructurados, independientemente
de si los datos se usan en una política o no. Es buena práctica usar valores
menos comunes y, preferentemente, únicos para obtener mejores resultados
con EDM.
Ver "Asegúrese de que el origen de datos tenga por lo menos una columna
para los datos únicos" en la página 594.
2 Una vez que haya preparado el archivo de origen de datos estructurados,

continúe con el paso siguiente en el proceso de EDM: cargue el archivo de
origen de datos estructurados a Enforce Server para generar perfiles de los
datos que desea proteger.
Ver "Carga de archivos de origen de datos estructurados a Enforce Server"
en la página 517.
Carga de archivos de origen de datos estructurados a Enforce Server

Una vez que haya preparado el archivo de origen de datos para indizar, cárguelo
a Enforce Server de modo que el origen de datos se pueda indizar.

Aquí se detallan las opciones con las que cuenta para poner el archivo del origen
de datos a disposición de Enforce Server. Póngase en contacto con el administrador
de bases de datos para determinar el mejor método en función de sus necesidades.
Tabla 21-6 Carga del archivo de origen de datos en Enforce Server para su
indización
Opciones de carga Caso de uso Descripción
Cargar origen de El archivo del Si tiene un archivo de origen de datos más pequeño (menor a 50 MB),
datos al servidor origen de datos cargue el archivo de origen de datos a Enforce Server con la consola de
ahora tiene menos de 50 administración de Enforce Server (interfaz web). Cuando está creando
MB el Perfil de datos exactos, puede especificar la ruta del archivo o
desplazarse al directorio y cargar el archivo de origen de datos.
Nota: Debido a los límites de capacidad del navegador, el tamaño
máximo de archivo que se puede cargar es 2 GB. Sin embargo, no se
recomienda cargar archivos mayores a 50 MB, dado que los archivos
superiores a este tamaño pueden tardar mucho tiempo en cargarse. Si
el archivo de origen de datos supera los 50 MB, considere copiar el
archivo de origen de datos al directorio de “archivos de datos” con
la primera opción.
Hacer referencia al El archivo del Si tiene un archivo de origen de datos grande (mayor a 50 MB), cópielo
origen de datos del origen de datos al directorio de archivos de datos en el host donde está instalado
host de tiene más de 50 Enforce.
administrador MB
■ En Windows, este directorio se encuentra en
\SymantecDLP\Protect\datafiles.
■ En Linux, este directorio se encuentra en
/var/SymantecDLP/datafiles.
Esta opción es conveniente porque hace que el archivo de datos esté

disponible para su consulta mediante una lista desplegable durante la
configuración del Perfil de datos exactos. Si es un archivo grande, use
una solución de otro fabricante (como FTP seguro) para transferir el
archivo de origen de datos a Enforce Server.
Nota: Asegúrese de que el usuario de Enforcer (también denominado
“protección”) cuente con permisos para modificar (en Windows) o
permisos rw (en Linux) para todos los archivos del directorio de
archivos de datos.
Opciones de carga Caso de uso Descripción
Usar este nombre de El archivo del En algunos casos, puede querer crear un perfil de EDM antes de crear
archivo origen de datos el archivo del origen de datos. En este caso se puede crear una plantilla
aún no se crea del perfil y especificar el nombre del archivo del origen de datos que se
planea crear. Esta opción le permite definir políticas de EDM usando la
plantilla del perfil de EDM antes indizar el origen de datos. Las políticas
no actúan hasta que se indiza el origen de datos. Cuando haya creado
el archivo del origen de datos, debe colocarlo en el directorio
\SymantecDLP\Protect\datafiles e indizar el origen de datos
inmediatamente en el momento que guarde o programe la indización.

en la página 520.
Usar este nombre de El origen de datos En algunos entornos no es posible o seguro copiar o cargar el archivo
archivo se debe indizar de origen de datos a Enforce Server. En esta situación, puede indizar el
remotamente y se origen de datos remotamente con el indizador de EDM remoto.
y
lo sebe copiar en
Cargar índice Enforce Server
generado Esta utilidad permite indizar un origen de datos estructurados en un
externamente equipo, a excepción del host de Enforce Server. Esta función es útil
cuando no se desea copiar el archivo de origen de datos en el mismo
equipo que Enforce Server. Por ejemplo, considere una situación donde
el departamento de origen desea evitar el riesgo para la seguridad de
copiar datos a un host departamental adicional. En este caso, puede
usar el indizador de EDM remoto.
Primero cree una plantilla del perfil de EDM y elija las opciones Usar
este nombre de archivo y Cantidad de columnas. Es necesario
especificar el nombre del archivo del origen de datos y el número de
columnas que contiene.
Ver "Cómo crear una plantilla de perfil de EDM para la indización remota"
en la página 577.
A continuación, utilice al indizador de EDM remoto para indizar el origen

de datos remotamente y para copiar los archivos del índice al host de
Enforce Server y cargar el índice externamente generado. La opción
Cargar índice generado externamente solo estará disponible después
de que se haya definido y guardado el perfil. Los índices remotos se
cargan del directorio /SymantecDLP/Protect/Index en el host de
Enforce Server.
Ver "Copiar y cargar archivos de índice remoto en Enforce Server"

en la página 583.
Creación y modificación de perfiles de datos estructurados

La pantalla Administrar > Perfiles de datos > Datos exactos > Agregar perfil
de datos exactos es la página principal para administrar y agregar perfiles de
datos exactos. Un perfil de datos estructurados es necesario para implementar una
instancia de la regla de detección El contenido coincide con los datos estructurados.
Un perfil de datos estructurados especifica el origen de datos, los parámetros de
indización y la programación de indización. Una vez que haya creado el perfil EDM,
indice el origen de datos y configure una o más reglas de detección para usar el
perfil y detectar coincidencias de contenido exacto
Nota: Si está utilizando el indizador de EDM remoto para generar el perfil de datos
estructurados, consulte el tema siguiente.
Para crear o modificar un perfil de datos exactos

1 Asegúrese de haber creado el archivo del origen de datos.
en la página 513.
2 Asegúrese de haber preparado el archivo de origen de datos para la indización.
Ver "Preparación del archivo de origen de datos exactos para la indización"
en la página 516.
3 Asegúrese de que el origen de datos contenga el campo de dirección de correo
electrónico o el campo de dominio, si planea usar las excepciones del
propietario de datos.
4 En la consola de administración de Enforce Server, desplácese hasta
Administrar > Perfiles de datos > Datos estructurados.
5 Haga clic en Agregar perfil de datos estructurados.
6 Especifique un Nombre único y descriptivo para el perfil (limitado a 256
caracteres).
Para poder encontrarlo rápidamente, elija un nombre que describa el contenido
de datos y el tipo del índice (por ejemplo, EDM de datos del empleado).
Si modifica un perfil de datos estructurados existente, puede cambiar el nombre
del perfil.
7 Seleccione una de las siguientes opciones de Origen de datos para poner el
archivo del origen de datos a disposición de Enforce Server:
■ Cargar origen de datos al servidor ahora

Si está creando un nuevo perfil, haga clic en Examinar y seleccione el
archivo de origen de datos o especifique la ruta completa para el archivo
de origen de datos.
Si está modificando un perfil existente, seleccione Cargar ahora.
en la página 517.
■ Hacer referencia al origen de datos del host de administrador
Si copió el archivo de origen de datos al directorio de “archivos de datos”
en Enforce Server, aparece en la lista desplegable para poder seleccionarlo.
en la página 517.
■ Usar este nombre de archivo
Seleccione esta opción si aún no ha creado el archivo del origen de datos,
pero desea configurar políticas de EDM usando un perfil de EDM de
marcador de posición. Escriba el nombre del archivo de origen de datos
que planea crear, incluido el Número de columnas que va a tener. Cuando
crea el origen de datos, debe copiarlo al directorio de “archivos de datos”.
en la página 517.
Nota: Use esta opción con precaución. Recuerde crear el archivo de origen
de datos y copiarlo al directorio de “archivos de datos”. Dele al archivo de
origen de datos el mismo nombre que escribió aquí e incluya el mismo
número de columnas que especificó aquí.
■ Cargar índice generado externamente

Seleccione esta opción si ha creado un índice en un equipo remoto con el
indizador de EDM remoto. Esta opción solo está disponible una vez que
define y guarda el perfil. Los perfiles se cargan desde el directorio
/SymantecDLP/Protect/Index en el host de Enforce Server.
en la página 517.
8 Si la primera fila del origen de datos contiene Nombres de columna,

seleccione la casilla de selección "Leer la primera fila como nombres de
columna".
9 Especifique el Umbral de errores, que es el porcentaje máximo de filas que

contienen errores antes de detener la indización.
Un error de origen de datos es una celda vacía, una celda con el tipo incorrecto
de datos o una celda adicional en el origen de datos. Por ejemplo, un nombre
en una columna para números de teléfono es un error. Si los errores exceden
cierto porcentaje del origen de datos total (de forma predeterminada, 5%), el
sistema finaliza la indización y muestra un mensaje de error de indización. El
índice no se crea si el origen de datos tiene más registros no válidos que los
permitidos por el valor del umbral de error. Aunque pueda cambiar el valor del
umbral, si hay más que solo un pequeño porcentaje de errores en el origen
de datos esto puede indicar que el origen de datos está dañado, tiene un
formato incorrecto o no se puede leer. Si tiene un porcentaje significativo de
errores (10% o más), detenga la indización y limpie el origen de datos.
en la página 516.
10 Seleccione el Carácter separador de columnas (delimitador) que usó para
separar los valores en el archivo de origen de datos. Los delimitadores que
se pueden usar son tabulaciones, comas o barras verticales.
11 Seleccione uno de los siguientes valores de codificación para analizar el
contenido, que debe coincidir con la codificación del origen de datos:
■ ISO-8859-1 (Latín-1) (valor predeterminado)
Codificación estándar de 8 bits para idiomas de Europa Occidental con
alfabeto latino.
■ UTF-8
Use esta codificación para todos los idiomas que usen el estándar Unicode
4.0 (todos caracteres de un byte y doble byte), incluidos los idiomas del
este asiático.
■ UTF-16
Use esta codificación para todos los idiomas que usen el estándar Unicode
4.0 (todos caracteres de un byte y doble byte), incluidos los idiomas del
este asiático.
Nota: Asegúrese de seleccionar la codificación correcta. El sistema no impide

crear un perfil de EDM usando la codificación incorrecta. El sistema informa
solamente un error en el tiempo de ejecución cuando la política de EDM
intentan coincidir con los datos entrantes. Asegúrese de seleccionar la
codificación correcta, y después de hacer clic en Siguiente, verifique que
aparezcan los nombres de columna correctamente. Si los nombres de columna
no aparecen correctamente, eligió la codificación incorrecta.
12 Haga clic en Siguiente para ir a la segunda pantalla Agregar perfil de datos

estructurados.
13 La sección Asignaciones de campo muestra las columnas en el origen de
datos y el campo a los cuales se asigna cada columna en el perfil de datos
estructurados. Las asignaciones de campo en los perfiles de datos
estructurados existentes se corrigen y no pueden editarse.
Ver "Acerca de cómo usar los campos del sistema para la validación del origen
de datos" en la página 507.
Confirme que los nombres de columna en el origen de datos estén
representados precisamente en la columna Campo de origen de datos. Si
seleccionó la opción Nombres de columna, la columna Campo de origen de
datos enumera los nombres en la primera fila del origen de datos. Si no
seleccionó la opción Nombres de columna, la columna se enumera Col. 1,
Col. 2 y así sucesivamente.
14 En la columna Campo de sistema, seleccione un campo de la lista desplegable
para cada campo de origen de datos. (Este paso es necesario si se usa una
plantilla de políticas o si desea comprobar la existencia de errores en el origen
de datos).
Por ejemplo, para un campo de origen de datos denominado
SOCIAL_SECURITY_NUMBER, seleccione Número de la seguridad social
de la lista desplegable correspondiente. Los valores en las listas desplegables
Campo de sistema incluyen todos los campos sugeridos para todas las
plantillas de políticas.
15 Opcionalmente, especifique y dé un nombre a cualquier campo personalizado
(es decir, los campos que no se completan previamente en las listas
desplegables de Campo del sistema ). Para hacerlo, realice estos pasos en
el siguiente orden:
■ Haga clic en Vista avanzada que se encuentra a la derecha del encabezado
de Asignaciones de campo. Esta pantalla muestra dos columnas adicionales
( Nombre personalizado y Tipo ).
■ Para agregar un nombre de campo de sistema personalizado, vaya a la
lista desplegable apropiada de Campo de sistema. Seleccione
Personalizado y escriba el nombre en el campo de texto correspondiente
de Nombre personalizado.
■ Para especificar un tipo de patrón (destinado a comprobación de errores),
vaya a la lista desplegable de Tipo apropiada y seleccione el patrón
deseado. (Para ver descripciones de todos los tipos de patrones disponibles,
haga clic en Descripción en la parte superior de la columna).
16 Compruebe las asignaciones de campo en comparación con los campos

sugeridos para la plantilla de políticas que planea usar. Para hacerlo, vaya a
la lista desplegable Comprobar asignaciones con, seleccione una plantilla
y haga clic en Comprobar ahora, que se encuentra a la derecha.
El sistema muestra una lista de todos los campos de plantilla que no ha
asignado. Es posible volver y asignar estos campos ahora. Alternativamente,
puede expandir el origen de datos para incluir tantos campos previstos como
sea posible y, posteriormente, volver a generar el perfil de datos estructurados.
Symantec recomienda incluir tantos campos de datos esperados como sea
posible.
17 En la sección Indización de la pantalla, seleccione una de las siguientes
opciones:
■ Enviar trabajo de indización al guardar
Seleccione esta opción para comenzar a indizar el origen de datos cuando
guarda el perfil de datos estructurados.
■ Enviar trabajo de indización al programar
Seleccione esta opción para indizar el origen de datos en función a una
programación específica. Haga una selección de la lista desplegable
Programación y especifique los días, las fechas y las horas según sus
necesidades.
Ver "Acerca de la programación del índice" en la página 508.
en la página 528.
18 Haga clic en Finalizar.

Una vez que Symantec Data Loss Prevention finaliza la indización, elimina el
origen de datos original de Enforce Server. Una vez que indiza un origen de
datos, no puede cambiar su esquema. Si cambia las asignaciones de columna
para un origen de datos después de indizarlo, es necesario crear un nuevo
perfil de datos estructurados.
Una vez que el proceso de indización de direcciones esté completo, puede
crear nuevas reglas de EDM para las políticas que realicen consultas en el
perfil de datos estructurados que ha creado.
Campos de asignación de perfil de datos estructurados

Una vez que haya agregado y configurado el archivo y la configuración de origen
de datos, la pantalla Administrar > Perfiles de datos > Datos estructurados >
Agregar perfil de datos estructurados permite asignar los campos del archivo
de origen de datos al Perfil de datos estructurados que está configurando.
Para habilitar la comprobación de errores en un campo en un origen de datos o
usar el índice con una plantilla de política que use un campo del sistema, debe
asignar el campo en el origen de datos al campo del sistema. La sección
Asignaciones de campo permite asignar columnas en el origen de datos original
a los campos del sistema en el Perfil de datos exactos.
Tabla 21-7 Opciones de asignación de campo
Campo Descripción
Campo de origen de Si seleccionó la opción Nombres de columna en la pantalla Agregar perfil de datos exactos,
datos esta columna enumera los valores que se encuentran en la primera fila del origen de datos.
Si no seleccionó esta opción, esta columna enumera las columnas por nombres genéricos
(como Col. 1, Col. 2, etc.).
Nota: Si está implementando la excepción de propietario de datos, debe asignar uno o ambos
campos de dominio y dirección de correo electrónico.
Ver "Configuración de la condición de política El contenido coincide con datos estructurados"

en la página 532.
Campo de sistema Seleccione el campo de sistema para cada columna.
Un valor del campo de sistema (excepto Nada seleccionado ) no se puede asignar a más
de una columna.
Algunos campos de sistema tienen patrones de sistema asociados a ellos (como el número
de la seguridad social) y algunos no los tienen (por ejemplo, apellidos).
Ver "Usar los validadores del patrón proporcionado por el sistema para perfiles de EDM"
en la página 527.
Compruebe las Seleccione una plantilla de políticas de la lista desplegable para comparar las asignaciones
asignaciones con la de campo y haga clic en Comprobar ahora.
plantilla de políticas
Todas las plantillas de políticas que implementa EDM aparecen en el menú desplegable,
incluidas aquellas que haya importado.
Si planea usar más de una plantilla de políticas, seleccione una y compruébela, luego,
seleccione otra y compruébela, y así sucesivamente.
Si hay campos en la plantilla de políticas para los que no existen datos en el origen de datos,
aparece un mensaje que enumera los campos faltantes. Es posible guardar el perfil de todos
modos o usar un Perfil de datos estructurados diferente.
Campo Descripción
Vista avanzada Si desea personalizar el esquema del perfil de datos estructurados, haga clic en Vista
avanzada para mostrar las opciones avanzadas de asignación de campo.
Tabla 21-8 enumera y describe las columnas adicionales que puede especificar en la pantalla
Vista avanzada.
Indización Seleccione una de las opciones de indización.
Finalizar Haga clic en Finalizar cuando termine de configurar el Perfil de datos exactos.
En Vista avanzada, puede asignar los campos de origen de datos y del sistema
a los patrones del sistema. Los patrones del sistema asignan la estructura
especificada a los datos en el Perfil de datos exactos y habilitan las sugerencias
y la comprobación eficiente de errores para el indizador.
Tabla 21-8 Opciones de Vista avanzada
Campo Descripción
Nombre personalizado Si selecciona Nombre personalizado para un campo del sistema, especifique un nombre único
para él y seleccione un valor para Tipo. El nombre se limita a 60 caracteres.
Tipo Si selecciona un valor diferente al Personalizado para un campo del sistema, ciertos tipos de
datos seleccionan automáticamente un valor para Tipo. Por ejemplo, si selecciona Fecha de
nacimiento para el campo de sistema, Fecha se selecciona automáticamente como Tipo.
Es posible aceptarlo o cambiarlo.
Ciertos tipos de datos no seleccionan automáticamente un valor para Tipo. Por ejemplo, si
selecciona Número de cuenta para el campo de sistema, Tipo sigue estando sin seleccionar.
Es posible especificar el tipo de datos de los números de cuenta particulares.
en la página 527.
Descripción Haga clic en el vínculo (descripción) ubicado junto al encabezado de la columna Tipo para
mostrar una ventana emergente que contiene los tipos de datos disponibles del sistema.
Consulte también el siguiente vínculo del tema.
en la página 527.
Vista simple Haga clic en Vista simple para volver a Vista simple (con Nombre personalizado y columnas
Tipo ocultas).

Usar los validadores del patrón proporcionado por el sistema para

perfiles de EDM
Tabla 21-9 enumera y describe los validadores de datos proporcionados por el
sistema para perfiles de EDM.
Tabla 21-9 Validadores de datos proporcionados por el sistema para los perfiles
de EDM
Tipo Descripción
Número de tarjeta de El patrón de tarjeta de crédito se genera en función del conocimiento de diversas tarjetas de
crédito crédito con reconocimiento internacional, los prefijos registrados y la cantidad de dígitos de
los números de cuenta. Los siguientes tipos de patrones de tarjetas de crédito se validan:
Mastercard, Visa, American Express, Diners Club, Discover, Enroute y JCB.
Se reconocen los espacios opcionales en áreas designadas dentro de los números de tarjeta
de crédito. Tenga en cuenta que sólo se reconocen los espacios en ubicaciones generalmente
aceptadas (por ejemplo, cada 4 dígitos en MC/Visa). Tenga en cuenta que la posible ubicación
de espacios difiere entre los diferentes tipos de tarjetas. Los números de tarjeta de crédito se
validan con un algoritmo de suma de comprobación. Si un número parece ser un número de
tarjeta de crédito (es decir, tiene la cantidad correcta de dígitos y el prefijo correcto), pero no
aprueba el algoritmo de suma de comprobación, no se considera que sea una tarjeta de
crédito, sino simplemente un número
Correo electrónico El correo electrónico es una secuencia de caracteres con el siguiente formato:
cadena@cadena.tld, en donde la cadena puede contener letras, dígitos, guión bajo, guión
largo y punto, mientras que 'tld' es uno de los dominios genéricos de DNS principales y
aprobados, o dos letras (correspondientes a dominios de país).
Dirección IP La dirección IP es un conjunto de 4 secuencias de 1 a 3 dígitos, separados por puntos.
Número El número es flotante o entero, está aislado o entre paréntesis ().
Porcentaje El porcentaje es un número seguido inmediatamente por el signo de porcentaje ("%"). No se

permiten espacios entre el número y el signo de porcentaje.
Tipo Descripción
Teléfono Se reconocen solamente los números telefónicos de los EE. UU. y Canadá. El número de
teléfono debe comenzar con cualquier dígito excepto 1, a excepción de los números que
incluyen un código de país
El número telefónico puede tener uno de los siguientes formatos:
■ 7 dígitos (sin espacios ni guiones largos)

■ Igual al anterior, deben estar precedidos por 3 dígitos o por 3 dígitos entre paréntesis,
seguido por espacios o guiones largos
■ Tres dígitos seguidos por espacios o guiones largos opcionales, seguidos por cuatro dígitos
■ Igual al anterior, debe estar precedido por el dígito 1, seguido por espacios o guiones
largos.
Todos los casos anteriores pueden estar seguidos, de manera opcional, por un número de
extensión, precedido por espacios o guiones largos. El número de extensión tiene de 2 a 5
dígitos precedidos por cualquiera de las siguientes (sin diferenciación entre mayúsculas y
minúsculas): 'x' 'ex' 'ext' 'exten' 'extens' 'extensions' seguidas opcionalmente por un punto y
espacios.
Nota: El sistema no reconoce el patrón XXX-XXX-XXXX como formato de número de teléfono
válido porque este formato frecuentemente se usa en otras formas de identificación. Si el
origen de datos contiene una columna de números de teléfono en ese formato, seleccione
Nada seleccionado para evitar la confusión entre los números de teléfono y otros datos.
Código postal Solo se reconocen los códigos postales de los EE. UU. y Canadá. El código postal de los EE.
UU. es una secuencia de cinco dígitos, opcionalmente seguida por un guión largo y otros 4
dígitos. El código postal de Canadá es una secuencia del estilo K2B 8C8, es decir,
"letra-dígito-letra-espacio-dígito-letra-dígito"; el espacio del medio es opcional.
Número de la Solamente se reconocen los números de identificación fiscal de los EE. UU. El ID fiscal es un
seguridad social número de 3 dígitos, opcionalmente seguido por espacios o guiones largos, seguidos por 2
dígitos, opcionalmente seguidos por espacios o guiones largos, seguidos por 4 dígitos.
Programación de la indización de Perfil de datos estructurados

Cuando configura un Perfil de datos estructurados, puede configurar una
programación para indizar el origen de datos ( Enviar trabajo de indización al
programar ).
Antes de configurar una programación, considere las siguientes recomendaciones:
■ Si actualiza sus orígenes de datos ocasionalmente (por ejemplo, menos de una
vez por mes), no necesita crear una programación. Indice los datos cada vez
que actualiza el origen de datos.
■ Programe la indización en horarios de uso mínimo del sistema. La indización

afecta el rendimiento en el sistema Symantec Data Loss Prevention y los
orígenes de datos grandes pueden tardar mucho tiempo en indizarse.
■ Indice un origen de datos tan pronto como agregue o modifique el perfil
correspondiente de datos exactos y vuelva a indizar el origen de datos cuando
lo actualice. Por ejemplo, considere una situación en la que cada miércoles a
las 2:00 a. m. se actualiza el origen de datos. En este caso, es necesario
programar la indización cada miércoles a las 3:00 a. m. No indice los orígenes
de datos diariamente, ya que esto puede degradar el rendimiento.
■ Supervise los resultados y modifique la programación de indización según
corresponda. Si el rendimiento es bueno y desea actualizaciones más oportunas,
por ejemplo, programe actualizaciones e indizaciones de datos más frecuentes.
La sección Indización permite indizar el Perfil de datos exactos tan pronto como lo
guarde (recomendado) o en una programación regular de la siguiente manera:
Tabla 21-10 Indización de programación para Perfiles de datos exactos
Enviar trabajo de Seleccione esta opción para indizar el Perfil de datos estructurados cuando hace clic en Guardar.
indización al
guardar
Enviar trabajo de Seleccione esta opción para programar un trabajo de indización. La opción predeterminada es
indización al Sin programación regular. Si desea indizar en función de una programación, seleccione un
programar período de programación deseado, según se describe.
Indizar una vez El : especifique la fecha para indizar el perfil del documento en el formato MM/DD/YY. También
puede hacer clic en el widget de fecha y seleccionar una fecha.
A las : seleccione la hora en que desea iniciar la indización.
Indizar A las : seleccione la hora en que desea iniciar la indización.

diariamente
Hasta : seleccione esta casilla de selección para especificar una fecha en el formato MM/DD/YY
en la que la indización debe detenerse. También puede hacer clic en el widget de fecha y
seleccionar una fecha.
Indizar Días de la semana : seleccione los días para indizar el perfil del documento.
semanalmente
Indizar Día : especifique el número de día de cada mes en que desea llevar a cabo la indización. El
mensualmente número debe ser del 1 al 28.

Administrar y agregar los perfiles de los datos exactos

Se administran y crean los Perfil de datos exactos para EDM en la pantalla
Administrar > Perfiles de datos > Datos estructurados. Una vez creado un
perfil, la pantalla Datos estructurados enumera todos los perfiles de datos
estructurados configurados en el sistema.
Tabla 21-11 Acciones de la pantalla Datos exactos
Agregar perfil EDM Haga clic en Agregar perfil de datos exactos para definir un nuevo Perfil de datos exactos.
Edite el perfil de Para modificar el Perfil de datos exactos existente, haga clic en el nombre del perfil o en el
EDM icono del lápiz en el extremo derecho de la fila del perfil.
Elimine el perfil de Haga clic en el icono de la X roja en el extremo derecho de la fila del perfil para eliminar el
EDM Perfil de datos exactos del sistema. Un cuadro de diálogo confirma la eliminación.
Nota: No es posible editar o eliminar un perfil si otro usuario lo está modificando en ese
momento o si existe una política que depende de ese perfil.
Perfil de la descarga Haga clic en el vínculo perfil de la descarga para descargar y guardar el Perfil de datos
de EDM exactos.
Esto es útil para archivar y compartir perfiles en entornos. El archivo está en el formato binario
*.edm.
Configurar las políticas de EDM
Actualice el estado Haga clic en el icono de la flecha actualizar en el extremo derecho de la pantalla Datos exactos
del perfil de EDM para buscar el último estado del proceso de indización.
Si está realizando el proceso de indización, el sistema muestra el mensaje “Se está iniciando
la indización”. El sistema no actualiza la pantalla automáticamente cuando el proceso de
indización finaliza.
Tabla 21-12 Detalles de la pantalla Datos exactos
Perfil de datos El nombre del perfil de datos exactos.

estructurados
Versión activa más La versión del perfil de datos exacto y el nombre del servidor de detección que ejecuta el perfil.
actual
Estado El estado actual del perfil de datos exacto, que puede ser cualquiera de los siguientes:
■ Próxima indización programada (si no se está indizando actualmente)

■ Envío de un índice a un servidor de detección
■ Indización
■ Cómo implementar servidores
Además, el estado actual del proceso de indización para cada servidor de detección, que
puede ser cualquiera de los siguientes:
■ Finalizado, incluida una fecha de finalización

■ Finalización del índice pendiente (esperar a que Enforce Server termine de indizar el archivo
de origen de datos exactos)
■ Reproducir la indización
■ Cómo crear un índice (internamente)
■ Crear memorias caché
Mensajes de error La pantalla Datos exactos muestra cualquier mensaje de error en rojo.
Por ejemplo, si el Perfil de datos exactos está dañado o no existe, el sistema muestra un
mensaje de error.

Esta sección describe cómo configurar las condiciones de la política de EDM.

Ver "Configurar la condición de política Remitente/usuario basado en un directorio
perfilado" en la página 535.
Ver "Configurar la condición de política Destinatario basado en un directorio
perfilado" en la página 536.
Ver "Configuración avanzada del servidor para políticas de EDM" en la página 539.
Configuración de la condición de política El contenido coincide con

datos estructurados
Una vez que haya definido el perfil de datos estructurados e indizado el origen de
datos, configure una o más condiciones El contenido coincide con datos
estructurados en las reglas de políticas
Ver "Acerca de la condición El contenido coincide con datos estructurados de"
en la página 509.
Tabla 21-13 Configure la condición de política El contenido coincide con datos

estructurados
Pasos Acción Descripción
1 Configure una regla de Cree una nueva regla de detección de EDM en una política o modifique una regla
detección de política de existente de EDM.
EDM.
Hacer coincidir las filas de datos cuando todos coincidan.
2 Seleccione los campos Lo primero que debe hacer cuando configura la condición de EDM es seleccionar
que desea que cada campo de datos con el que desea que la condición coincida. Puede
coincidan. Seleccionar todo o Deseleccionar todo al mismo tiempo. El sistema muestra
todos los campos o las columnas que se incluyeron en el índice. No es necesario
seleccionar todos los campos, sino que es necesario seleccionar al menos 2 o
3, uno de los cuales debe ser único, por ejemplo, el número de la seguridad social,
el número de tarjeta de crédito, etc.
Ver "Prácticas recomendadas para usar EDM" en la página 593.

3 Elija el número de Elija el número de los campos seleccionados para que coincida desde el menú
campos seleccionados desplegable. Este número representa el número de campos de los seleccionados
para que coincidan. que deben estar presentes en un mensaje para activar una coincidencia. Debe
seleccionar tantos campos como sea necesario para que coincidan con el número
de campos de datos que se comprueban. Por ejemplo, si elige 2 de los campos
seleccionados en el menú, es necesario haber seleccionado al menos dos
campos presentes en un mensaje para la detección.
Ver "Asegúrese de que el origen de datos tenga por lo menos una columna para
los datos únicos" en la página 594.
4 Seleccione la cláusula La opción de cláusula WHERE coincide con el valor de campo especificado. Se
WHERE para especifica un valor de cláusula WHERE al seleccionar un campo de datos
especificar valores de estructurados del menú y al especificar un valor para ese campo en el cuadro de
campo específicos para texto adyacente. Si escribe más de un valor, separe los valores con comas.
que coincidan
Ver "Use una cláusula WHERE para detectar registros que cumplan criterios
(opcional).
específicos" en la página 603.
Por ejemplo, considere un perfil de datos estructurados para “Empleados” con

un campo “Estado” que contiene abreviaturas de estado. En este ejemplo, para
implementar la cláusula WHERE, seleccione (marque) WHERE, elija "Estado"
de la lista desplegable y especifique CA,NV en el cuadro de texto. Esta cláusula
WHERE limita el servidor de detección para que coincidan los mensajes que
contienen CA o NV como el valor para el campo Estado.
Nota: No es posible especificar un campo para WHERE que sea igual que uno
de campos coincidentes seleccionados.
Omitir las filas de datos cuando coincida uno de estos
5 Omita a los propietarios Seleccionar esta opción implementa la excepción de propietario de datos.
de los datos (opcional).
6 Excluya las Es posible usar combinaciones del campo de datos de exclusión para especificar
combinaciones del combinaciones de valores de datos que se deben eximir de la detección. Si los
campo de datos datos aparecen en pares o grupos eximidos, no generan ninguna coincidencia.
(opcional). Las combinaciones excluidas solo están disponibles al coincidir 2 o 3 campos.
Para habilitar esta opción, debe seleccionar 2 o 3 campos para que coincidan
del menú _ de los campos seleccionados en la parte superior de la configuración
de condición.
Ver "Use tuplas de excepción para evitar los falsos positivos" en la página 603.
Para implementar combinaciones excluidas, seleccione una opción de cada

columna Campo N que aparezca. A continuación, haga clic en el icono de la
flecha derecha para agregar la combinación de campos a la lista Combinaciones
excluidas. Para eliminar un campo de la lista, selecciónelo y haga clic en el icono
de la flecha izquierda.
Nota: Mantenga presionada la tecla Ctrl para seleccionar más de un campo
en la columna derecha.
Parámetros adicionales de la condición de coincidencia
7 Seleccione un mínimo Introduzca o modifique el número mínimo de coincidencias necesarias para que
de incidentes. la condición informe un incidente.
Por ejemplo, considere una situación donde se especifica 1 de los campos

seleccionados para un campo de número de la seguridad social y un mínimo
de incidentes de 5. En esta situación, el motor debe detectar por lo menos cinco
números de la seguridad social en un único mensaje para activar un incidente.
Ver "Ejemplos de la variante de la cantidad de coincidencias" en la página 554.
8 Seleccione Seleccione uno o más componentes de mensaje para establecer una coincidencia:
componentes para
■ Sobre : el encabezado del mensaje.
establecer una
■ Asunto : (no disponible para EDM).
coincidencia.
■ Cuerpo : el contenido del mensaje.
■ Archivos adjuntos : el contenido de cualquier archivo adjunto o transportado
por el mensaje.

en la página 459.
9 Seleccione una o más Seleccione esta opción para crear una condición compuesta. Todas las
condiciones para condiciones deben coincidir para que la regla active un incidente.
establecer una
Es posible Agregar cualquier condición disponible en la lista.
coincidencia.
10 Pruebe y solucione Ver "Pruebe y ajuste de políticas para mejorar la exactitud de coincidencia"
problemas de la en la página 493.
política.
Configurar la excepción de propietario de datos para las condiciones

de la política de EDM
Para excluir de la detección a los propietarios de datos, es necesario incluir en su
Perfil de datos estructurados un campo de dirección de correo electrónico o un
campo dirección de dominio (por ejemplo, symantec.com). Una vez habilitada la
excepción de propietario de datos (DOE), si el remitente o el destinatario de
información confidencial es el propietario de los datos (por dirección de correo
electrónico o dominio), el servidor de detección permite que los datos se envíen o
reciban sin generar un incidente.
Para configurar DOE para una condición de política de EDM
1 Cuando configure la condición El contenido coincide con datos estructurados,
seleccione la opción Omitir a los propietarios de los datos.
2 Seleccione una de las siguientes opciones:
■ Coincidencias del remitente : seleccione esta opción para EXCLUIR de
la detección al remitente de los datos.
■ Cualquiera o todas las coincidencias de destinatario : seleccione una
de estas opciones EXCLUIR de la detección a cualquiera o todos los
destinatarios de los datos.
Nota: Cuando se configura DOE para la condición de EDM, no se puede seleccionar

un valor para Omitir remitente/destinatario que sea el mismo que el de uno de los
campos coincidentes.

Configurar la condición de política Remitente/usuario basado en un

directorio perfilado
La regla de detección Remitente/usuario basado en un directorio de le permite
crear reglas de detección basadas en la identidad del remitente o (para los
incidentes de endpoint) la identidad del usuario. Esta condición necesita un perfil

de datos estructurados.
en la página 515.
Una vez que se selecciona el perfil de datos estructurados, cuando se configura
la regla, el directorio que usted seleccionó y los identificadores de remitente
aparecen en la parte superior de la página.
Tabla 21-14 describe los parámetros para configurar la condición
Remitente/usuario basado en un directorio de un perfil de EDM.
Tabla 21-14 Configurar la condición Remitente/usuario basado en un directorio

de un perfil de EDM
Dónde Seleccione esta opción para hacer coincidir el sistema con los valores especificados del campo.
Especifique los valores seleccionando un campo de la lista desplegable y escribiendo los valores
para ese campo en el cuadro de texto adyacente. Si escribe más de un valor, separe los valores
con comas.
Por ejemplo, para un perfil de grupo de directorios de un empleado que incluye un campo
Departamento, seleccione Where y Departamento en la lista desplegable, y escriba Marketing,
Ventas en el cuadro de texto. Si la condición se implementa como regla, en este ejemplo, una
coincidencia ocurre solamente si el remitente o el usuario trabaja en Marketing o Ventas (mientras
el otro contenido de la entrada cumple con el resto de los criterios de la detección). Si la condición
se implementa como excepción, en este ejemplo, el sistema omite la coincidencia de los mensajes
de un remitente o de un usuario que trabaja en Marketing o Ventas.
Es alguno de Escriba o modifique la información que desee hacer coincidir. Por ejemplo, si desea hacer coincidir
a cualquier remitente en el Departamento de Ventas, seleccione Departamento de la lista
desplegable y, a continuación, escriba Ventas en este campo (suponiendo que sus datos incluyen
una columna Departamento). Use una lista separada por comas si desea especificar más de un
valor.
Configurar la condición de política Destinatario basado en un

directorio perfilado
La condición Destinatario basado en un directorio de le permite crear los métodos
de detección basados en la identidad del destinatario. Este método necesita un
en la página 515.

la regla, el directorio que usted seleccionó y los identificadores de destinatarios
Tabla 21-15 describe los parámetros para configurar la condición Destinatario
basado en un directorio de un perfil de EDM.
Tabla 21-15 Configurar la condición Destinatario basado en un directorio de un

perfil de EDM
con comas.
Ventas en el cuadro de texto. Para una regla de detección, este ejemplo hace que el sistema
capture un incidente solamente si por lo menos un destinatario trabaja en Marketing o Ventas
(siempre y cuando el contenido de la entrada cumpla el resto de los criterios de detección). Para
una excepción, este ejemplo evita que el sistema capture un incidente si por lo menos un destinatario
trabaja en Marketing o Ventas.
a cualquier destinatario en el Departamento de Ventas, seleccione Departamento de la lista
valor.
Acerca de la configuración del procesamiento de lenguaje natural

para chino, japonés y coreano para políticas de EDM
Cómo introducir una coincidencia de token de EDM

Los servidores de detección de Symantec Data Loss Prevention admiten el
procesamiento de lenguaje natural para chino, japonés y coreano (CJK) en políticas
que usen la detección de coincidencia de datos estructurados (EDM). Cuando el
proceso de lenguaje natural para los idiomas de CJK se habilita, el servidor de
detección valida los tokens de CJK antes de informar una coincidencia, que mejora
la exactitud de la coincidencia.
Ejemplos de coincidencias de tokens de EDM para los idiomas

de CJK
Tabla 21-16 proporciona ejemplos de coincidencias de tokens de EDM para los
idiomas chino, japonés y coreano. Todos los ejemplos asumen que la coincidencia
de palabras clave está configurada para coincidir con palabras enteras solamente.
Si se habilita la verificación de tokens, el tamaño del mensaje debe ser suficiente
para que el validador de tokens reconozca el idioma. Por ejemplo: el mensaje “東
京都市部の人口” es demasiado pequeño para que el proceso de validación de
tokens reconozca el idioma del mensaje. El siguiente mensaje tiene suficiente
tamaño para el proceso de validación de tokens:
今朝のニュースによると東京都市部の人口は増加傾向にあるとのことでした。全
国的な人口減少の傾向の中、東京への一極集中を表しています。
Tabla 21-16 Ejemplos de coincidencias de tokens de EDM para CJK
Idioma Palabra clave Coincidencias en el servidor con Coincidencias en el servidor

la validación de tokens con la validación de tokens
ACTIVADA DESACTIVADA
Chino 通信数字无线通信数字无线通信交通信息网站
Japonés 京都市京都府京都市左京区京都府京都市左京区東京都市部

の人口
Coreano 정부 정부의 방침 정부의 방침 의정부 경전철
Cómo habilitar y usar la verificación de tokens en CJK de EDM

Para usar la verificación de tokens para los idiomas chino, japonés y coreano (CJK),
debe habilitarla en cada servidor de detección al configurar el ajuste de servidor
avanzado EDM.TokenVerifierEnabled a true. Además, debe haber una cantidad
suficiente de texto de mensaje para que el sistema reconozca el idioma.
Tabla 21-17 enumera y describe el parámetro del servidor de detección que le deja
habilitar la verificación de tokens para idiomas CJK.
Tabla 21-17 Parámetro de verificación de tokens de EDM

predeterminada
EDM.TokenVerifierEnabled false De forma predeterminada está deshabilitado (false).
Si está habilitado (true), el servidor valida los tokens

para palabras claves en chino, japonés y coreano.
Ver "Habilitar la verificación de tokens de palabras clave para CJK" en la página 822.
describe cómo habilitar y utilizar la verificación de tokens para las palabras claves
en CJK.
Habilitar la verificación de tokens de EDM para CJK
1 Inicie sesión en Enforce Server como usuario administrativo.
2 Navegue a la pantalla Sistema > Servidores y detectores > Descripción
general > Detalles del servidor/detector - Configuración avanzada del
servidor de detección que desee configurar.
3 Localice el parámetro EDM.TokenVerifierEnabled.
4 Cambie el valor de false (opción predeterminada) a true.
Configurar el parámetro del servidor EDM.TokenVerifierEnabled en true
habilita la validación de tokens para la detección de palabras clave en CJK.
5 Guarde la configuración del servidor de detección.
6 Recicle el servidor de detección.
Configuración avanzada del servidor para políticas de EDM

EDM tiene diversas opciones de configuración avanzadas disponibles en la pantalla
Sistema > Servidores y detectores > Descripción general > Detalles del
servidor/detector: opciones avanzadas para el servidor de detección elegido.
Sea cuidadoso al modificar esta configuración en un servidor. Compruebe con el
Soporte de Symantec Data Loss Prevention antes de cambiar cualquier
configuración de esta pantalla. Los cambios a esta configuración no surten efecto
hasta después de que reinicien al servidor.
Tabla 21-18 Configuración avanzada para detección e indización de EDM
Parámetro de EDM Opción Descripción

predeterminada
EDM.MatchCountVariant 3 Esta configuración especifica cómo se cuentan las

coincidencias.
■ 1 - Cuenta la cantidad de conjuntos de tokens con los que

se estableció coincidencia sin importar el uso de los
mismos tokens en varias coincidencias.
■ 2 - Cuenta la cantidad de conjuntos de tokens únicos.
■ 3 - Cuenta la cantidad de superconjuntos únicos de
conjuntos de tokens (opción predeterminada).
Ver "Ejemplos de la variante de la cantidad de coincidencias"

en la página 554.
EDM.MaximumNumberOfMatches 100 Definen un límite máximo para la cantidad de coincidencias

ToReturn devueltas de cada búsqueda del índice de RAM. Para los
índices de varios archivos, este límite se aplica a cada
búsqueda del subíndice independientemente antes de que se
combinen los resultados de la búsqueda. Como consecuencia,
la cantidad de coincidencias reales puede exceder este límite
para los índices de varios archivos.
EDM.RunProximityLogic true Si es true (predeterminado), ejecuta la comprobación de

proximidad de token. La proximidad del texto de formato libre
es definida por la configuración
EDM.SimpleTextProximityRadius. La proximidad del
texto tabular es definida como perteneciente a la misma fila
de la tabla.
Nota: Deshabilitar la proximidad no se recomienda porque
puede afectar negativamente el rendimiento del sistema.

predeterminada
EDM.SimpleTextProximityRadius 35 Proporciona al rango de línea base para realizar la

comprobación de proximidad de un token con el que se
estableció coincidencia. Este valor es multiplicado por la
cantidad de coincidencias requeridas para igualar el rango
completo de comprobación de proximidad.
Para mantener la misma "densidad de coincidencias

requerida", el rango de comprobación de proximidad se
comporta como una ventana móvil en una página de texto. D
se define como el factor de proporcionalidad para la ventana
y se configura en la condición de la política mediante la
selección de la cantidad de campos con los cuales establecer
coincidencias para la condición de EDM. N es el valor de
SimpleTextProximityRadius. Varios tokens están en el rango
de proximidad si el primer token está dentro de N x D palabras
del último token. El rango de comprobación de proximidad es
directamente proporcional a la cantidad de coincidencias por
un factor de D.
Ver "Ejemplo de coincidencia de proximidad" en la página 556.

Nota: Aumentar el valor del radio por sobre el valor
predeterminado puede afectar negativamente el rendimiento
del sistema y no se recomienda.
EDM.TokenVerifierEnabled false De forma predeterminada está deshabilitado (false).
Si está habilitado (true), el servidor valida los tokens para

palabras claves en chino, japonés y coreano.
Lexer.IncludePunctuationInWords true Si el valor es true, durante la detección los caracteres de

puntuación se consideran parte de un token.
Si el valor es false, durante la detección la puntuación dentro

de un token o de varios tokens se trata como espacio en
blanco.
Ver "Varios tokens con puntuación" en la página 546.

Nota: Esta configuración se aplica al contenido de la
detección, no al contenido indizado.

predeterminada
Lexer.MaximumNumberOfTokens 12000 Número máximo de tokens extraídos de cada componente

de mensaje para la detección. Aplicable a todas las
tecnologías de detección donde es necesaria la tokenización
(EDM, DGM perfilada y los patrones del sistema compatibles
con esas tecnologías). Aumentar el valor predeterminado
puede hacer al servidor de detección quedarse sin memoria
y reiniciarse.
Nota: En Data Loss Prevention 12.5 y posterior, el valor
predeterminado se cambia de 30 000 a 12 000. Previamente,
todos los tokens hasta el límite, incluyendo las palabras
irrelevantes y las palabras de una sola letra, fueron enviados
a la detección. En la versión 12.5 y posterior, los tokens
enviados para la detección no incluyen palabras irrelevantes
o palabras únicas. La cantidad de tokens significativos
enviados a la detección es aproximadamente la misma que
en las versiones anteriores.
Lexer.MaxTokensPerMultiToken 10 Cantidad máxima de subtokens que una celda de varios

tokens puede contener.
Es posible configurar esta cantidad para incluir todos los

subtokens que necesite, pero la cantidad total de caracteres
en una celda de varios tokens no puede ser superior a 200.
Ver "Características de las celdas de varios tokens"

en la página 544.
Lexer.StopwordLanguages en Habilita la eliminación de las palabras irrelevantes para los

idiomas especificados.
La opción predeterminada es Inglés.
Lexer.Validate true Si el valor es true, realiza la validación específica para el

patrón del sistema durante la indización. Configurar esto en
false no se recomienda.
Ver "Usar los validadores del patrón proporcionado por el

sistema para perfiles de EDM" en la página 527.
Usar coincidencia de varios tokens

predeterminada
MessageChain.NumChains Varía Este número varía dependiendo del tipo de servidor de

detección. Es 4 u 8. La cantidad de mensajes, paralelamente,
que el lector de archivos procesará. Configurar este número
a más de 8 (con la otra configuración predeterminada) no se
recomienda. Una alta configuración no aumenta
substancialmente el rendimiento y hay un riesgo mucho mayor
de quedar sin memoria. Configurando esto a menos de 8 (en
algunos casos 1) ayuda a procesar los archivos grandes, pero
puede ralentizar el sistema considerablemente.

La coincidencia de varios tokens de EDM se basa en los tokens en el índice. Para
los idiomas basados en el alfabeto latino, un token es una palabra o una cadena
de caracteres alfanuméricos delimitados por espacios. Para los idiomas chino,
japonés y coreano, un token es determinado por otros medios. Los tokens se
normalizan para omitir el formato y la distinción entre mayúsculas y minúsculas.
En el tiempo de ejecución, el servidor realiza una búsqueda de texto completo en
un mensaje entrante, controlando cada palabra en función del índice para saber
si hay coincidencias potenciales. El algoritmo de coincidencia compara cada palabra
del mensaje con el contenido de cada token en el índice.
Una celda de varios tokens es una celda en el índice que contiene varias palabras
separadas por espacios, puntuación inicial o final o caracteres latinos y chinos,
japoneses o coreanos alternativos. Las partes que constituyen los subtokens de
una celda de varios tokens obedecen las mismas reglas que las celdas de un solo
token: se normalizan según su patrón donde la normalización puede aplicarse. Los
datos de mensajes entrantes deben coincidir con una celda de varios tokens
exactamente, incluidos espacios en blanco, puntuación y palabras irrelevantes (si
se asume la configuración predeterminada).
Por ejemplo, una celda indizada que contiene la cadena "Bank of America" es una
celda de varios tokens que consta de 3 subtokens: Durante la detección, el mensaje
entrante "bank of america" (normalizado) coincide con la celda de varios tokens,
pero "bank america" no lo hace.
La coincidencia de varios tokens se habilita de forma predeterminada. Las celdas
de varios tokens son más costosas informáticamente que las de un solo token. Si
el índice incluye celdas de varios tokens, es necesario verificar que se tenga
bastante memoria para indizar, cargar y procesar el perfil de EDM.
Ver "Características de las celdas de varios tokens" en la página 544.
Características de las celdas de varios tokens

Tabla 21-19 enumera y describe las características de la coincidencia de varios
tokens.
Ver "Usar coincidencia de varios tokens" en la página 543.
Tabla 21-19 Características de varios tokens
Característica Descripción
Una celda de varios tokens se limita a 200 caracteres en Lexer.MaxTokensPerMultiToken = 10

total, incluidos espacios en blanco, puntuación, letras,
Ver "Configuración avanzada del servidor para políticas
números y símbolos. No es posible aumentar esta
de EDM" en la página 539.
cantidad, pero se puede configurar cuántos subtokens
puede contener una celda de varios tokens.
El espacio en blanco se considera en las celdas de varios Ver "Varios tokens con espacios" en la página 544.
tokens, pero los espacios en blanco se normalizan a 1.
La puntuación inmediatamente antes y después de un Ver "Varios tokens con puntuación" en la página 546.
token o subtoken se omite siempre.
Ver "Ejemplos adicionales para las celdas de varios tokens
con la puntuación" en la página 547.
Es posible configurar cómo la puntuación dentro de un Lexer.IncludePunctuationInWords = true

token o una celda de varios tokens se trata durante la
Ver "Configuración avanzada del servidor para políticas
detección. Para la mayoría de los casos, la configuración
de EDM" en la página 539.
predeterminada ("verdadero") es apropiada. Si se
configura en "falso", la puntuación se trata como espacio
en blanco.
Para la comprobación del intervalo de proximidad las Ver "Ejemplo de coincidencia de proximidad"
partes de subtoken se cuentan como únicos tokens. en la página 556.
El sistema no considera las palabras irrelevantes al buscar Ver "Varios tokens con palabras irrelevantes"
coincidencias de celdas de varios tokens. Es decir, las en la página 545.
palabras irrelevantes no se excluyen.
Las celdas de varios tokens son más costosas Ver "Requisitos de memoria para EDM" en la página 563.
informáticamente que las de un solo token y requieren
memoria adicional para indizar, cargar y procesar.
Varios tokens con espacios

Tabla 21-20 muestra ejemplos de varios tokens con espacios.
Tabla 21-20 Ejemplos de celda de varios tokens con espacios
Descripción Contenido indizado Contenido detectado Explicación
La celda contiene espacio. Bank of America Bank of America La celda con espacios tiene
varios tokens.
Varios tokens deben

coincidir exactamente.
Las celdas contienen varios Bank of America Bank of America Varios espacios se
espacios normalizan en uno.
Varios tokens con palabras irrelevantes

Las palabras irrelevantes son palabras comunes, tales como artículos y
preposiciones. Al crear un solo token, el proceso de la indización de EDM omite
las palabras encontradas en la lista de palabras irrelevantes de EDM
(\SymantecDLP\Protect\config\stopwords), así como letras solas. Sin embargo,
al crear varios tokens, las palabras irrelevantes y las letras solas no se omiten. En
su lugar, son parte de varios tokens.
Tabla 21-21 muestra las coincidencias de varios tokens con palabras irrelevantes,
letras solas y dígitos únicos.
Tabla 21-21 La celda contiene palabras irrelevantes o una sola letra o un solo
dígito
Descripción Contenido de la celda Debe coincidir Explicación
La celda contiene palabras lanzar otra bola lanzar otra bola La palabra común ("otro") se
irrelevantes. filtra durante la detección,
pero no cuando forma parte
de varios tokens.
La celda contiene una sola lanzar una bola lanzar una bola La sola letra ("a") se filtra,
letra. pero no cuando forma parte
de varios tokens.
La celda contiene un solo lanzar 1 bola lanzar 1 bola A diferencia de las palabras
dígito. de una única letra que son
irrelevantes, los únicos
dígitos nunca se omiten.
Varios tokens con los caracteres de idioma combinados

Tabla 21-22 muestra los ejemplos de varios tokens con caracteres de latín y chino,
japonés y coreano (CJK) combinados.
Tabla 21-22 Celda de varios tokens con ejemplos de caracteres de CJK y latín
Descripción Contenido de la celda Debe coincidir Explicación
La celda incluye caracteres ABC傠傫 ABC傠傫 La celda de latín y CJK

de latín y CJK sin espacios. combinados tiene varios
傠傫ABC 傠傫ABC
token.
Debe coincidir exactamente.
La celda incluye latín y CJK ABC 傠傫 ABC 傠傫 Varios espacios se reducen

con uno o más espacios. a uno.
傠傥 ABC 傠傥 ABC
La celda contiene latín o 什仁仂仃仄仅仇仈仉什仁仂仃仄仅仇仈仉 Celda de un token.

CJK con números. 147(什仂仅 51-1) 147(什仂仅 51-1)
Varios tokens con puntuación

La puntuación se omite siempre si viene al principio (inicial) o extremo (final) de
un token o de varios tokens. Si la puntuación incluida en un token o varios tokens
es requerida para que coincida depende de la configuración avanzada del servidor
Lexer.IncludePunctuationInWords, que de forma predeterminada se configura
en true (habilitado).
Ver "Caracteres de puntuación de varios tokens" en la página 552.
Nota: Para propósitos de conveniencia, el parámetro

Lexer.IncludePunctuationInWords se conoce como acrónimo de tres letras
"WIP" en esta sección.
La configuración de WIP funciona en el tiempo de detección para alterar cómo las

coincidencias se informan. Para la mayoría de las políticas de EDM, no es necesario
cambiar la configuración de WIP. Para algunas situaciones limitadas, tales como
números de cuenta o direcciones, es posible que sea necesario configurar
IncludePunctuationInWords = false dependiendo de sus requisitos de la
detección.
Ver "Caracteres de puntuación de varios tokens" en la página 552.
Tabla 21-23 enumera y explica cómo la coincidencia de varios tokens funciona con
la puntuación.
Tabla 21-23 Tabla de puntuación de varios tokens
Contenido Contenido Configuración Coincidencia Explicación

indizado detectado de WIP
a.b a.b TRUE Yes El contenido indizado y el contenido detectado son

exactamente iguales.
FALSE No El contenido detectado se trata como "a b" y, por lo

tanto, no coincide.
a.b ab TRUE No El contenido indizado y el contenido detectado son

diferentes.
FALSE No El contenido indizado y el contenido detectado son

diferentes.
ab a.b TRUE No El contenido indizado y el contenido detectado son

diferentes.
FALSE Yes El contenido detectado se trata como "a b" y, por lo

tanto, coincide.
ab ab TRUE Yes El contenido indizado y el contenido detectado son

exactamente iguales
FALSE Yes El contenido indizado y el contenido detectado son

exactamente iguales
Ejemplos adicionales para las celdas de varios tokens con la

puntuación
Tabla 21-24 enumera y describe algunos ejemplos adicionales para las celdas de
varios tokens con la puntuación. En estos ejemplos, el elemento principal a tener
presente es que durante la indexación, si un token incluye los signos de puntuación
entre los caracteres la puntuación se conserva siempre. Esto significa que EDM
no puede detectar esa celda si la configuración de WIP es falsa. Es decir que si
los datos indexados tienen una celda que tenga un token con la puntuación interna,
la configuración de WIP debe configurarse en true.
Tabla 21-24 Casos de uso adicionales para las celdas de varios tokens con
puntuación
La celda contiene una 346 Guerrero St., Apt. #2 346 Guerrero St., Apt. #2 El contenido indexado es
dirección física con una celda de varios tokens.
346 Guerrero St Apt 2
puntuación.
Ambos coinciden porque la
puntuación está al principio
o al final de los subtokens y,
por lo tanto, se omite.
La celda contiene O'NEAL ST. O'NEAL ST El contenido indexado es

puntuación interna sin una celda de varios tokens.
espacio antes o después.
La puntuación interna está
incluida (se asume que el
valor de WIP es true) y se
omite la puntuación inicial o
final (se asume que hay un
delimitador de espacio
después de la puntuación).
La celda contiene caracteres 傠傫;;傠傫傠傫;;傠傫 (si el valor de El contenido indexado es

en idiomas asiáticos (CJK) WIP es true) una única célula simbólica.
con puntuación interna
Durante la detección, los
indexada.
caracteres de idiomas
asiáticos (CJK) con
puntuación interna son
afectados por la
configuración de WIP. Así,
en este ejemplo 傠傫;;傠傫
coincide solamente si la
configuración de WIP es
true.
Si la configuración de WIP
es falsa, 傠傫;;傠傫 se
considera de varios tokens
porque la puntuación interna
se trata como espacios en
blanco. Así, ningún
contenido puede coincidir.
La celda contiene los 傠傫傠傫傠傫傠傫 El contenido indexado es

caracteres asiáticos (CJK) una celda de varios tokens.
傠傫;;傠傫 (si el valor de
sin la puntuación interna
WIP es false) El contenido detectado
indexada.
coincide con lo indexado. Si
la configuración de WIP es
falsa, el contenido detectado
coincide con 傠傫;;傠傫
porque se omite la
puntuación interna.
La celda contiene una EDM;;傠傫 EDM 傠傫 El contenido indexado es

mezcla de caracteres latinos una celda de varios tokens.
y de CJK con la puntuación
Una celda con caracteres
que separa los caracteres
latinos y CJK es siempre
latinos y asiáticos.
una celda de varios tokens
y la puntuación entre los
caracteres latinos y asiáticos
se considera siempre como
un solo espacio blanco sin
importar la configuración de
WIP.
La celda contiene una DLP;;EDM 傠傫;;傠傥 DLP;;EDM;;傠傫;;傠傥 (si el El contenido indexado es

combinación de caracteres valor de WIP es true) una celda de varios tokens.
latinos y CJK con
DLP;;EDM 傠傫;;傠傥 (si el Durante la detección, la
valor de WIP es true) puntuación entre los
se trata como un único
espacio en blanco y la
puntuación inicial y final se
omite.
es true la puntuación interna
a los caracteres latinos e
interna al carácter asiático
se conserva.
es falsa, ningún contenido
puede coincidir porque se
omite la puntuación interna.
La celda contiene una DLP EDM 傠傫傠傥 DLP EDM 傠傫傠傥 El contenido indexado es

combinación de caracteres una celda de varios tokens.
DLP;EDM 傠傫;傠傥 (si el
latinos y CJK con
valor de WIP es false) Durante la detección, la
puntuación entre los
DLP;EDM;;傠傫;傠傥 (si el
valor de WIP es false)
se trata como un único
espacio en blanco y la
puntuación inicial y final se
omite. Así, coincide según
lo indexado.
es falsa, coincide con
DLP;EDM;;傠傫;傠傥 porque
se omite la puntuación
interna.
Algunos casos de uso especiales para patrones de datos reconocidos

por el sistema
EDM valida y reconoce los siguientes patrones especiales de datos:
■ Número de tarjeta de crédito
■ Dirección IP
■ Número
■ Porcentaje
■ Número de teléfono (EE.UU., Canadá)
■ Código postal (lEE. UU., Canadá)
■ Número de la Seguridad Social (SSN de EE.UU.)
Ver "Usar los validadores del patrón proporcionado por el sistema para perfiles de
EDM" en la página 527.
Nota: Es una práctica recomendada para validar siempre su índice en función de

patrones reconocidos del sistema cuando el origen de datos incluye uno o más
tales campos de columna. Ver "Asigne la columna de origen de datos a los campos
del sistema para utilizar la validación" en la página 598.
La regla general para los patrones reconocidos por el sistema es que la

configuración de WIP no se aplica durante la detección. Por el contrario, se aplican
las reglas para ese patrón determinado. Es decir, si el patrón se reconoce durante
la detección, la configuración de WIP no se comprueba. Esto es verdadero siempre
si el patrón es una cadena de caracteres como una dirección de correo electrónico
y si la celda contiene un número que se ajusta a uno de los patrones de número
reconocidos (por ejemplo, CCN o SSN).
Además, incluso si el patrón es un número genérico, como un número de cuenta,
que no se ajusta a uno de los patrones de número reconocidos, es posible que la
configuración de WIP no se aplique. Para asegurarse de encontrar coincidencias
precisas para números genéricos que no se ajusten a uno de los patrones
reconocidos por el sistema, no debe incluir puntuación en estas celdas de número.
Si el contenido de celda se justa a uno de los patrones reconocidos por el sistema,
las reglas de puntuación para ese patrón se aplican, pero no ocurre lo mismo con
la configuración de WIP.
Ver "No utilice el delimitador de coma si el origen de datos tiene campos de número"
en la página 597.
Ver Tabla 21-25 en la página 552. enumera y describe los ejemplos para detectar
los patrones de datos reconocidos por el sistema.
Precaución: Esta lista no es exhaustiva. Se proporciona sólo con fines informativos

para asegurarse de que usted sea consciente de que los datos que coinciden con
patrones definidos por el sistema toman precedencia y la configuración de WIP se
omite. Antes de implementar sus políticas de EDM en la producción, es necesario
probar la exactitud de la detección y ajustar el índice en consecuencia para
asegurarse de que los datos que se hayan indizado como se esperaba durante la
detección.
Tabla 21-25 Algunos casos de uso especiales para patrones de datos reconocidos
por el sistema
La celda contiene una persona@ejemplo.com persona@ejemplo.com Una dirección de correo

dirección de correo electrónico se indiza y se
electrónico. detecta como de un solo
token sin importar la
configuración de WIP. Debe
coincidir exactamente como
en el índice. Si configurará
WIP como falso,
"persona@ejemplo.com" no
encontraría coincidencias
como valor de varios tokens
y no encontraría
coincidencias como un solo
token indizado.
Las celdas contienen un ########## ########## Se omite a configuración de

número de cuenta de 10 WIP porque el número se
(###) ### ####
dígitos. ajusta al patrón de número
(###) ###-#### de teléfono y sus reglas
toman precedencia.
## ###### ## ## ###### ## Debe coincidir exactamente.

El patrón ##-######-## no
encuentra coincidencias
incluso si WIP se configura
como falso.
### #### ### ### #### ### Debe coincidir exactamente.

El patrón ###-####-### no
encuentra coincidencias
incluso si WIP se configura
como falso.
Caracteres de puntuación de varios tokens

En EDM, una celda de varios tokens es cualquier celda que se haya indizado que
contiene puntuación (así como espacios o palabras del latín alternativas y caracteres
de chino, japonés y coreano [CJK]).
Usar coincidencia de varios tokens enumera los símbolos que se identifican y se
tratan como puntuación durante la indización de EDM.
Tabla 21-26 Caracteres tratados como puntuación para indización
Nombre de la puntuación Representación de carácter
Apóstrofo '
Tilde ~
Signo de exclamación !
Signo "&" &
Guion largo -
Comilla simple '
Comilla doble "
Punto .
Signo de interrogación ?
Arroba @
Símbolo de dólar $
Símbolo de porcentaje %
Asterisco *
Símbolo de acento circunflejo ^
Paréntesis de apertura (
Paréntesis de cierre )
Corchete de apertura [
Corchete de cierre ]
Llave de apertura {
Llave de cierre }
Barra diagonal /
Barra inversa \
Símbolo numeral #
Símbolo igual =
Signo más +
Nombre de la puntuación Representación de carácter
Punto y coma ;
Ejemplos de la variante de la cantidad de coincidencias

El valor predeterminado para la configuración avanzada del servidor
EDM.MatchCountVariant elimina las coincidencias que consisten en el mismo
conjunto de los tokens de otra coincidencia. Raramente hay necesidad de cambiar
el valor predeterminado, pero, si es necesario, puede configurar cómo se cuentan
las coincidencias de EDM mediante este parámetro.
La Tabla 21-27 proporciona los ejemplos sobre la cantidad de coincidencias. Todos
los ejemplos asumen que la política está configurada para coincidir con tres de
cuatro campos de columna y que el índice de perfiles contiene el contenido de
celda siguiente:
Kathy | Stevens | 123-45-6789 | 1111-1111-1111-1111
Kathy | Stevens | 123-45-6789 | 2222-2222-2222-2222
Kathy | Stevens | 123-45-6789 | 3333-3333-3333-3333
Tabla 21-27 Ejemplos de la variante de la cantidad de coincidencias
Contenido de Variante Cantidad de coincidencias Explicación

mensaje entrante de la
cantidad
de
coincidencias
Kathy Stevens 1 3 Registros con coincidencia en el perfil:

123-45-6789 nombre, apellido y SSN.
2 1 Cantidad de conjuntos de tokens únicos

con los que se estableció coincidencia.
3 1 Cantidad de superconjuntos únicos de

los conjuntos de tokens.

cantidad
de
coincidencias
Kathy Stevens 1 3 Si
123-45-6789 EDM.HighlightAllMatchesInProximity=false,
1111-1111-1111-1111 2 1: si EDM establece coincidencias con los
EDM.HighlightAllMatchesInProximity=false tokens del extremo izquierdo para cada
Kathy Stevens (opción predeterminada) fila de datos del perfil. El conjunto de
123-45-6789
2: si tokens para cada fila es el siguiente:
EDM.HighlightAllMatchesInProximity=true Fila 1: Kathy Stevens 123-45-6789
3 1 Fila 2: Kathy Stevens 123-45-6789
Fila 3: Kathy Stevens 123-45-6789
Si
EDM.HighlightAllMatchesInProximity=true,
EDM establece coincidencias con todos
los tokens dentro de la ventana de
proximidad. El conjunto de tokens para
cada fila es el siguiente:

1111-1111-1111-1111 Kathy Stevens
123-45-6789

Kathy Stevens 123-45-6789

Kathy Stevens 123-45-6789

cantidad
de
coincidencias
1111-1111-1111-1111 1 3 Si
Kathy Stevens EDM.HighlightAllMatchesInProximity=false,
123-45-6789 2 2 EDM establece coincidencias con los
tokens del extremo izquierdo para cada
3 2: si
fila de datos del perfil. El conjunto de
EDM.HighlightAllMatchesInProximity=false
tokens para cada fila es el siguiente:
(opción predeterminada)
Fila 1: 1111-1111-1111-1111 Kathy
1: si
Stevens
EDM.HighlightAllMatchesInProximity=true
Si
EDM.HighlightAllMatchesInProximity=true,
EDM establece coincidencias con todos
los tokens dentro de la ventana de
proximidad. El conjunto de tokens para
cada fila es el siguiente:
Fila 1: 1111-1111-1111-1111 Kathy

Stevens 123-45-6789
Ejemplo de coincidencia de proximidad

EDM protege los datos confidenciales al correlacionar la información únicamente
identificable, tal como SSN, con los datos que no son únicos, por ejemplo, el
apellido. Al correlacionar los datos, es importante asegurarse de que los términos
estén relacionados. En idiomas naturales, es más probable que cuando dos palabras
aparezcan juntas se utilicen en el mismo contexto y, por lo tanto, estén relacionadas.
Basado en la premisa de que la proximidad indica relación, EDM emplea un radio
o un rango de coincidencia de proximidad para limitar cuánto contenido de formato
libre examinará el sistema al buscar coincidencias. La coincidencia de proximidad
de EDM está diseñada para reducir los falsos positivos al asegurar que los términos
coincidentes están próximos.
El rango de la proximidad es proporcional a la definición de la política. El rango de
la proximidad es determinado por el radio de la proximidad multiplicado por el
número de coincidencias requeridas por la condición de la política de EDM. El radio

lo configura el parámetro Configuración avanzada del servidor
EDM.SimpleTextProximityRadius. El valor predeterminado es 35. Además, la
coincidencia de proximidad se aplica al texto de formato libre y a los datos tabulares.
No hay distinción en el tiempo de ejecución entre los dos. Así, los datos tabulares
se tratan de la misma manera que los datos del texto libre y la comprobación de
la proximidad se realiza fuera del alcance de la longitud del contenido de la fila
Por ejemplo, asumiendo que el radio predeterminado de 35 y un conjunto de
políticas coincide con 3 de 4 campos de columnas, el rango de la proximidad es
105 tokens (3 x 35). Si la política coincide con 2 de 3, el rango de la proximidad es
70 tokens (35 x 2).
Advertencia: Mientras puede disminuir el valor del radio de la proximidad, Symantec

no recomienda aumentar este valor más allá del valor predeterminado (35). Hacer
esto puede causar problemas de rendimiento. Ver "Configuración avanzada del
servidor para políticas de EDM" en la página 539.
Tabla 21-28 muestra un ejemplo de coincidencia de proximidad basado en la

configuración del radio de la proximidad predeterminado. En este ejemplo, el
contenido detectado produce 1 coincidencia de conjunto de tokens único, descrito
de la siguiente manera:
■ La ventana del rango de la proximidad es 105 tokens (35 x 3).
■ La ventana de rango de la proximidad comienza en la coincidencia en la parte
izquierda del panel ("Stevens") y finaliza en la coincidencia de la parte derecha
("123-45-6789").
■ El número total de tokens de "Stevens" a SSN (incluye ambos) es 105 tokens.
■ Las palabras irrelevantes "otro" y "un" se cuentan para los propósitos del rango
de la proximidad.
■ "Bank of America" son varios tokens. Cada parte del subtoken de varios tokens
se cuenta como un solo token para los propósitos de la proximidad.
Actualizar los índices de EDM a la última versión
Tabla 21-28 Ejemplo de proximidad
Datos indizados Política Proximidad Contenido detectado
Apellido | Empleador | SSN Coincidencia Radio = 35 Zendrerit inceptos Kathy Stevens lorem ipsum pharetra
3 de 3 tokens convallis leo suscipit ipsum sodales rhoncus, vitae dui
Stevens | Bank of America
(predeterminado) nisi volutpat augue maecenas in, luctus id risus magna
| 123-45-6789
arcu maecenas leo quisque. Rutrum convallis tortor
urna morbi elementum hac curabitur morbi, nunc dictum
primis elit senectus faucibus convallis surfrent.
Aptentnour gravida adipiscing iaculis himenaeos,
himenaeos a porta etiam viverra. Class torquent uni
other tristique cubilia in Bank of America. Dictumst
lorem eget ipsum. Hendrerit inceptos other sagittis
quisque. Leo mollis per nisl per felis, nullam cras mattis
augue turpis integer pharetra convallis suscipit
hendrerit? Lubilia en mictumst horem eget ipsum.
Inceptos urna sagittis quisque dictum odio hendrerit
convallis suscipit ipsum wrdsrf 123-45-6789.

Si se actualizará a Symantec Data Loss Prevention 14.6 de una versión anterior a
14.0 y usted no ha vuelto a indizar su origen de datos de EDM, es necesario
actualizar cada perfil Datos exactos volviendo a indizar el origen de datos con el
Indizador de EDM 14.6. Además, es necesario verificar la cantidad de memoria
requerida para indizar el origen de datos y cargar y procesar el índice en el tiempo
de ejecución en el servidor de detección. (Si tiene índices de la versión 14.x, no
es necesario volver a indizar para la versión 14.6.)
Ver "Acerca de actualizar implementaciones de EDM" en la página 511.
Si no vuelve a indizar el archivo de origen de datos, el sistema presenta mensajes
de error que indican que el perfil Datos exactos está desactualizado y se debe
volver a indizar y que es necesario calcular los requisitos de memoria.
Ver "Códigos de error desactualizados del índice de EDM" en la página 562.
Hay dos situaciones de actualización a 14.6 principales para EDM:
■ Se utiliza el indizador de EDM remoto para crear remotamente índices
compatibles con 14.6 y para copiarlos en Enforce Server.
Ver "Proceso de actualización usando el indizador de EDM remoto"
en la página 559.
■ Ya tiene un archivo de origen de datos actualizado y limpio que se puede copiar

al Enforce Server actualizado a 14.6 para su indización.
Ver "Proceso de actualización usando Enforce Server" en la página 561.
Proceso de actualización usando el indizador de EDM remoto

Considere el siguiente procedimiento para actualizar sus implementaciones de
EDM en Symantec Data Loss Prevention 14.6. Este procedimiento asume que
puede indizar remotamente el origen de datos y copiar el archivo del índice en
Enforce Server.
Si la indización remota no es posible, la otra opción para la actualización es copiar
el archivo de origen de datos en Enforce Server 14.6.
Ver "Proceso de actualización usando Enforce Server" en la página 561.
Tabla 21-29 Proceso de actualización usando el indizador de EDM remoto
1 Actualice Enforce Server a Consulte la Guía de actualización de Symantec Data Loss Prevention para
14.6. obtener más detalles.
Ahora no actualice los servidores de detección de EDM.
Enforce Server 14.6 puede continuar recibiendo incidentes de los servidores

de detección que no son de la versión 14.6 durante el proceso de
actualización. Las políticas y otros datos no se pueden transferir a servidores
de detección que no son de la versión 14.6 (solo existe comunicación
unidireccional entre Enforce 14.6 y servidores de detección que no son de
la versión 14.6).
2 Cree una plantilla de perfil Con la consola de administración de Enforce Server 14.6, cree una nueva
de EDM remoto compatible plantilla de perfil de EDM para la indización de EDM remoto.
con la versión 14.6.
en la página 577.
Descargue la plantilla de perfil *.edm y cópiela en el sistema de host del

origen de datos remoto.
Ver "Descarga y copia del archivo de perfil de EDM a un sistema remoto"

en la página 580.
3 Instale el indizador de EDM Instale el indizador de EDM remoto de Symantec Data Loss Prevention 14.6
remoto 14.6 en el host del en el host del origen de datos remoto de modo que se pueda indizar el origen
origen de datos remoto. de datos.

4 Calcule la memoria Calcule la memoria requerida para indizar antes de intentar indizar el origen
requerida para indizar el de datos. Aunque el indizador de EDM remoto tenga asignada suficiente
origen de datos y para memoria para indizar la mayoría de los orígenes de datos, si tiene un índice
ajustar la configuración de muy grande, puede tener que asignar más memoria.
memoria del indizador.
5 Indice el origen de datos El resultado de este proceso son varios archivos *.rdx compatibles con la
usando el indizador de EDM versión 14.6 que se pueden cargar en un sistema Enforce Server 14.6.
remoto 14.6.
Si tiene un archivo de origen de datos preparado, ejecute el indizador de
EDM remoto e indícelo.
Ver "Ejemplos de indización remota de direcciones con el archivo de origen

Si el origen de datos es una base de datos de Oracle y los datos están

limpios, utilice el indizador previo de SQL para canalizar los datos al indizador
de EDM remoto.
Ver "Ejemplos de indización remota de indizador previo de SQL"

en la página 582.
6 Calcule la memoria Es necesario calcular cuánta memoria RAM requiere el servidor de detección
requerida para cargar y para cargar y procesar el índice en el tiempo de ejecución. Estos cálculos
procesar el índice y para son necesarios para cada índice de EDM que desee implementar.
ajustar la configuración de
memoria del servidor de
detección para cada host del
servidor de detección de
EDM.
7 Actualice el perfil de EDM al Copie los archivos *.pdx y *.rdx del host remoto al sistema de archivos
cargar el índice 14.6. de host de Enforce Server 14.6.
Cargue el índice en el perfil de EDM que creó en el paso 2.

en la página 583.
8 Actualice uno o más Una vez que haya creado el perfil de EDM compatible con 14.6 y actualizado
servidores de detección de Enforce Server, podrá actualizar los servidores de detección.
EDM a la versión 14.6.
Consulte la Guía de actualización de Symantec Data Loss Prevention para
obtener más detalles.
Asegúrese de haber calculado y verificado los requisitos de memoria para

cargar y procesar índices de varios tokens en el servidor de detección.

9 Pruebe y verifique el índice Para probar el sistema actualizado y el índice actualizado, se puede crear
actualizado. una nueva política que se refiera al índice actualizado.
10 Retire los índices de EDM Una vez que haya verificado el nuevo índice y la nueva política de EDM,
desactualizados. puede retirar el índice y la política de EDM heredados. (Los índices creados
para las versiones anteriores a 14.0 no funcionarán con la versión 14.6).
Proceso de actualización usando Enforce Server

Considere el procedimiento siguiente de actualización de índice si la indización
remota no es posible y tiene un archivo actual de origen de datos que se pueda
copiar en Enforce Server.
Tabla 21-30 Proceso de actualización usando Enforce Server
1 Actualice Enforce Server a Consulte la Guía de actualización de Symantec Data Loss Prevention para
14.6. obtener más detalles.
Ahora no actualice los servidores de detección de EDM.
Enforce Server 14.6 puede continuar recibiendo incidentes de los servidores

de detección que no son de la versión 14.6 durante el proceso de
actualización. Las políticas y otros datos no se pueden transferir a servidores
de detección que no son de la versión 14.6 (solo existe comunicación
unidireccional entre Enforce 14.6 y servidores de detección que no son de
la versión 14.6).
2 Cree y prepare el archivo Copie el archivo de origen de datos en el directorio

de origen de datos y cópielo /SymantecDLP/Protect/datafiles en el sistema de archivos de host
en el host de Enforce del Enforce Server 14.6 actualizado.
Server 14.6.
en la página 513.

en la página 516.

en la página 517.
3 Calcule la memoria Calcule la memoria requerida para indizar antes de intentar indizar el origen
requerida para indizar el de datos.
origen de datos y para
actualizar la configuración
de memoria del indizador.
4 Cree un nuevo perfil de Cree un nuevo perfil de EDM usando la consola de administración de Enforce
EDM compatible con la Server 14.6.
versión 14.6 e indice el
Elija la opción Hacer referencia al origen de datos del host de
archivo de origen de datos.
administrador para cargar el archivo de origen de datos (se asume que lo
copió en el directorio /datafiles).
Indice el archivo de origen de datos al guardar el perfil.

en la página 520.
5 Calcule la memoria Es necesario calcular cuánta memoria RAM requiere el servidor de detección
requerida para cargar y para cargar y procesar el índice y el tiempo de ejecución. Estos cálculos se
para procesar el índice en requieren para cada índice de EDM que desee implementar y los ajustes de
el tiempo de ejecución y la memoria son acumulativos.
para ajustar la configuración
de memoria de cada host
del servidor de detección de
EDM.
6 Actualice los servidores de Una vez que haya creado el perfil de EDM compatible con 14.6, podrá
detección de EDM a 14.6. actualizar los servidores de detección.
Consulte la Guía de actualización de Symantec Data Loss Prevention para

obtener más detalles.
Asegúrese de haber calculado y verificado los requisitos de memoria para

cargar y procesar índices de varios tokens en el servidor de detección.
7 Pruebe y verifique el índice Para probar el sistema actualizado y el índice actualizado, se puede crear
actualizado. una nueva política que se refiera al índice actualizado.
8 Retire los índices de EDM Una vez que haya verificado el nuevo índice y la nueva política de EDM,
desactualizados. puede retirar el índice y la política de EDM heredados. (Los índices creados
para las versiones anteriores a 14.0 no funcionarán con la versión 14.6).
Códigos de error desactualizados del índice de EDM

Symantec Data Loss Prevention versión 14.0 proporciona varias mejoras para
EDM. Para aprovechar estas mejoras, es necesario volver a indizar el origen de
datos para cada perfil Datos exactos usando el indizador de EDM 14.
Si su índice de EDM no es compatible con 14, el sistema le informa los mensajes
de error. Tabla 21-31 enumera los códigos de error que el sistema muestra si el
Requisitos de memoria para EDM
índice de EDM está desactualizado y no es compatible con la versión actual de

Tabla 21-31 Mensajes de error para los perfiles de datos exactos no compatibles
Tipo de mensaje de Código de Mensaje de error

error error
Evento de error de 2928 Uno o más perfiles están desactualizados y se deben volver a indizar.
Enforce Server
Detalle del evento de 2928 Consulte la página Administrar > Perfiles de datos > Datos exactos
error de Enforce Server para obtener más detalles. Los perfiles de EDM siguientes están
desactualizados: Perfil X, Perfil XY y así sucesivamente.
Error de evento del 2928 Uno o más perfiles están desactualizados y se deben volver a indizar.
sistema
Error de Perfil de datos N/D Este perfil está desactualizado y se debe volver a indizar.
exactos

Usar EDM para implementaciones de Symantec Data Loss Prevention afecta los
requisitos de memoria del hardware para implementaciones de Symantec Data
Loss Prevention. En particular, EDM afecta la memoria requerida para indizar el
tamaño de los datos así como la memoria requerida para cargar el índice en el
Una vez que haya establecido cuáles son los requisitos de memoria específicos
de EDM, puede evaluar cómo esos requisitos afectan los requisitos generales del
sistema para su implementación de Data Loss Prevention. Consulte Requisitos del
sistema y guía de compatibilidad de Symantec Data Loss Prevention para obtener
más información sobre los requisitos generales y el impacto potencial de la
implementación de EDM.
Acerca de los requisitos de memoria para EDM

Los requisitos de memoria para EDM se relacionan con varios factores, que
incluyen:
■ Cantidad de índices que usted está generando
■ Tamaño total de los índices
■ Cantidad de celdas en cada índice

■ Cantidad de cadenas de mensajes
Estas limitaciones de tamaño se aplican a índices de EDM:
■ La cantidad máxima de filas admitidas es 4 mil millones - 2 (2^32-2).
■ La cantidad máxima de celdas admitidas es 6 mil millones.
Tabla 21-32 da una descripción general de los pasos que puede seguir para
determinar y configurar los requisitos de memoria para EDM.
Tabla 21-32 Flujo de trabajo para determinar los requisitos de memoria para
índices de EDM
Paso Acción Para obtener más información
1 Determine memoria Ver "Descripción general sobre cómo configurar la

que es necesario para memoria y cómo indizar el origen de datos"
indizar el origen de en la página 564.
datos.
2 Aumente la memoria Ver "Aumentar la memoria para el indizador de EDM

del indizador según de Enforce Server" en la página 567.
sus cálculos.
Ver "Aumentar la memoria para el indizador de EDM
remoto" en la página 567.
3 Determine la memoria Ver "Requisitos de memoria del servidor de

que se necesita para detección" en la página 568.
cargar el índice en el
4 Aumente memoria del Ver "Aumentar la memoria para el servidor de

servidor de detección detección (lector de archivos)" en la página 571.
según sus cálculos.
5 Repita este
procedimiento para
cada índice de EDM
que desee
implementar.
Descripción general sobre cómo configurar la memoria y cómo indizar

el origen de datos
Tabla 21-33 proporciona los pasos para determinar cuánta memoria es necesaria
para indizar el origen de datos.
Tabla 21-33 Requisitos de memoria para indizar el origen de datos
1 Estime los requisitos de memoria Ver "Determinar los requisitos para los indizadores locales y
para el indizador. remotos" en la página 565.
2 Aumente la memoria del indizador. El paso siguiente es aumentar la memoria asignada al

indizador. El procedimiento para aumentar la memoria del
indizador difiere dependiendo de si usted está utilizando el
indizador de EDM que es local en Enforce Server o el indizador
de EDM remoto.
Ver "Aumentar la memoria para el indizador de EDM de Enforce

Ver "Aumentar la memoria para el indizador de EDM remoto"

en la página 567.
3 Reinicie el servicio de Vontu Es necesario reiniciar este servicio después de cambiar la

Manager. asignación de memoria.
4 Indice el origen de datos. El último paso es indizar el origen de datos. Es necesario hacer
esto antes de calcular los requisitos de memoria restantes.
Ver "Configurar los perfiles de datos estructurados"

en la página 512.
Determinar los requisitos para los indizadores locales y remotos

Este tema proporciona una descripción general de los requisitos de memoria para
el indizador de EDM local de Enforce Server Symantec Data Loss Prevention y
para el indizador de EDM remoto.
Con la configuración predeterminada, ambos indizadores de EDM pueden indizar
cualquier origen de datos con 500 millones de celdas o menos. Para cualquier
origen de datos con más de 500 millones de celdas, se necesitan 3 bytes adicionales
por celda para indizar el origen de datos.
Es posible programar la indización de direcciones para varios índices en serie (en
momentos diferentes) o paralelamente (al mismo tiempo). Al indizar en serie, es
necesario asignar memoria para acomodar la indización del índice más grande. Al
indizar paralelamente, es necesario asignar memoria para acomodar la indización
de todos los índices que esté creando en ese momento.
Indización de direcciones de serie

Si crea los índices en serie (no crea dos paralelamente), el requisito de memoria
para el índice más grande es:
2 mil millones de celdas - 0,5 mil millones predeterminadas x 3 bytes = 4,5 GB

redondeados a memoria adicional de 5 GB.
Como se explica en detalle más tarde, configure wrapper.java.maxmemory a 7
GB (7168M). Estos 7 GB incluyen memoria predeterminada de 2 GB (MB 2048)
para Enforce y memoria adicional de 5 GB.
Tabla 21-34 proporciona ejemplos de cómo el tamaño del origen de datos afecta
los requisitos de memoria para indizaciones en serie.
Tabla 21-34 Ejemplos para la indización en serie de requisitos de memoria del

indizador
Tamaño del Requisito de Descripción

origen de memoria del
datos indizador
100 millones de 2048 MB (opción No se necesita RAM adicional para el indizador.

celdas predeterminada)
500 millones de 2048 MB (opción No se necesita RAM adicional para el indizador.

celdas predeterminada)
Mil millones de 4 GB Si tiene un único origen de datos con mil millones de

celdas celdas (por ejemplo, 10 columnas por 100 millones
de filas), se necesita memoria adicional para 0,5 mil
millones de celdas (mil millones de celdas -
0,5 millones predeterminadas) 0,5 millones x 3 bytes
o 1,5 GB de RAM (redondeado a 2 GB) para indizar
el origen de datos. Esta cantidad se agrega a la
asignación de RAM predeterminada del indizador.
2 mil millones 7 GB Si tiene un único origen de datos con 2 mil millones

de celdas de celdas (por ejemplo, 10 columnas por 200 millones
de filas), se necesita memoria adicional para 1.5 mil
millones de celdas (2 mil millones de celdas - 1.5
millones predeterminadas) 0,5 millones x 3 bytes o
4.5 GB de RAM (redondeado a 5 GB) para indizar el
origen de datos.
Indización paralela
Si indiza estos cuatro archivos en Tabla 21-34 simultáneamente (paralelamente),
está indizando más de 500 millones de celdas. Por lo tanto, la memoria adicional
(3,6 mil millones de celdas - 0,5 mil millones de celdas proporcionadas de forma
predeterminada) se requiere de la siguiente manera:
3,1 mil millones de celdas x 3 bytes = 9.3 GB redondeados a 10 GB de memoria
adicional.
Como se explica en detalle más tarde, configura wrapper.java.maxmemory en 12

GB. Estos 12 GB incluyen memoria predeterminada de 2048 MB para Enforce y 9
GB del cálculo de memoria adicional antes mencionado.
Nota: Para los índices del idioma de CJK o los índices que son predominantemente
de varios tokens, estas fórmulas deben usar un multiplicador de 4 bytes en vez de
3 bytes. En ambos casos, se admiten 350 millones de orígenes de datos de celdas
de forma predeterminada.
Ver "Aumentar la memoria para el indizador de EDM de Enforce Server"

en la página 567.
Aumentar la memoria para el indizador de EDM de Enforce Server

Complete los pasos siguientes para aumentar la memoria para el indizador de
Enforce Server.
Estos pasos suponen que ha realizado los cálculos del indizador.
Para aumentar la memoria para el indizador de Enforce Server
1 Abra el archivo \SymantecDLP\protect\config\VontuManager.conf.
2 Localice el siguiente parámetro Initial Java Heap Size (en MB).
wrapper.java.maxmemory = 2048 (el valor predeterminado es 2048 MB (2
GB); su valor puede ser diferente si usted lo cambió)
3 Agregue el valor de su cálculo a la configuración maxmemory.
Por ejemplo, si por su cálculo determina que se necesitan 2.6 GB adicionales
de memoria RAM, usted aumentaría el valor en 2662 MB adicionales.
Nota: Este resultado se agrega a la configuración existente de memoria; no

se utiliza para reemplazar la configuración existente de memoria.
wrapper.java.maxmemory = 4710 (el valor predeterminado 2048 más el

cálculo adicional de 2662)
4 Guarde el archivo VontuManager.conf.
5 Reinicie el servicio de Vontu Manager.
Aumentar la memoria para el indizador de EDM remoto

El indizador de EDM remoto se ejecuta con la configuración predeterminada de
JMV. Esto significa que al indizador de EDM remoto se le asigna aproximadamente
el 25% del total de memoria RAM que el equipo tiene instalada. Para la mayoría
de los orígenes de datos, la configuración de memoria predeterminada es suficiente
para la indización remota.
Usted configuró el tamaño de pila de JVM para el proceso del indizador de EDM
remoto creando un archivo *.vmoptions e implementándolo en el host del indizador
de EDM remoto.
El archivo *.vmoptions acepta una opción JVM por línea. Por ejemplo, puede
especificar las siguientes opciones en un archivo que se guarda como
RemoteEDMIndexer.vmoptions:
-Xmx11G
Ver "Descripción general sobre cómo configurar la memoria y cómo indizar el origen
Para implementar el archivo *.vmotpions, cópielo en las siguientes ubicaciones:
Para Linux: /opt/SymantecDLP/Protect/bin/RemoteEDMIndexer.vmoptions
Para Windows: \SymantecDLP\Protect\bin\RemoteEDMIndexer.exe.vmoptions
Ver "Generar archivos de índice remotos" en la página 580.
Requisitos de memoria del servidor de detección

El servidor de detección no debe usar más del 60% de la memoria del equipo. Por
ejemplo, si su servidor de detección necesita una memoria de 6 GB para ejecutarse,
asegúrese de que tiene 10 GB en ese servidor.
Configuración predeterminada para un servidor de detección

La configuración predeterminada para un servidor de detección tiene 4 GB y 8
cadenas de mensajes. Estos son algunos ejemplos de las combinaciones del índice
que se admiten con esta configuración predeterminada:
■ 1 índice con 100 millones de celdas o
■ 4 índices de 25 millones de celdas cada uno o
■ 6 índices con 15 millones de celdas cada uno o
■ 8 índices con 10 millones de celdas cada uno
Consulte las siguientes fórmulas y Tabla 21-35 para determinar cómo calcular sus
requisitos de memoria reales. Además, se puede usar la hoja de cálculo
proporcionada en la Base de consulta de Symantec Data Loss Prevention para
determinar sus requisitos de memoria reales. Ver "Uso de la hoja de cálculo de
requisitos de memoria de EDM" en la página 572.
Para cargar el índice, el servidor de detección necesita 14 bytes por celda y memoria
para cada cadena de mensajes en el servidor de detección. Los siguientes ejemplos
muestran las situaciones para un cliente que tenga tres índices con la misma
programación.
Para los requisitos de memoria, la fórmula general es:
requisito de memoria = tamaño del índice + memoria de la cadena de mensajes.
Para el tamaño del índice, la fórmula es:
cantidad de celdas * 14 bytes.
Para cadenas de mensajes con mil millones de celdas o menos, la fórmula es:
cantidad de cadenas de mensajes * 700 MB.
Para cadenas de mensajes con más de mil millones de celdas, la fórmula es:
máximo (cantidad de cadenas * 700 MB, 20% * tamaño del índice).
Configuración de memoria del servidor de detección

La propiedad de configuración avanzada del servidor para el número cadenas de
mensajes es MessageChain.NumChains.
La configuración de memoria para un servidor de detección se configura en la
consola Enforce Server en la página Detalle del servidor - Configuración
avanzada del servidor, usando BoxMonitor.FileReaderMemory. propiedad. El
formato es -Xrs -Xms1200M –Xmx4GB
Nota: Cuando actualiza esta configuración, cambie solo el valor -Xmx en esta
propiedad. Por ejemplo, cambie solamente "4G." a un nuevo valor y deje el resto
de los valores igual.
Los ejemplos en Tabla 21-35 muestran la configuración de cinco situaciones

diferentes.
Tabla 21-35 Ejemplos de configuración de la memoria del servidor de detección

de EDM
Ejemplo Cálculo Configuración de

Boxmonitor.FileReaderMemory
Ejemplo 1: Único pequeño Memoria requerida: 2 configuración predeterminada

índice con 2 millones de millones * 14 bytes = 28 MB
celdas para cargar

Ejemplo 2: 3 índices al Memoria requerida en el -Xmx57G

ejecutar 24 cadenas: servidor de detección al
ejecutar 24 cadenas:
■ Índice 1: 100 millones de
celdas Para pequeños índices de
■ Índice 2: 1 mil millones 100 millones de celdas, el
celdas tamaño del índice en sí
■ Índice 3: 2 mil millones de mismo es de 100 millones de
celdas celdas * 14 bytes = 1.3 GB.
Para índices de mil millones

de celdas: mil millones de
celdas * 14 bytes = 13 GB.
Para índices de 2 mil millones

de celdas: 2 mil millones de
celdas * 14 bytes = 26.1 GB.
El tamaño total de los tres

índices es de 40.4 GB (1.3
GB + 13 GB + 26.1 GB).
Puesto que el 20% de 40.4

GB (8.08 GB) es menor que
24 * 700M (16.4), el número
final es:
40.4 GB + GB 16.4 = 56.8 GB

redondeados a 57 GB.
Ejemplo 3: Un único índice Memoria requerida en el -Xmx82G

con 5 mil millones de celdas servidor de detección con un
y 24 cadenas de mensajes índice con 5 mil millones
celdas que ejecuta 24
cadenas de mensajes:
5 mil millones de celdas * 14

bytes = 65.2 GB.
20% de 65.2 GB = 13.04 GB,

que es menos que 24 * 700M
= 16.4 GB. Por lo tanto, el
número final es:
65.2 GB + GB 16.4 = 81.6 GB



con 1,6 mil millones de celdas servidor de detección con un
y 24 cadenas de mensajes índice con 1,6 mil millones de
celdas y 24 cadenas de
mensajes:
1,6 mil millones de celdas *

14 bytes = 20.9 GB.
Puesto que 24 cadenas de

memoria representan más
que el 20% del índice, el
requisito de memoria para
este índice es:
20.9 GB + GB 16.4 = 37.3 GB


con 500 millones de celdas y servidor de detección con un
8 cadenas de mensajes índice con 500 millones de
celdas y 8 cadenas de
mensajes:
500 millones de celdas* 14

bytes + 8 * 700 MB = 6.5 GB
+ 5.5 GB = 12 GB.
Aumentar la memoria para el servidor de detección (lector de

archivos)
Este tema proporciona instrucciones para aumentar la asignación de memoria del
lector de archivos para un servidor de detección.
Estas instrucciones suponen que ha realizado los cálculos necesarios.
Para aumentar la memoria para el procesamiento del servidor de detección
1 En la consola de administración de Enforce Server, navegue a la pantalla
Detalle del servidor - Configuración avanzada del servidor para el servidor
de detección donde el índice de EDM está implementado o se implementará.
2 Localice la configuración siguiente: BoxMonitor.FileReaderMemory.
3 Cambie el valor -Xmx4G en la cadena siguiente para que coincida con los
cálculos que ha hecho.
-Xrs -Xms1200M -Xmx4G -XX:PermSize=128M -XX:MaxPermSize=256M
Por ejemplo: -Xrs -Xms1200M -Xmx11G -XX:PermSize=128M
-XX:MaxPermSize=256M
4 Guarde la configuración y reinicie el servidor de detección.
Uso de la hoja de cálculo de requisitos de memoria de EDM

La hoja de cálculo de los requisitos de memoria de EDM es una herramienta que
se puede usar para determinar la cantidad de memoria necesaria en el servidor
de detección para ejecutar sus índices. Está disponible como hoja de cálculo de
Excel en la Base de consulta de Symantec Data Loss Prevention en:
https://support.symantec.com/en_US/article.DOC8255.html
Figura 21-1 muestra un ejemplo de la hoja de cálculo con cuatro cadenas de
mensajes y tres índices.
Figura 21-1 Hoja de cálculo de los requisitos de memoria de EDM
Para computar la RAM requerida para ejecutar sus índices, escriba la siguiente
información:
1. Obtenga la cantidad de cadenas de mensajes de la configuración avanzada
del servidor de MessageChain.NumChains y escriba ese número en Cantidad
de cadenas de mensajes.
2. Obtenga la cantidad de celdas en cada índice (se puede especificar hasta 10
índices) y escriba ese número en Cantidad de celdas en el índice.
Cuando se cambia cualquier valor, la hoja de cálculo actualiza el campo Memoria
RAM requerida.
El valor en el campo Memoria RAM requerida es la cantidad de memoria que se
necesita para ejecutar los índices especificados. Ver "Aumentar la memoria para
el servidor de detección (lector de archivos)" en la página 571. para obtener
Indización de EDM remoto
información sobre cómo actualizar el parámetro -Xmx en la configuración

BoxMonitor.FileReaderMemory.

Un índice de EDM hace corresponder los datos que usted desea proteger con el
perfil de datos estructurados. El flujo de trabajo típico de EDM para crear el índice
de EDM es cargar el archivo de origen de datos a Enforce Server, crear el perfil
de datos estructurados e indizar el origen de datos. En vez de cargar el archivo de
origen de datos a Enforce Server para su indización, puede indizar el origen de
datos localmente y de manera segura usando el indizador de EDM remoto.
Por ejemplo, si la copia del archivo de origen de datos confidencial en Enforce
Server presenta un posible problema logístico o para la seguridad, se puede utilizar
el indizador de EDM remoto para crear el índice cifrado directamente en el host
del origen de datos antes de mover el índice a Enforce Server. Si está actualizando
a la versión más reciente de Symantec Data Loss Prevention, es posible que quiera
utilizar el indizador de EDM remoto para poner al día sus índices existentes de
EDM.
El indizador de EDM remoto es una herramienta independiente que le deja indizar
el archivo de origen de datos directamente en el host del origen de datos.
Ver "Requisitos del sistema para la indización de EDM remota" en la página 574.
Acerca del indizador de EDM remoto

La utilidad del indizador de EDM remoto convierte un archivo de origen de datos
en un índice de EDM. La utilidad es similar al indizador de EDM local usado por
Enforce Server. Sin embargo, el indizador de EDM remoto está diseñado para el
uso en un equipo que no es parte de la configuración de servidor de Symantec
El uso del indizador de EDM remoto para indizar un origen de datos en un equipo
remoto tiene las ventajas siguientes sobre el uso del indizador de EDM en Enforce
Server:
■ Permite al propietario de los datos, en lugar de permitir al administrador de
Symantec Data Loss Prevention, indizar los datos.
■ Desplaza la carga de sistema necesaria para indizar en otro equipo. La CPU y
la memoria RAM en Enforce Server están reservados para otras tareas.

Ver "Flujo de trabajo para la indización de EDM remota" en la página 574.
Acerca del indizador previo de SQL

Se utiliza la utilidad indizador previo de SQL con el indizador de EDM remoto para
realizar consultas de SQL frente a las bases de datos de Oracle y para canalizar
los datos resultantes al indizador de EDM remoto para indización.
Ver "Requisitos del sistema para la indización de EDM remota" en la página 574.
La utilidad indizador previo de SQL está instalada en el directorio
\SymantecDLP\Protect\bin durante la instalación del indizador de EDM remoto.
La utilidad indizador previo de SQL genera un índice directamente desde una base
de datos SQL de Oracle. El indizador previo de SQL procesa la consulta de base
de datos y la transmite a la entrada estándar de la utilidad del indizador de EDM
remoto.
Para utilizar el origen de datos del indizador previo de SQL debe estar relativamente
limpio puesto que los datos de resultado de la consulta se transmiten directamente
al indizador de EDM remoto.
Requisitos del sistema para la indización de EDM remota

El indizador de EDM remoto se ejecuta en las versiones del sistema operativo de
Windows y de Linux que se admiten para los servidores de Symantec Data Loss
Prevention. Consulte la Guía de compatibilidad y requisitos del sistema de Symantec
Data Loss Prevention para obtener más información sobre el soporte del sistema
operativo.
El indizador previo de SQL utiliza las bases de datos de Oracle y requiere un origen
de datos relativamente limpio.
Los requisitos de RAM para usar el indizador de EDM remoto varían según el
tamaño del origen de datos indizado y del número de columnas de varios tokens
en el origen de datos.
Flujo de trabajo para la indización de EDM remota

Esta sección resume los pasos para indizar un archivo de datos en un equipo
remoto y después usar el índice en Symantec Data Loss Prevention.
Tabla 21-36 Pasos para usar el indizador de EDM remoto
Paso 1 Instale el indizador de EDM Ver "Acerca de la instalación y la ejecución del indizador de EDM remoto y
remoto en un equipo que no de las utilidades del indizador previo de SQL" en la página 576.
sea parte del sistema
Symantec Data Loss
Prevention.
Paso 2 Cree Perfil de datos En Enforce Server, genere una plantilla de perfil de EDM usando la extensión
estructurados en Enforce de nombre de archivo *.edm y especifique la cantidad de columnas exacta
Server para usar con el que desea indizar.
indizador de EDM remoto.
en la página 577.
Paso 3 Copie el archivo de Perfil de Descargue la plantilla de perfil de Enforce Server y cópiela en el equipo host
datos estructurados en el del origen de datos remoto.
equipo donde reside el
Ver "Descarga y copia del archivo de perfil de EDM a un sistema remoto"
en la página 580.
Paso 4 Ejecute el indizador de EDM Si tiene un archivo de origen de datos limpio, utilice RemoteEDMIndexer con
remoto y cree los archivos las opciones -data, -profile y -result.
del índice.
Si el origen de datos es una base de datos de Oracle, utilice SqlPreindexer y
RemoteEDMIndexer para indizar el origen de datos directamente con -alias
(host de base de datos Oracle), credenciales de -username y -password y la
cadena -query o -query_path
Paso 5 Copie los archivos del índice Copie los archivos *.pdx y *.rdx resultantes del equipo remoto al host de
del equipo remoto en Enforce Server en C:\SymantecDLP\Protect\index.
Enforce Server.
en la página 583.
Paso 6 Cargue los archivos del Actualice el perfil de EDM cargando el índice externamente generado.
índice en Enforce Server.
Envíe el perfil para indizar.

en la página 583.
Paso 7 Solucione los problemas que Verifique que la indización se inicie y complete.
ocurran durante el proceso
Compruebe los eventos del sistema en busca del código 2926 ("Perfil de datos
de la indización de
exactos creados" y "Origen de datos guardado").
direcciones.
Los archivos ExternalDataSource.<name>.rdx y *.pdx se eliminan del
directorio de índice y se reemplazan por el archivo DataSource.<profile
id>.<version>.rdxver.
Ver "Solución de errores de indización remota" en la página 588.
Paso 8 Cree la política con la Es necesario ver los datos de la columna para definir la condición de EDM.
condición de EDM.
Acerca de la instalación y la ejecución del indizador de EDM remoto

y de las utilidades del indizador previo de SQL
El indizador de EDM remoto se instala del mismo programa de instalación que los
otros componentes de Symantec Data Loss Prevention. El indizador previo de SQL
se instala automáticamente cuando se instala el indizador de EDM remoto . Ambas
utilidades se ejecutan con de la línea de comandos y se guardan en
/SymantecDLP/Protect/bin.

Para instalar el indizador de EDM remoto, copie ProtectInstaller.exe (Windows)
o el archivo ProtectInstaller.sh (Linux) en el equipo remoto donde residen los
datos para indizar. Al ejecutar el instalador, elija instalar el "indizador" solamente
y ningún otro componente. El instalador de Linux para el indizador de EDM remoto
es un programa que se ejecuta desde la consola del comando.
Ver "Instalar el indizador de EDM remoto (Windows)" en la página 590.
Ver "Instalar el indizador de EDM remoto (Linux)" en la página 591.
El indizador de EDM remoto y el indizador previo de SQL ejecutado desde la línea
de comandos. Si está en el sistema Linux, cambie los usuarios al usuario “protect”
antes de ejecutar el indizador previo de SQL. (El programa de instalación crea el
usuario “protect”).
Nota: Para instalaciones de Data Loss Prevention de dos y tres niveles, no es

necesario instalar el indexador de EDM remoto en el mismo sistema que alberga
a un servidor de detección. Consulte la Guía de instalación de Symantec Data Loss
Cómo crear una plantilla de perfil de EDM para la indización remota

El indizador de EDM usa un Perfil de datos exactos cuando se ejecuta para
asegurarse de que los datos tienen el formato correcto. Es necesario crear el Perfil
de datos exactos antes de usar el indizador de EDM remoto. El perfil es una plantilla
que describe las columnas que se usan para ordenar los datos. El perfil no necesita
contener datos. Una vez creado el perfil, cópielo al equipo que ejecuta el indizador
de EDM remoto.
Para crear un perfil de EDM para la indización remota
1 Desde la consola de administración de Enforce Server, vaya a la pantalla
Administrar > Perfiles de datos > Datos estructurados.
2 Haga clic en Agregar perfil de datos estructurados.
3 En el campo Nombre, escriba un nombre para el perfil.
4 En el campo Origen de datos, seleccione Usar este nombre de archivo y
escriba el nombre del archivo de índice para crear con la extensión *.edm.
Es necesario seleccionar esta opción puesto que solo está creando la plantilla
de perfil en este punto. Podrá indizar el perfil con el origen de datos usando
el indizador de EDM remoto. Escriba el nombre de archivo del origen de datos
que planea crear para la indización de EDM remoto. Asegúrese de nombrar
el archivo de origen de datos exactamente de la misma manera que lo escribió
aquí.
en la página 517.
Una vez que haya copiado el índice remoto generado de nuevo en Enforce
Server, se utiliza la opción Cargar índice generado externamente para cargar
el índice remoto en la plantilla de perfil
en la página 583.
5 En el cuadro de texto Cantidad de columnas, especifique la cantidad de

columnas en el origen de datos que se indizará.
Para la indización de EDM remoto, debe especificar la Cantidad de columnas
exacta que tiene el índice. Asegúrese de incluir la cantidad de columnas exacta
que se especifica aquí en el archivo de origen de datos.
en la página 517.
6 Si la primera fila del origen de datos contiene los nombres de columna,
seleccione la opción Leer la primera fila como nombres de columna.
7 En el cuadro de texto Umbral de error, escriba el porcentaje máximo de filas
que pueden contener errores.
Si durante la indización del origen de datos la cantidad de filas con errores
excede el porcentaje que se especifica aquí, la operación de la indización falla.
8 En el campo Carácter separador de columnas, seleccione el tipo de carácter
que se usa en su origen de datos para separar las columnas de datos.
9 En el campo Codificación de archivo, seleccione la codificación de caracteres
que se usa en su origen de datos.
Si se usan los caracteres latinos, seleccione la opción ISO-8859-1. Para los
idiomas asiáticos del este, use las opciones UTF-8 o UTF-16.
10 Haga clic en Siguiente para asignar los títulos de columna del origen de datos
al perfil.
11 En la sección Asignaciones de campo, asigne Campo de origen de datos

a Campo de sistema para cada columna seleccionando el nombre de columna
de la lista desplegable Campo de sistema.
La lista Campo de origen de datos enumera la cantidad de columnas que
usted especificó en la pantalla anterior. El Campo de sistema contiene una
lista de títulos de columna estándar. Si los títulos de columna en su origen de
datos coinciden con las opciones disponibles en la lista Campo de sistema,
asigne cada uno como corresponda. Asegúrese de hacer coincidir la selección
de la columna Campo de sistema con su columna numerada correspondiente
en Campo de origen de datos.
Por ejemplo, para un origen de datos que haya especificado en el perfil con
tres columnas, la configuración de la asignación puede ser:
Campo de origen de datos Campo de sistema
Col 1 Nombre
Col 2 Apellidos
Col 3 Número de la seguridad social
12 Si Campo de origen de datos no se asigna a un valor de título en las opciones

disponibles de la columna Campo de sistema, haga clic en el vínculo Vista
avanzada.
En Vista avanzada, el sistema muestra una columna Nombre personalizado
al lado de la columna Campo de sistema.
Escriba el nombre de columna correcto en el cuadro de texto que corresponde
a la columna apropiada en el origen de datos.
Opcionalmente, se puede especificar el tipo de datos para Nombre
personalizado que usted escribió seleccionando el tipo de datos de la lista
desplegable Tipo. Estos tipos de datos son definidos por el sistema. Haga clic
en el vínculo descripción al lado del nombre de Tipo para obtener información
en cada tipo de datos definidos por el sistema.
13 Si se propone usar Perfil de datos exactos para implementar una plantilla de
políticas que contenga una o más reglas de EDM, puede validar sus
asignaciones del perfil para la plantilla. Para hacer esto, seleccione la plantilla
de la lista desplegable Compruebe las asignaciones con la plantilla de
política y haga clic en Comprobar ahora. El sistema indica cualquier campo
no asignado que la plantilla necesite.
14 No seleccione ninguna opción de Indización disponible en esta pantalla,

puesto que pretende indizar remotamente.
15 Haga clic en Finalizar para completar el proceso de creación del perfil.
Descarga y copia del archivo de perfil de EDM a un sistema remoto

Descarga y copia del perfil de EDM al sistema remoto
1 Configure un perfil exacto de datos.
en la página 577.
2 Descargue el perfil de EDM seleccionando el vínculo descargar perfil en la
pantalla de Administrar > Perfiles de datos > Datos exactos.
El sistema le solicita que guarde el perfil de EDM como archivo. La extensión
de archivo es *.edm.
Si el equipo host de origen de datos donde intenta ejecutar el indizador de
EDM remoto está disponible en la misma subred que Enforce Server, puede
navegar a ese equipo y seleccionarlo como destino. Si no, copie manualmente
el perfil en el sistema remoto.
4 Utilice el perfil para indizar el origen de datos usando el indizador de EDM
remoto.
Generar archivos de índice remotos

Se utiliza la utilidad Indizador de EDM remoto de la línea de comandos para generar
un índice de EDM para importar a Enforce Server. Es posible utilizar el indizador
de EDM remoto para indizar el archivo de origen de datos que ha generado y
limpiado. O puede canalizar el resultado del indizador previo de SQL a la entrada
estándar del indizador de EDM remoto. El indizador previo de SQL requiere un
origen de datos de la base de datos de Oracle y datos limpios.
Cuando el proceso de indización se completa, el indizador de EDM remoto genera
varios archivos en el directorio especificado del resultado. Estos archivos se
nombran como el archivo de datos indizado, con un archivo con la extensión .pdx
y otro archivo con la extensión .rdx. El sistema genera 12 archivos .rdx
denominados ExternalDataSource.<DataSourceName>.rdx.0 -
ExternalDataSource.<DataSourceName>.rdx.11.
Tabla 21-37 Opciones para generar índices de EDM remotos
Caso de uso Descripción Observaciones
Indizador de EDM remoto con archivo Especifique el archivo de origen de Utilícelo cuando tenga un archivo de
de origen de datos. datos, perfil de EDM, directorio de origen de datos limpio; utilícelo para
salida. actualizar a DLP 14.0.
Ver "Ejemplos de indización remota

de direcciones con el archivo de
origen de datos" en la página 581.
Indizador de EDM remoto con Consulte la base de datos y canalice Requiere la base de datos de Oracle
indizador previo de SQL el resultado a stdin del indizador de y los datos limpios.
EDM remoto.
Ver "Ejemplos de indización remota
de indizador previo de SQL"
en la página 582.
Ejemplos de indización remota de direcciones con el archivo de

origen de datos
Para utilizar el indizador de EDM remoto para indizar un archivo de origen de datos
que se han generado y limpiado, se especifica el nombre de archivo del origen de
datos y la ruta local (-data), el nombre de archivo de perfil de EDM y la ruta local
(-profile) y el directorio de salida para los archivos de índice generados (-result).
La sintaxis para usar el indizador de EDM remoto para generar un índice de un
archivo sin formato de origen de datos limpio es la siguiente:
RemoteEDMIndexer -data=<local data source filename and path>

-profile=<local *.edm profile file name and path>
-result=<local output directory for *.rdx and *pdx index files>
Por ejemplo:
RemoteEDMIndexer -data=C:\EDMIndexDirectory\CustomerData.dat
-profile=C:\EDMIndexDirectory\RemoteEDMProfile.edm
-result=C:\EDMIndexDirectory\
Este comando genera un índice de EDM usando el archivo sin formato de origen
de datos local CustomerData.dat y el archivo local RemoteEDMProfile.edm que
generó y copió de Enforce Server al host remoto, donde \EDMIndexDirectory es
el directorio para colocar los archivos de índice generados.
Cuando la generación de los índices es correcta, la utilidad muestra el mensaje
"Índice creado correctamente" como última línea de resultado.
Además, los archivos de índice siguientes se crean y se colocan en el directorio

-result:
■ ExternalDataSource.CustomerData.pdx
■ ExternalDataSource.CustomerData.rdx
Doce archivos, denominados ExternalDataSource.<DataSourceName>.rdx.0 -

ExternalDataSource.<DataSourceName>.rdx.11 siempre se generan. Copie estos
archivos a Enforce Server y actualice el perfil de EDM usando el índice remoto.
Ver "Opciones de comando del indizador de EDM remoto" en la página 586.
Ejemplos de indización remota de indizador previo de SQL

Si el origen de datos es una base de datos de Oracle y tiene datos limpios se puede
indizar el origen de datos directamente usando el indizador previo de SQL con el
La sintaxis es la siguiente:
SqlPreindexer -alias=<oracle connect string: //host:port/SID>

-username=<DB user> -password=<DB password> -query=<sql to run> |
RemoteEDMIndexer -profile=<*.edm profile file name and path>
-result=<output directory for index files>
Por ejemplo:
SqlPreindexer -alias=@//myhost:1521/orcl -username=scott -password=tiger

-query="SELECT name, salary FROM employee" |
RemoteEDMIndexer -profile=C:\ExportEDMProfile.edm -result=C:\EDMIndexDirectory\
Con este comando, la utilidad indizador previo de SQL se conecta con la base de
datos de Oracle y se ejecuta con la consulta de SQL para recuperar datos del
nombre y del sueldo de la tabla del empleado. El indizador previo de SQL devuelve
el resultado de la consulta a stdout (la consola del comando). La consulta de SQL
debe estar entre comillas. El comando indizador de EDM remoto se ejecuta con la
utilidad y lee el resultado de la consulta de la consola stdin. El indizador de EDM
remoto indiza los datos usando el perfil de ExportEDMProfile.edm según lo
especificado por el nombre de archivo del perfil y la ruta de archivo local.
Cuando la generación de los índices es correcta, la utilidad muestra el mensaje
"Índice creado correctamente" como última línea de resultado.
Además, la utilidad coloca los siguientes archivos de índice generados en el
directorio -result EDMIndexDirectory:
■ ExternalDataSource.CustomerData.pdx
■ ExternalDataSource.CustomerData.rdx
Aquí hay otro ejemplo con los comandos indizador de EDM remoto e indizador
previo de SQL:
SqlPreindexer -alias=@//localhost:1521/CUST -username=cust_user -password=cust_pword

-query="SELECT account_id, amount_owed, available_credit FROM customer_account" -verbose |
RemoteEDMIndexer -profile=C:\EDMIndexDirectory\CustomerData.edm
-result=C:\EDMIndexDirectory\ -verbose
Aquí el comando indizador previo de SQL la tabla de CUST.customer_account en

la base de datos para los registros account_id, amount_owed y available_credit.
El resultado se transmite al indizador de EDM remoto que genera archivos del
índice basados en el perfil de CustomerData.edm. La opción -verbose se utiliza
para solucionar problemas.
Como alternativa a la cadena SQL -query se puede utilizar la opción -query_path
y especificar la ruta de acceso y el nombre para la consulta SQL (*.sql). Si no
especifica una consulta o una ruta de consulta, se consulta la base de datos entera.
SqlPreindexer -alias=@//localhost:1521/cust -username=cust_user -password=cust_pwrd

-query_path=C:\EDMIndexDirectory\QueryCust.sql -verbose |
RemoteEDMIndexer -profile=C:\EDMIndexDirectory\CustomerData.edm
-result=C:\EDMIndexDirectory\ -verbose
Ver "Opciones del comando indizador previo de SQL" en la página 584.
Copiar y cargar archivos de índice remoto en Enforce Server

Los siguientes archivos se crean en el directorio -result cuando se indiza
remotamente un origen de datos:
■ ExternalDataSource.<DataSourceName>.pdx
■ ExternalDataSource.<DataSourceName>.rdx.0 -
ExternalDataSource.<DataSourceName>.rdx.11
Una vez que se crean los archivos del índice en un equipo remoto, los archivos se
deben copiar en Enforce Server, cargar en el perfil de EDM remoto creado
previamente e indizar.
en la página 577.
Para copiar y cargar los archivos en Enforce Server

1 Vaya al directorio donde los archivos del índice fueron generados. (Este
directorio es el especificado en la opción -result).
2 Copie todos los archivos del índice con las extensiones .pdx y .rdx al directorio
del índice en Enforce Server. Este directorio se encuentra en
\SymantecDLP\Proteger\Index (Windows) o /var/SymantecDLP/index
(Linux).
3 Desde la consola de administración de Enforce Server, vaya a la pantalla
Administrar > Políticas > Datos estructurados.
Esta pantalla enumera todos los perfiles de datos estructurados en el sistema.
4 Haga clic en el nombre del Perfil de datos estructurados que usted usó con el
5 Para cargar los nuevos archivos del índice, vaya a la sección Origen de datos
de Perfil de datos estructurados y seleccione Cargar índice generado
externamente.
6 En la sección Indización, seleccione Enviar trabajo de indización al guardar.
Como alternativa a indizar inmediatamente al guardar, considere programar
un trabajo en el equipo remoto para ejecutar el indizador de EDM remoto
periódicamente. El trabajo debe además copiar los archivos generados al
directorio del índice en Enforce Server. Es posible programar la carga de los
archivos del índice actualizados en Enforce Server del perfil seleccionando
Cargar índice generado externamente y Enviar trabajo de indización al
programar y configurando una programación de indización.
Ver "Use la indización programada para automatizar las actualizaciones del
perfil" en la página 600.
Opciones del comando indizador previo de SQL

En la instalación, la utilidad indizador previo de SQL está disponible en
\SymantecDLP\Protect\bin (Windows) y /SymantecDLP/Protect/bin (Linux).
El indizador previo de SQL proporciona una interfaz de línea de comandos. El

sintaxis para ejecutar la utilidad es la siguiente:
SqlPreindexer -alias=<@//oracle_host:port/SID> -username=<DB_user> [options]
Tenga en cuenta lo siguiente sobre los argumentos:

■ El indizador previo de SQL requiere los argumentos -alias y -username.
■ Si omite la opción -password, se le solicita al usuario especificarla.

■ Si utiliza la opción -query, la cadena de consulta de SQL debe estar entre
comillas.
■ Si omite la opción -query, la utilidad indiza la base de datos entera.
■ Para consultar usando comodines, utilice la opción -query_path. El indizador
previo de SQL no admite el uso de comodines de la línea de comandos usando
la opción -query. Por ejemplo: "select * from CUST_DATA" no funciona con
-query; es necesario consultar cada campo de columna individual: "select
cust_ID, cust_Name, cust_SSN from CUST_DATE." La consulta "select * from
CUST_DATA" funciona con el comando -query_path.
Ver "Ejemplos de indización remota de indizador previo de SQL" en la página 582.
Tabla 21-38 enumera las opciones de comando para el indizador previo de SQL.
Tabla 21-38 Opciones del comando indizador previo de SQL
Opción Resumen Descripción
-alias Cadena de conexión de la Especifica el alias de la base de datos que se utiliza para
base de datos de Oracle conectar con la base de datos en el formato siguiente:
@//oracle_DB_host:port/SID
Obligatorio
Por ejemplo:
-alias=@//myhost:1521/ORCL
-alias=@//localhost:1521/CUST
-driver Clase de controlador de Especifica la clase de controlador de JDBC, por ejemplo,

JDBC de Oracle oracle.jdbc.driver.OracleDriver.
-encoding Codificación de carácter Especifica la codificación de caracteres de datos para indizar.

(iso-8859-1) El valor predeterminado es iso-8859-1.
Los datos con caracteres no ingleses deben utilizar UTF-8 o

UTF-16.
-password Contraseña de la base de Especifica la contraseña de la base de datos.

datos de Oracle
Si esta opción no se especifica, la contraseña se lee de stdin.
-query Consulta SQL Esta opción especifica la consulta SQL para ejecutar. La
instrucción debe incluirse entre comillas.
Si omite la opción -query, la utilidad indiza la base de datos

entera.
-query_path Script de SQL Especifica el nombre de archivo y la ruta de acceso local que
contiene una consulta SQL para ejecutarse. Debe ser la ruta
completa.
Esta opción se puede usar como alternativa a la opción
-query cuando la consulta es una instrucción de SQL larga.
-separator Separador de columna de Especifica si el separador de columna de la salida es una

salida (tabulación) coma, una barra vertical o una tabulación. El separador
predeterminado es una tabulación.
Para especificar un separador de coma o el separador de

barra vertical, incluya el carácter de separador entre comillas:
"," or "|".
-subprotocol Controlador reducido de Especifica el subprotocolo de cadena de conexión de JDBC

Oracle (por ejemplo, oracle:thin).
-username Usuario de la base de Especifica el nombre del usuario de base de datos.

datos de Oracle
Obligatorio
-verbose Imprime resultados Muestra un resumen estadístico de la operación cuando se

detallados para completa.
depuración.
Ver "Cómo solucionar errores previos a la indización"
en la página 587.
Opciones de comando del indizador de EDM remoto

En la instalación, la utilidad indizador de EDM remoto está disponible en
\SymantecDLP\Protect\bin (Windows) y /SymantecDLP/Protect/bin (Linux).
Si está en Linux, cambie los usuarios al usuario de “protect” antes de ejecutar el

indizador de EDM remoto. (El programa de instalación crea el usuario “protect”).
El indizador de EDM remoto proporciona una interfaz de línea de comandos. El
sintaxis para ejecutar la utilidad es la siguiente:
RemoteEDMIndexer -profile=<file *.edm> -result=<out_dir> [options]
Tenga en cuenta lo siguiente sobre la sintaxis:

■ El indizador de EDM remoto requiere los argumentos -profile y -result.
■ Si utiliza un archivo de origen de datos simple como entrada, es necesario
especificar el nombre de archivo y la ruta local usando la opción -data.
■ Se omite la opción -data cuando se utiliza el indizador previo de SQL para

canalizar los datos al indizador de EDM remoto.
Ver "Ejemplos de indización remota de direcciones con el archivo de origen de
Tabla 21-39 describe las opciones de comando para el indizador de EDM remoto.
Tabla 21-39 Opciones de comando del indizador de EDM remoto
-data Origen de datos para indizar Especifica el origen de datos para indizar. Si esta opción no
(stdin) se especifica, la utilidad lee datos de stdin.
Requerido si se utiliza un Requerido si usa el archivo de origen de datos y no el

archivo simple indizador previo de SQL.
-encoding Codificación de caracteres Especifica la codificación de caracteres de datos para indizar.

de datos para indizar El valor predeterminado es ISO-8859-1.
(ISO-8859-1)
Utilice UTF-8 o UTF-16 si los datos contienen caracteres que
no sean del idioma inglés.
-ignore_date Omita la fecha de caducidad Anula la fecha de caducidad de Perfil de datos estructurados
del perfil de EDM si el perfil ha caducado. (De forma predeterminada, el Perfil
de datos estructurados caduca después de 30 días).
-profile El archivo contiene el perfil Especifica el Perfil de datos estructurados que se usará. Este
de EDM perfil es el que se selecciona haciendo clic en el “vínculo de
descarga” en la pantalla Datos estructurados en la consola
Obligatorio
-result Directorio para poner los Especifica el directorio donde se generan los archivos del
índices resultantes índice.
Obligatorio
-verbose Mostrar resultado detallado Muestra un resumen de estadística de la operación de

indización de direcciones cuando el índice está completo.
Ver "Cómo solucionar errores previos a la indización"

en la página 587.
Cómo solucionar errores previos a la indización

Si recibe un error de que el indizador previo de SQL no pudo realizar la consulta
o no pudo prepararse para indizar, verifique que la cadena -query esté entre
comillas. Es posible probar la cadena -query al ejecutar solamente el comando de
indizador previo de SQL. Si el comando está correcto, los datos consultados de la

base de datos se muestran en la consola como stdout.
Es posible encontrar errores cuando se indiza una gran cantidad de datos. El
conjunto de datos contiene a menudo un registro de datos incompleto, incoherente
o inexacto. Las filas de datos que contienen más columnas que tipos de datos
previstos o incorrectos de la columna a menudo no se pueden indizar correctamente
y son desconocidas.
El indizador previo de SQL se puede configurar para proporcionar un resumen de
la información sobre la operación de la indización de direcciones cuando se
completa. Para hacerlo, especifique la opción detallada al ejecutar el indizador
previo de SQL.
Para ver las filas de los datos que el indizador de EDM remoto no indizó, ajuste la
configuración en el archivo Indexer.properties usando el procedimiento siguiente.
Para registrar esas filas de datos que no fueron indizadas
1 Localice el archivo Indexer.properties en
\SymantecDLP\Protect\config\Indexer.properties (Windows) o
/SymantecDLP/Protect/config/Indexer.properties (Linux).
2 Abra el archivo en un editor de texto.

3 Localice las propiedades de create_error_file y cambie la configuración
de “false” a “true”.
4 Guarde y cierre el archivo Indexer.properties.
El indizador de EDM remoto registra errores en un archivo con el mismo nombre
que el archivo de datos que es indizado y el sufijo .err.
Las filas de los datos que se detallan en el archivo de error no se cifran. Proteja
el archivo de error para reducir al mínimo cualquier riesgo para la seguridad
de la exposición de los datos.
Solución de errores de indización remota

El indizador de EDM remoto muestra un mensaje que indica si la operación de
indización de direcciones era correcta o no. Si el indizador de EDM remoto crea
con éxito el índice, la consola muestra el mensaje "Índice creado correctamente"
como la última línea de resultado. Además, los archivos *.pdx y *.rdx se crean
en el directorio -result.
El resultado depende del umbral del error que se especifica en el perfil de EDM.
Cualquier porcentaje del error en el umbral se completa correctamente. La
información detallada sobre la operación de indización está disponible con la opción

-verbose.
Ver "Opciones de comando del indizador de EDM remoto" en la página 586.
Si la generación de índice no se ejecuta correctamente, pruebe estas sugerencias
de solución de problemas:
Tabla 21-40 Sugerencias de solución de problemas del indizador remoto
Error Síntoma Descripción
Archivos de índice Utilice la opción -verbose en el Especificar la opción detallada el ejecutar al indizador de EDM
no generados comando revelar el mensaje de remoto proporciona un resumen estadístico de la información
error. sobre la operación de indización una vez completada. Esta
información incluye la cantidad de errores y el lugar donde
ocurrieron los errores.
"No se pudo crear Verifique los nombres de Verifique que se incluya la ruta de acceso completa y el nombre
el índice" archivo y de ruta. de archivo apropiado para el archivo -data y el archivo -profile
(*.edm). Las rutas deben ser locales al host.
"No se puede
computar el índice"
"No se puede
generar el índice"
"El destino no es un Ruta de directorio incorrecta. Verifique que se especifique correctamente la ruta de acceso
directorio" completa al directorio de destino para el argumento -result
requerido.
Archivo *.idx en No utilizó el argumento -data Se requiere la opción -data si está utilizando un archivo de
vez de archivo origen de datos y no el indizador previo de SQL. Es decir, la
*.rdx única vez que no utiliza el argumento -data es cuando está
utilizando el indizador previo de SQL.
Si ejecuta el indizador de EDM remoto sin la opción -data y

ninguna consulta del indizador previo de SQL, obtiene un
archivo *.idx y *.rdx que no se puede utilizar para índice
de EDM. Vuelva a ejecutar el índice usando la opción -data o
un indizador previo de SQL -query o -query-path.
Además, se pueden encontrar errores cuando se indiza una gran cantidad de datos.
El conjunto de datos contiene a menudo un registro de datos incompleto,
incoherente o con formato incorrecto. Las filas de datos que contienen más
columnas que tipos de datos previstos o incorrectos a menudo no se pueden indizar
correctamente y son desconocidas. Las filas de datos con errores no pueden ser
indizadas hasta que se corrigen esos errores y se vuelve a ejecutar el indizador
de EDM remoto. Symantec proporciona un par de maneras de conseguir información
acerca de cualquier error y el resultado correcto de la operación de la indización.
Para ver las filas reales de datos que el indizador de EDM remoto no pudo indizar,
modifique el archivo Indexer.properties.
Para modificar el archivo Indexer.properties y consultar los errores de indización
remota
1 Localice el archivo Indexer.properties en
\SymantecDLP\Protect\config\Indexer.properties (Windows) o
/opt/SymantecDLP/Protect/config/Indexer.properties (Linux).
2 Para editar el archivo, ábralo en un programa de edición de texto.

3 Localice el parámetro create_error_file de las propiedades y cambie el valor
“false” a “true”.
4 Guarde y cierre el archivo Indexer.properties.
El indizador de EDM remoto registra errores en un archivo con el mismo nombre
que el archivo de datos indizado y con la extensión .err. Este archivo de error
se crea en el directorio de los registros.
Las filas de los datos que se detallan en el archivo de error no se cifran. Cifre
el archivo de error para reducir al mínimo cualquier riesgo para la seguridad
de la exposición de los datos.
Instalar el indizador de EDM remoto (Windows)

El indizador de EDM remoto (Windows) se instala del mismo programa de instalación
que los otros componentes de Symantec Data Loss Prevention.
Ver "Instalar el indizador de EDM remoto (Linux)" en la página 591.
Para instalar el indizador de EDM remoto en Windows
1 Copie el archivo ProtectInstaller_14.0.exe en el equipo remoto donde
residen los datos que necesitan ser indizados.
2 Vaya al directorio donde copió el instalador de ProtectInstaller_14.0.exe.
Es posible que deba cambiar los permisos de archivo para tener acceso al
archivo.
3 Ejecute el programa de instalación haciendo doble clic en el archivo
ProtectInstaller_14.0.exe.
Los archivos del instalador se desembalan y aparece la pantalla de bienvenida.

4 Haga clic en Siguiente y después acepte el Acuerdo de licencia de software
de Symantec para continuar.
5 Seleccione Controlador paso a paso de la lista de componentes que aparece

y haga clic en Siguiente.
6 En la pantalla Seleccionar directorio de destino, haga clic en Siguiente
para aceptar la ubicación de instalación predeterminada (recomendada).
Alternativamente, haga clic en Examinar para navegar a una ubicación de
instalación diferente y después haga clic en Siguiente.
7 Elija una carpeta del menú inicio y después haga clic en Siguiente.
La pantalla de instalación aparece y muestra una barra de progreso de
instalación.
8 Haga clic en Finalizar para completar la instalación.
Los archivos para desinstalar el indizador de EDM remoto se encuentran en el
nivel raíz del directorio de instalación de Symantec Data Loss Prevention. Siga
este procedimiento para desinstalar la utilidad en Windows.
Para desinstalar el indizador de EDM remoto de un sistema de Windows
1 En el equipo donde el indizador de EDM remoto está instalado, localice y
ejecute (haga doble clic en) el programa \SymantecDLP\uninstall.exe.
El programa de desinstalación comienza y se muestra la pantalla Desinstalar.
2 Haga clic en Siguiente. Cuándo el proceso de la desinstalación está completo,
se muestra la pantalla Desinstalación finalizada.
3 Haga clic en Finalizar para cerrar el programa.
Instalar el indizador de EDM remoto (Linux)

La versión de Linux del indizador de EDM remoto proporciona una opción de la
consola de comandos basada en texto para instalar el producto. El procedimiento
siguiente describe cómo instalar el indizador de EDM remoto para Linux de la línea
de comandos.
Ver "Instalar el indizador de EDM remoto (Windows)" en la página 590.
Para instalar el indizador de EDM remoto en Linux
1 Inicie sesión en el sistema de Linux como usuario raíz.
2 Copie el archivo ProtectInstaller_14.0.sh en el directorio /tmp en el equipo.
3 Usando una sesión de terminal, cambie el directorio a /tmp al escribir:
cd /tmp
4 Es posible que sea necesario cambiar permisos en el archivo antes de que

pueda ejecutar el archivo. Si es así, escriba:
chmod 775 ProtectInstaller_14.0.sh
5 Una vez que los permisos del archivo se hayan cambiado, puede ejecutar el
archivo ProtectInstaller_14.0.sh, escribiendo:
./ProtectInstaller_14.0.sh -i console
Una vez que se inicia el modo de instalación de la consola, se muestra el paso

de la introducción. Para la mayoría de las circunstancias, se recomienda usar
los valores predeterminados durante la instalación siempre que sea posible.
Pulse Intro para continuar al paso siguiente.
6 En el paso Elegir conjunto de instalación, especifique el componente que
desea instalar. Para instalar el indizador de EDM remoto, escriba el número
al lado de la opción y presione Intro.
7 En el paso Instalar carpeta, escriba la ruta absoluta al directorio donde desea
instalar los archivos. La ubicación predeterminada se puede seleccionar
presionando Intro.
8 En el paso Resumen previo a la instalación, revise la configuración de
instalación que se ha seleccionado. Si está satisfecho con las selecciones,
pulse Intro para comenzar la instalación. O escriba back y pulse Intro hasta
llegar al paso que desee cambiar.
9 Cuando la instalación esté completa, pulse Intro para cerrar el instalador.
Los archivos para desinstalar el indizador de EDM remoto se encuentran en el
nivel raíz del directorio de instalación de Symantec Data Loss Prevention. Siga
este procedimiento para desinstalar la utilidad en Linux.
Para eliminar un indizador de EDM remoto desde la línea de comandos
1 Inicio de sesión como raíz y cambie al directorio de desinstalación escribiendo:
cd /opt/SymantecDLP/Uninstall
2 Ejecute el programa de desinstalación escribiendo:
./Uninstall -i console
3 Siga las instrucciones de la pantalla.

Prácticas recomendadas para usar EDM

EDM es la forma más exacta de detección. Es además las más compleja para
configurar y mantener. Para asegurarse de que sus políticas de EDM sean lo más
exactas posible, considere las recomendaciones en esta sección cuando usted
esté implementando sus perfiles y las políticas de EDM.
La tabla siguiente proporciona un resumen de las consideraciones de la política
de EDM descritas en este capítulo, con los vínculos a los temas individuales para
obtener información más detallada.
Tabla 21-41 Resumen de las prácticas recomendadas de EDM
Asegúrese de que el archivo del origen de datos contenga Ver "Asegúrese de que el origen de datos tenga por lo
por lo menos una columna de datos únicos. menos una columna para los datos únicos"
en la página 594.
Elimine las filas duplicadas y las columnas en blanco antes Ver "Limpie las columnas en blanco y las filas duplicadas
de indizar. del archivo del origen de datos" en la página 595.
Para reducir los falsos positivos, evite usar caracteres Ver "Elimine los tipos de carácter ambiguos del archivo
solos, citas, abreviaturas, campos numéricos con menos del origen de datos" en la página 596.
de 5 dígitos y fechas.
Entienda la indización de varios tokens y limpie cuanto Ver "Entienda cómo funciona la coincidencia de celdas
sea necesario. de varios tokens" en la página 596.
Use el carácter de barra vertical (|) para delimitar las Ver "No utilice el delimitador de coma si el origen de datos
columnas en su origen de datos. tiene campos de número" en la página 597.
Revise un archivo de origen de datos limpio de ejemplo. Ver "Asegúrese de que el origen de datos está limpio para
su indización" en la página 598.
Asigne la columna de origen de datos a los campos del Ver "Asigne la columna de origen de datos a los campos
sistema para utilizar la validación durante la indización. del sistema para utilizar la validación" en la página 598.
Aproveche las plantillas de políticas de EDM siempre que Ver "Aprovechamiento de las plantillas de políticas de
sea posible. EDM cuando es posible" en la página 599.
Incluya los encabezados de columna como la primera fila Ver "Incluya los encabezados de columna como la primera
del archivo de origen de datos. fila del archivo de origen de datos" en la página 599.
Compruebe las alertas del sistema para ajustar los perfiles Ver "Comprobación de las alertas del sistema para ajustar
de datos estructurados. la exactitud del perfil" en la página 600.
Use las palabras irrelevantes para excluir las palabras Ver "Use palabras irrelevantes para excluir las palabras
comunes de la coincidencia. comunes de la detección" en la página 600.
Automatice las actualizaciones del perfil con la indización Ver "Use la indización programada para automatizar las
programada. actualizaciones del perfil" en la página 600.
Busque coincidencias en dos o tres columnas en una regla Ver "Coincidencia con 3 columnas en una condición de
de EDM. EDM para aumentar la exactitud de la detección"
en la página 601.
Utilice las tuplas de excepción para evitar los falsos Ver "Use tuplas de excepción para evitar los falsos
positivos. positivos" en la página 603.
Use una cláusula where para detectar los registros que Ver "Use una cláusula WHERE para detectar registros
cumplen los criterios específicos. que cumplan criterios específicos" en la página 603.
Use el campo de coincidencias mínimas para ajustar las Ver "Use el campo de coincidencias mínimas para ajustar
reglas de EDM. las reglas de EDM" en la página 603.
Considere usar identificadores de datos conjuntamente Ver "Combine identificadores de datos con las reglas de
con las reglas de EDM. EDM para limitar el impacto de la detección de dos niveles"
en la página 604.
Incluya un campo de la dirección de correo electrónico en Ver "Incluya un campo de la dirección de correo electrónico
el perfil de datos estructurados para DGM perfilada. en el perfil de datos exactos para DGM perfilado"
en la página 604.
Use la DGM perfilada para la detección de la identidad Ver "Uso de DGM perfilada para la detección de la
mediante Network Prevent para Web identidad mediante Network Prevent para Web"
en la página 605.
Asegúrese de que el origen de datos tenga por lo menos una

columna para los datos únicos
EDM se diseña para detectar las combinaciones de campos de datos que son
globalmente únicas. Como mínimo, su índice de EDM debe incluir una columna
de datos que contengan un valor único para cada registro en la fila. Los datos de
la columna, tales como número de cuenta, número de la seguridad social y número
de tarjeta de crédito, son intrínsecamente únicos, mientras el estado o el código
postal no es único, ni lo son los nombres. Si no incluye por lo menos una columna
de datos únicos en su índice, su perfil de EDM no detectará exactamente los datos
que desee proteger.
La Tabla 21-42 describe los diversos tipos de datos únicos para incluir en sus
índices de EDM, así como los campos que no son únicos. Es posible incluir los
campos que no son únicos en sus índices de EDM mientras se tenga por lo menos
un campo de columna que sea único.
Tabla 21-42 Ejemplos de datos únicos para las políticas de EDM
Datos únicos para EDM Datos no únicos
Los campos de datos siguientes son generalmente únicos: Los campos de datos siguientes no son únicos:
■ Número de cuenta ■ Nombre
■ Número de tarjeta bancaria ■ Apellidos
■ Número telefónico ■ Ciudad
■ Dirección de correo electrónico ■ Estado
■ Número de la seguridad social ■ Código postal
■ Número de Id. de impuesto ■ Contraseña
■ Número de licencia de conductor ■ Número de PIN
■ Número de empleado
■ Número de seguro
Limpie las columnas en blanco y las filas duplicadas del archivo del
origen de datos
El archivo del origen de datos debe estar tan limpio como sea posible antes de que
se cree el índice de EDM. Si no, es posible que el perfil resultante cree falsos
positivos.
Cuando se crea el archivo del origen de datos, evite incluir celdas vacías o columnas
en blanco. Los campos o las columnas en blanco cuentan como “errores” cuando
se genera el perfil de EDM. Un error del origen de datos es una célula vacía o una
célula con el tipo incorrecto de datos (un nombre que aparece en una columna de
número de teléfono). Si los errores exceden el porcentaje del umbral de error para
el perfil (de forma predeterminada, 5%), el sistema deja de indizar y muestra un
mensaje de error de la indización.
La práctica recomendada es eliminar las columnas en blanco y las celdas vacías
del archivo del origen de datos en lugar de aumentar el umbral de error. Tenga
presente que si tiene muchas celdas vacías, puede que se requiera un umbral de
error del 100% para que el sistema cree el perfil. Si se especifica el 100% como
umbral de error, el sistema indiza el origen de datos sin comprobar la existencia
de errores.
Además, no llene las celdas vacías o los campos en blanco de datos falsos para
cumplir el umbral de error. Agregar datos ficticios o "nulos" al archivo del origen
de datos reducirá la exactitud del perfil de EDM y se desalienta fuertemente. El
contenido que desee supervisar debe ser legítimo y no nulo.
Ver "Acerca de la limpieza del archivo de origen de datos estructurados"
en la página 507.

en la página 516.
Ver "Asegúrese de que el origen de datos está limpio para su indización"
en la página 598.
Elimine los tipos de carácter ambiguos del archivo del origen de

datos
No es posible tener espacios extraños, puntuación y campos completados de
manera incoherente en el archivo del origen de datos. Es posible usar herramientas
como Stream Editor (sed) y AWK para eliminar estos elementos de los archivos
del origen de datos antes de indizarlos.
Tabla 21-43 Caracteres que se deben evitar en el archivo del origen de datos
Caracteres a evitar Explicación
Caracteres solos Los campos de caracteres solos se deben eliminar del archivo del origen de datos.
Estos tienen mayores posibilidades de causar falsos positivos, puesto que un carácter
solo va a aparecer frecuentemente en las comunicaciones normales.
Abreviaturas Los campos abreviados se deben eliminar del archivo del origen de datos por el
mismo motivo que los caracteres solos.
Citas Los campos de texto no se deben incluir en las citas.
Pequeños números Indizar los campos numéricos que contienen menos de 5 dígitos no se recomienda
porque probablemente se generen muchos falsos positivos.
Fechas Los campos de fecha tampoco se recomiendan. Las fechas se tratan como una
cadena, de modo que si usted está indizando una fecha, como 12/6/2007, la cadena
tendrá que coincidir exactamente. El indizador coincidirá solamente con 6/12/2007
y no con ningún otro formato de fecha, como 6 de diciembre de 2007 o 6-12-2007.
Debe ser una coincidencia exacta.
Entienda cómo funciona la coincidencia de celdas de varios tokens

Una regla de EDM realiza una búsqueda de texto completo en el mensaje,
comprobando cada palabra (excepto las que se excluyan por las columnas que se
elige hacer coincidir en la política) en busca de coincidencias potenciales. El
algoritmo de coincidencia compara cada palabra individual del mensaje con el
contenido de cada token en el perfil de datos.
Si una celda en el perfil de datos contiene varias palabras separadas por espacios,
puntuación o caracteres latinos y chinos, japoneses y coreanos (CJK) alternativos,
la celda es una celda de varios tokens. Las partes de subtoken de una celda de
varios tokens obedecen las mismas reglas que las celdas de un solo token: son
normalizadas según su patrón donde la normalización puede aplicarse.
Si una celda contiene varios tokens, los múltiples tokens deben coincidir
exactamente. Por ejemplo, un campo de columna con el valor "Joe Brown" es una
celda de varios tokens (si se presupone que está habilitada la coincidencia de
varios tokens). En el tiempo de ejecución el procesador busca establecer una
coincidencia con la cadena exacta "Joe Brown", incluyendo el espacio (varios
espacios se normalizan a uno). El sistema no establece una coincidencia con "Joe"
y "Brown" si se detectan como tokens únicos.
Además, las celdas de varios tokens son más costosas informáticamente que las
celdas de un solo token. Si el índice incluye las celdas de varios tokens, es
necesario verificar que se tenga bastante memoria para indizar, para cargar y para
procesar el perfil de EDM.
Si se habilita la coincidencia de varios tokens, se omite cualquier puntuación que
esté al lado de un espacio. Por lo tanto, la puntuación antes y después de un
espacio se omite.
Por último, no cambie la configuración de WIP de "false" a "true" a menos que esté
seguro de que es el resultado que desea alcanzar. Es necesario configurar WIP =
false solamente cuando es necesario reducir los criterios de coincidencia, tales
como números de cuenta donde el formato puede cambiar en todos los mensajes.
Asegúrese de que se prueben los resultados de la detección para asegurarse de
que está consiguiendo las coincidencias que espera.
No utilice el delimitador de coma si el origen de datos tiene campos

de número
De los tres tipos de delimitadores de columna que se pueden elegir para separar
los campos en el archivo del origen de datos (barra vertical, comas o tabulación),
se recomienda la pleca o la tabulación (valor predeterminado). El delimitador de
coma es ambiguo y no se debe utilizar, especialmente si uno o más campos en su
origen de datos contienen números. Si utiliza un archivo del origen de datos
delimitado por comas, asegúrese de que no haya comas en el conjunto de datos
con excepción de esas usadas como delimitadores de columna.
Nota: Aunque el sistema también trate los caracteres del símbolo de libra, el signo
de igualdad, el signo más, el punto y coma, y los dos puntos como separadores,
no debe utilizar estos porque, como la coma, tienen un significado ambiguo.
Asigne la columna de origen de datos a los campos del sistema para

utilizar la validación
Cuando se crea el Perfil de datos estructurados, se puede validar qué tan bien
coinciden los campos del origen de datos con los patrones definidos por el sistema
para ese campo. Por ejemplo, si se asigna un campo al patrón del sistema de la
tarjeta de crédito, el sistema validará que los datos coinciden con el patrón del
sistema de la tarjeta de crédito. Si no lo hace, el sistema creará un error para cada
registro que contenga un número de tarjeta de crédito no válido. La asignación de
los campos del origen de datos en los patrones de campo definidos por el sistema
ayuda a garantizar que los campos del índice cumplan los criterios del tipo de
datos.
Si no hay ningún campo correspondiente del sistema para asignar a una columna
del origen de datos, considere crear un campo personalizado para asignar los
datos de la columna del origen de datos. Es posible usar el campo de descripción
para anotar los campos del sistema y los personalizados.
Asegúrese de que el origen de datos está limpio para su indización

La lista siguiente resume un origen de datos limpiado que está listo para su
indización:
■ Contiene por lo menos un campo de columna único.
■ No es un origen de datos de una sola columna; tiene dos o más columnas.
■ Se quitan las celdas y las filas vacías y las columnas en blanco.
■ Se quitan los registros incompletos y duplicados.
■ El número de celdas defectuosas está debajo de la tasa de errores
predeterminada (5%) para indización.
■ Los datos falsos no se utilizan para completar las celdas o las filas en blanco.
■ Se quitan los caracteres incorrectos y ambiguos.
■ Varios tokens cumplen con los requisitos de espacio y memoria.
■ Los campos de columna se validan en función de los patrones definidos por el
sistema que están disponibles.
■ Las asignaciones se validan en función de las plantillas de políticas en caso de
que corresponda.
Ver "Asegúrese de que el origen de datos tenga por lo menos una columna para
los datos únicos" en la página 594.
Ver "Limpie las columnas en blanco y las filas duplicadas del archivo del origen de
Ver "Elimine los tipos de carácter ambiguos del archivo del origen de datos"
en la página 596.
Ver "Entienda cómo funciona la coincidencia de celdas de varios tokens"
en la página 596.
Ver "Asigne la columna de origen de datos a los campos del sistema para utilizar
la validación" en la página 598.
Aprovechamiento de las plantillas de políticas de EDM cuando es

posible
Symantec Data Loss Prevention proporciona varias plantillas de políticas que
implementan las reglas de EDM. La recomendación general es usar las plantillas
de políticas siempre que sea posible cuando se implemente EDM. Si usa una
plantilla de políticas para EDM, es necesario validar el índice contra la plantilla
cuando se configura Perfil de datos estructurados.
Ver "Plantillas de políticas de EDM" en la página 503.
Incluya los encabezados de columna como la primera fila del archivo

de origen de datos
Cuando se extraen los datos de origen al archivo de origen de datos, es necesario
incluir los encabezados de la columna como la primera fila en el archivo de origen
de datos. Incluir los encabezados de columna hará más fácil que se identifiquen
los datos que desee usar en sus políticas.
Los nombres de columna reflejan las asignaciones de columna que se crearon
cuando se agregó el perfil de datos exactos. Si hay una columna sin asignar, se
denomina Col. X, donde X es el número de columna (comienza con 1) en el perfil
de datos original.
Si se va a usar el perfil de datos estructurados para DGM, el archivo debe tener
una columna con el título Correo electrónico o DGM no aparecerá en la lista
desplegable Directorio para EDM (en la página de la reparación).
Comprobación de las alertas del sistema para ajustar la exactitud

del perfil
Es necesario revisar siempre las alertas del sistema una vez que se crea el Perfil
de datos estructurados. Las alertas del sistema proporcionan información muy
específica sobre los problemas encontrados al crear el perfil, tal como un SSN en
un campo de dirección, que afectará la exactitud.
Use palabras irrelevantes para excluir las palabras comunes de la

detección
Durante la detección, el proceso de EDM omite las palabras encontradas en el
archivo de palabras irrelevantes. Las palabras irrelevantes son palabras comunes
que excluyen coincidencias. Por ejemplo, el archivo de palabras irrelevantes
contiene palabras comunes tales como artículos, preposiciones, etcétera. Es posible
ajustar los archivos de palabras irrelevantes agregando o quitando palabras del
archivo. Se recomienda hacer copia de seguridad del original antes de cambiarlo.
Los archivos de palabras irrelevantes están situados en el siguiente directorio
donde el servidor de detección que ejecuta el índice está instalado:
\SymantecDLP\Protect\config\stopwords. De forma predeterminada, el sistema
usa el archivo stopwords_en.txt, que es la versión de idioma inglés. Los archivos
de palabras irrelevantes de otros idiomas también están situados en este mismo
directorio. Es posible cambiar el archivo de idioma predeterminado de palabras
irrelevantes actualizando la propiedad Lexer.StopwordLanguages en la pantalla
Configuración avanzada del servidor de Enforce Server.
Ver "Configuración avanzada del servidor para políticas de EDM" en la página 539.
Use la indización programada para automatizar las actualizaciones

del perfil
Cuando se configura un Perfil de datos estructurados, se puede configurar una
programación para indizar el archivo de origen de datos. La programación del
índice le deja decidir cuándo se desea indizar el archivo del origen de datos. Por
ejemplo, en vez de indizar el origen de datos a la vez que se define el perfil, se lo
puede programar para una fecha posterior. Alternativamente, si es necesario volver
a indizar el origen de datos regularmente, se puede programar la indización para
ocurrir regularmente.
Antes de configurar una programación de indización, considere lo siguiente:
■ Si actualiza sus orígenes de datos ocasionalmente (por ejemplo, menos de una
vez por mes), en general, no necesita crear una programación. Indice los datos
cada vez que actualiza el origen de datos.

orígenes de datos grandes pueden tardar mucho tiempo en indizarse.
■ Indice un origen de datos tan pronto como agregue o modifique el perfil
correspondiente de datos estructurados y vuelva a indizar el origen de datos
cuando lo actualice. Por ejemplo, considere una situación por la que cada
miércoles a las 2:00 p. m. se genera un archivo actualizado del origen de datos.
En este caso usted podría programar la indización para cada miércoles a las
3:00 p. m., dando bastante tiempo para limpiar el archivo del origen de datos
y copiarlo a Enforce Server.
■ No indice los orígenes de datos diariamente, ya que esto puede degradar el
rendimiento.
por ejemplo, programe actualizaciones e indizaciones de datos más frecuentes.
Considere usar la indización programada con la indización remota de EDM para
mantener un perfil de EDM actualizado. Por ejemplo, se puede programar un trabajo
de sincronización en el equipo remoto para que ejecute el indizador de EDM remoto
regularmente. El trabajo puede además copiar los archivos de índice generados
al directorio del índice en Enforce Server. Es posible luego configurar Enforce
Server para cargar el índice externamente generado y para someterlo a indización
de manera programada.
Ver "Copiar y cargar archivos de índice remoto en Enforce Server" en la página 583.
Coincidencia con 3 columnas en una condición de EDM para

aumentar la exactitud de la detección
En un formato de datos estructurados, como una base de datos, cada fila representa
un registro, donde cada registro contiene valores relacionados para cada campo
de datos de columna. Así, para que una condición de regla de políticas de EDM
coincida, todos los datos deben venir de la misma fila o registro de datos. Cuando
se define una regla de EDM, es necesario seleccionar los campos que deben estar
presentes para que haya una coincidencia. Aunque no haya límite para el número
de columnas que puede seleccionar para coincidencias en una fila (hasta el número
de columnas total en el índice, que es un máximo de 32), se recomienda buscar
coincidencia en por lo menos 2 o 3 columnas, una de las cuales debe ser única.
Generalmente, las coincidencias en 3 campos se prefiere, pero si una de las
columnas contiene un valor único, tal como SSN o número de tarjeta de crédito, 2
columnas pueden ser usadas.
Considere el ejemplo siguiente. Se desea crear una condición de políticas de EDM
basada en Perfil de datos exactos que contenga las 5 columnas siguientes de
datos indizados:
■ Nombre
■ Apellidos
■ Número de la seguridad social (SSN)
■ Número telefónico
Si selecciona las 5 columnas que se incluirán en la política, considere los resultados
posibles basados en el número de campos que se requieren para cada coincidencia.
Si elige "1 de los campos seleccionados" para las coincidencias, la política generará
indudablemente un gran número de falsos positivos porque el registro no será lo
suficientemente único. (Incluso si la condición coincide solamente con el campo
de SSN, aún puede haber falsos positivos porque hay otros tipos de números de
nueve dígitos que pueden activar una coincidencia).
Si elige "2 de los campos seleccionados" para las coincidencias, la política aún
producirá falsos positivos porque hay posibles combinaciones sin valor de datos:
Nombre + Apellidos, Número de teléfono + Dirección de correo electrónico o Nombre
+ Número de teléfono.
Si elige buscar coincidencias en 4 o en los 5 campos de columna, usted no podrá
excluir ciertas combinaciones del campo de datos porque esa opción está solamente
disponible para las coincidencias en 2 o 3 campos.
Ver "Use tuplas de excepción para evitar los falsos positivos" en la página 603.
En este ejemplo, para asegurarse de que se genere la coincidencia más exacta,
la recomendación es elegir "3 de los campos seleccionados para que coincidan".
De esta manera, se puede reducir el número de falsos positivos mientras usa una
o más excepciones para excluir las combinaciones que no presentan una
preocupación, como Nombre + Apellidos + Número de teléfono.
Cualquiera sea el número de campos que elija coincidir, asegúrese de que esté
incluyendo la columna con los datos más únicos y de que las coincidencias se
busquen en por lo menos 2 campos de columna.
Use tuplas de excepción para evitar los falsos positivos

La condición de la política de EDM le permite definir tuplas de excepción para
excluir combinaciones en los datos. Es necesario seleccionar 2 o 3 columnas para
que coincidan con las tuplas de excepción.
EDM permite la detección basada en cualquier combinación de columnas en una
fila dada de datos (es decir, los campos de N a M de un registro dado). Puede
activar las "tuplas" o los conjuntos especificados de tipos de datos. Por ejemplo,
una combinación de los campos de nombre y SSN podría ser aceptable, pero una
combinación de los campos de apellido y SSN no. EDM además permite reglas
más complejas, tales como buscar los campos de N a M, pero excluyendo tuplas
específicas. Por ejemplo, este tipo de definición de regla es necesario para identificar
los incidentes que infringen las leyes de la privacidad de datos del estado, tales
como SB 1386 de California, que requiere un nombre y un apellido conjuntamente
con cualquiera de los siguientes datos: SSN, número de cuenta bancaria, número
de tarjeta de crédito o número de la licencia de conducir.
Mientras que las tuplas de excepción pueden ayudarle a reducir los falsos positivos,
si usted está utilizando varias tuplas de excepción, puede ser una señal de que su
índice está dañado. En este caso, considere hacer de nuevo su índice de forma
que no tenga que usar muchas combinaciones excluidas para alcanzar las
coincidencias deseadas.
Use una cláusula WHERE para detectar registros que cumplan

criterios específicos
Otro parámetro de configuración de la condición de políticas de EDM es la opción
de la cláusula "WHERE". Esta opción coincide en el valor exacto que se especifica
para el campo se selecciona. Es posible escribir varios valores separados con
comas. Usar una cláusula WHERE para detectar los registros que cumplen criterios
específicos ayuda a que se mejore la exactitud de las políticas de EDM.
Por ejemplo, si quisiera hacer coincidir solamente un Perfil de datos estructurados
para “Empleados” con un campo “Estado” que contiene ciertos estados, podría
configurar la coincidencia donde "Estado" es igual a "CA, NV". Esta regla hace que
el motor de detección coincida con un mensaje que contenga CA o NV.
Use el campo de coincidencias mínimas para ajustar las reglas de

EDM
El campo mínimo de coincidencias es útil para ajustar la sensibilidad de una regla
de EDM. Por ejemplo, el nombre y los apellidos de un empleado en un correo
electrónico saliente puede ser aceptable. Sin embargo, el nombre y apellidos de
100 empleados es una infracción grave. Otro ejemplo puede ser un una política
de número de la seguridad social y apellidos. La política puede permitir que un

empleado envíe información a un médico, pero el envío de al menos dos apellidos
y números de la seguridad social es sospechoso.
Combine identificadores de datos con las reglas de EDM para limitar

el impacto de la detección de dos niveles
Cuando implemente las políticas de EDM, se recomienda combinar las reglas de
identificadores de datos (DI) con la condición de EDM para formar políticas
compuestas. Como referencia, observe que todas las plantillas de políticas
proporcionadas por el sistema que implementan las reglas de EDM también
implementan las reglas de identificador de datos en la misma política.
Identificadores de datos y EDM se diseñan para proteger la información de
identificación personal (PII). Incluir identificadores de datos con sus reglas de EDM
hace a sus políticas más robustas y reutilizables en los servidores de detección
porque, a diferencia de las reglas de EDM, los identificadores de datos se ejecutan
en el endpoint y no requieren la detección de dos niveles. Así, si un endpoint está
fuera de la red, las reglas de identificador de datos pueden proteger PII, tal como
SSN.
Las reglas de identificador de datos son además útiles para usarlas en sus políticas
de EDM mientras usted recopila y elabora sus datos confidenciales para la
indización de EDM. Por ejemplo, una política puede contener el identificador de
datos SSN de EE. UU. y una regla de EDM para los SSN no indizados o
desconocidos.

de datos exactos para DGM perfilado
Es necesario incluir los campos apropiados en el perfil de datos estructurados para
implementar DGM perfilada.
en la página 515.
Si incluye el campo de dirección de correo electrónico en el perfil de datos
estructurados para DGM perfilada y lo asigna al validador de datos de correo
electrónico, la dirección de correo electrónico aparecerá en la lista desplegable
Directorio para EDM (en la página de la reparación).

Network Prevent para Web
Si desea implementar DGM para Network Prevent for Web, use una de las
condiciones de DGM perfilada para implementar la coincidencia de identidades.
Por ejemplo, se puede usar la coincidencia de identidades para bloquear todo el
tráfico web para usuarios específicos. Para Network Prevent for Web, no se pueden
usar las condiciones de DGM sincronizada para este caso de uso.
en la página 515.
en la página 893.
Capítulo 22
usando Coincidencia de
documentos indizados
(IDM)
■ Presentación de coincidencia de documentos indexados (IDM)
■ Configuración de los perfiles de IDM y las condiciones de políticas
■ Prácticas recomendadas para usar IDM
■ Indización de IDM remoto
Presentación de coincidencia de documentos

indexados (IDM)
Usa Coincidencia de documentos indizados (IDM) para proteger la información
confidencial que se almacena como datos no estructurados en documentos y
archivos. Por ejemplo, puede usar IDM para detectar los datos del informe financiero
almacenados en los documentos de Microsoft Office, la información de fusión y
adquisición almacenada en los archivos de PDF o el código fuente almacenado
en los archivos de texto. También puede usar IDM para detectar archivos binarios,
como imágenes JPEG, diseños CAD y archivos multimedia. Además, se puede
utilizar IDM para detectar el contenido derivado como texto que se ha copiado de
un documento de origen a otro archivo.
Detección de contenido usando Coincidencia de documentos indizados (IDM) 607
Presentación de coincidencia de documentos indexados (IDM)
Ver "Formas admitidas para coincidencia de IDM" en la página 607.

Acerca del uso de IDM

Para usar IDM se recopilan los documentos y los archivos que desea proteger y
se indizan usando Enforce Server. Durante el proceso de indización, el sistema
usa un algoritmo para tomar huellas digitales de cada archivo o contenido de
archivo. A continuación, cree una política que contenga una o más condiciones de
IDM que se refieran al índice. El sistema entonces comprueba los archivos respecto
del índice para buscar las coincidencias.
Por ejemplo, considere un origen de documento que ha recopilado que incluya
varios documentos confidenciales de Microsoft Office (Word, Excel, PowerPoint)
y archivos de imagen (JPEG, BMP). Se crea un Perfil de documento indizado e
indiza los documentos y los archivos. A continuación, configure la condición de
política El contenido coincide con la firma del documento con una configuración
del 50% de Exposición mínima de documentos. La política y el índice de IDM
se implementan en un servidor de detección.
En producción, el servidor de detección comprueba los archivos entrantes frente
al índice para buscar coincidencias. Si un archivo basado en texto entrante del que
el sistema puede extraer contenido contiene el 50% o más del contenido indizado
de uno de los documentos de origen, el sistema registra una coincidencia. Y si un
archivo de imagen entrante tiene la misma firma binaria que uno de los archivos
que se ha indizado, el sistema registra una coincidencia. El servidor y el agente
realizan coincidencias exactas de archivos de forma automática en los archivos
binarios (de los que no se puede extraer contenido) aunque la condición de política
se configure para la coincidencia parcial.
Nota: El agente de Mac es sustancialmente lo mismo que el agente de Windows,

excepto que el agente de Mac no admite la detección de dos niveles y se admiten
diferentes canales en el agente de Mac y el agente de Windows. Ver "Descripción
general de las tecnologías de detección de agentes de Mac y las funciones de
creación de políticas" en la página 2010.
Ver "Tipos de detección de IDM" en la página 608.

Formas admitidas para coincidencia de IDM

IDM admite tres formas de coincidencia: archivo exacto, contenido exacto del
archivo y contenido parcial del archivo. Los servidores de detección admiten tres
formas de coincidencia. El agente DLP admite la coincidencia de archivo exacta y

de contenido de archivo parcial localmente en el endpoint.
La Tabla 22-1 resume las formas de coincidencia por las plataformas que IDM
admite.
Tabla 22-1 Formas de coincidencia con IDM
Tipo de Descripción Plataforma

coincidencia
Contenido parcial del Coincidencia de fragmentos discontinuos de contenido de Servidor de detección

archivo archivo normalizado y extraído.
Agente DLP
Ver "Usar IDM para detectar contenido exacto del archivo
y contenido parcial del archivo" en la página 618.
Archivo exacto La coincidencia se basa en la firma binaria del archivo. Servidor de detección
Ver "Usar IDM para detectar archivos exactos" Agente DLP

en la página 616.
Contenido de archivo La coincidencia es una coincidencia exacta de contenido Servidor de detección

exacto del archivo extraído y normalizado.
Nota: Symantec recomienda que
Ver "Usar IDM para detectar contenido exacto del archivo se use la coincidencia parcial de
y contenido parcial del archivo" en la página 618. contenido del archivo en lugar de
la coincidencia exacta de
contenido del archivo.
Tipos de detección de IDM

Hay tres tipos de implementaciones de detección de IDM: agente, servidor y de
dos niveles. El tipo que se elige se basa en sus requisitos de prevención de pérdida
de datos.
Tabla 22-2 resume los tres tipos de detección de IDM.
Tabla 22-2 Tipos de detección de IDM
Tipo Descripción Detalles
IDM del agente El agente DLP admite la coincidencia parcial de contenidos Ver "Detección de IDM del
de archivo, además de la coincidencia exacta de archivos agente" en la página 609.
localmente en el endpoint.
IDM del servidor El servidor de detección realiza coincidencia de archivos Ver "Detección IDM del servidor"
exactos, coincidencia de contenido exacto de archivos y en la página 609.
coincidencia de contenido parcial de archivos.
Tipo Descripción Detalles
IDM de dos niveles El agente DLP envía los datos al servidor de detección Ver "Detección de IDM de dos
para la evaluación de políticas. niveles" en la página 609.
Detección de IDM del agente

Con la detección de IDM del agente, el agente DLP evalúa los documentos
localmente en tiempo real para buscar coincidencias de contenido de archivo
parciales y coincidencias de archivo exactas. La IDM del agente le deja utilizar las
reglas de respuesta de cancelación del usuario, bloqueo y notificación en el endpoint
con políticas de IDM. Symantec Data Loss Prevention además admite la detección
en los canales basados en secuencia, tales como de impresión o de copiado/pegado
del Portapapeles.
La IDM del agente se habilita de forma predeterminada para un servidor de
endpoints recientemente instalado. La IDM del agente para Windows se deshabilita
cuando se actualiza de la versión 12.5 o anterior a la versión 14.0 o de la versión
12.5 a la versión 14.6. La IDM del agente para macOS se habilita de forma
predeterminada para los servidores de endpoints recién instalados, pero se
deshabilita si se actualiza. En el caso de todas las actualizaciones, excepto la IDM
del agente para Windows de la versión 14.x a la versión 14.6, si desea utilizar la
IDM del agente, debe habilitar y volver a indizar los perfiles de IDM de modo que
el índice de endpoint se genere y se ponga a disposición para la descarga de
agentes DLP.
Detección IDM del servidor

Con la detección IDM del servidor, el índice de IDM se implementa en uno o más
servidores de detección y todo el proceso de detección ocurre en el servidor o los
servidores. Es posible utilizar el IDM de servidor para realizar la coincidencia de
archivo exacta y la coincidencia de contenido del archivo. Para la coincidencia de
contenido del archivo, se puede elegir hacer coincidir el contenido del archivo
exactamente o parcialmente (del 10% al 90%) según se haya configurado la
Exposición mínima de documentos para la condición IDM.
Detección de IDM de dos niveles

La detección de dos niveles es un método de detección que requiere la
comunicación y la transferencia de datos entre el agente DLP y el servidor de
endpoints para detectar incidentes. Se recomienda solamente si tiene índices muy
grandes y los agentes no tienen suficiente espacio para admitir los perfiles. La
detección de dos niveles tiene más latencia que la detección local y requiere
sustancialmente más ancho de banda de red. Como consecuencia, no admite las
reglas de respuesta inline para las notificaciones de bloqueo o emergentes.
Con IDM de dos niveles, el agente DLP envía los datos al servidor de endpoints
para que coincida con el índice del servidor. Si la detección de dos niveles se
habilita para IDM, el servidor admite todas las formas de coincidencia, incluyendo
el archivo exacto, el contenido exacto del archivo y el contenido parcial del archivo.
Nota: La detección de dos niveles no se admite en los agentes que se ejecutan en

los endpoints de macOS.
Si utiliza la detección de dos niveles para la IDM en el endpoint de Windows,

asegúrese de comprender las implicaciones del rendimiento de la detección de
dos niveles.
Acerca del perfil de documento indizado

El Perfil de documento indizado es la configuración definida por el usuario para
crear y generar índices de IDM. Se define un Perfil de documento indizado
usando la consola de administración de Enforce Server. Se debe hacer referencia
al perfil en una o más reglas o excepciones de política de IDM. El perfil es
reutilizable entre las políticas: se puede crear un perfil de documento y referirse a
él en varias políticas. Cuando se crea el Perfil de documento indizado, tiene la
opción de indizar el origen de documento de forma inmediata cuando se guarda
el perfil o en una hora programada. Sin embargo, es necesario indizar el origen de
documento antes de que pueda detectar las infracciones de políticas.
Ver "Creación y modificación de perfiles de documentos indizados" en la página 627.
Por ejemplo, considere una situación en la que desea crear un índice de IDM para
detectar cuando las versiones exactas de ciertos documentos financieros se
encuentran o cuando fragmentos o secciones de los documentos se exponen.
Cuando se define el Perfil de documento indizado, se pueden cargar los
documentos a Enforce Server o se pueden indizar los documentos usando el
Indizador de IDM remoto. Es posible también utilizar los filtros de nombre de archivo
y tamaño del archivo en el perfil de documento para incluir o para omitir ciertos
archivos durante la indización.
Acerca del origen de datos del documento

El origen de datos del documento es una recopilación de documentos que desea
indizar y detectar con IDM. El algoritmo de indización usa una cantidad fija de
memoria por documento, de forma que está sujeto a la cantidad de documentos
en lugar de su tamaño total. Con un perfil que usa 2 GB cuando están cargados
en memoria, aproximadamente 1 000 000 de documentos pueden ser indizados.
La cantidad exacta de documentos que permite el sistema depende de cuántos
documentos tienen texto que pueda ser extraído.
Ver "Preparación del origen de datos del documento para indización"
en la página 622.
Para conjuntos de documento más pequeños (50 MB o menos), puede cargar los
archivos de origen en Enforce Server con un archivo ZIP. Para conjuntos de
documento más grandes (hasta 2 GB), puede copiar los archivos de origen en el
sistema de archivos de host donde Enforce Server está instalado, ya sea
encapsulado en un único archivo ZIP o como archivos individuales. Es posible
utilizar FTP/S para transferir los archivos a Enforce Server. Alternativamente, se
puede usar el Indizador de IDM remoto para indizar remotamente los documentos.
Ver "Acerca de la indización de documentos remotos" en la página 612.
El origen de datos del documento puede contener cualquier tipo de archivo y
cualquier combinación de archivos. Si el sistema puede extraer el contenido del
archivo, IDM detecta el contenido del archivo, exactamente o parcialmente según
la plataforma y la configuración de las políticas. Si el sistema no puede extraer el
contenido del archivo, IDM detecta el archivo exacto.
Acerca del proceso de indización

El indizador de IDM es un proceso aparte que se instala y se ejecuta en Enforce
Server. La coincidencia parcial se deshabilita de forma predeterminada en el agente
y se habilita de forma predeterminada en el servidor de detección. Ver
"Configuración de coincidencia parcial de contenido del endpoint" en la página 629.
La cantidad de documentos que se puede indizar ha aumentado hasta 1 000 000
en el servidor y hasta 30 000 en el agente. Estos valores se basan en los límites
predeterminados iniciales de 2 GB/60 MB. Es posible cambiar el límite de 60 MB
en la página Configurar coincidencia parcial. Mientras que es posible reconfigurar
el límite de 2 GB cambiando el tamaño de
com.vontu.profiles.documents.maxIndexSize en
\SymantecDLP\Protect\config\indexer.properties, Symantec recomienda
que se contacte con el Soporte de Symantec antes de reconfigurar los archivos de
propiedades.
Durante la indización, el sistema almacena el origen del documento y cambia

\SymantecDLP\Protect\documentprofiles (en Windows) o
/var/SymantecDLP/documentprofiles (en Linux). Después de indizar, por motivos
de seguridad el sistema elimina los archivos de origen de los documentos que se
han cargado a Enforce Server.
El resultado del proceso de indización son cuatro índices separados: uno para
servidores de detección (el índice de servidor) y tres para agentes DLP (los índices
de endpoint). Todos los índices se generan independientemente de si cuenta con
licencia para Endpoint Prevent o Endpoint Discover. En Enforce Server, el sistema
guarda los índices en \SymantecDLP\Protect\index (en Windows) o
/var/SymantecDLP/index (en Linux).
Ver "Acerca de los archivos del índice del servidor y los archivos del índice del
agente" en la página 613.
Para la mayoría de las implementaciones de IDM no hay necesidad de configurar
el indizador. En caso de necesidad, se puede ajustar la configuración clave para
el indizador usando el archivo
\SymantecDLP\Protect\config\Indexer.properties.
Nota: Symantec recomienda que contacte al Soporte de Symantec para obtener

indicaciones si decide modificar un archivo de propiedades. Modificar las
propiedades incorrectamente puede causar problemas importantes con la operación
Acerca de la indización de documentos remotos

La indización de IDM se puede hacer en Enforce Server o remotamente, usando
el Indizador de IDM remoto.
Usando el protocolo CIFS se pueden indizar remotamente los documentos
almacenados en uno o más recursos compartidos de archivos en un entorno de
Microsoft Windows conectado en red. Proporcione la ruta de convención de
nomenclatura universal (UNC) a un recurso de carpeta de red compartida e indice
los documentos almacenados en esa carpeta o las subcarpetas según el nivel de
permiso concedido.
Ver "Usar la opción Recurso compartido SMB remoto para indizar archivos
compartidos" en la página 634.
WebDAV proporciona las extensiones al protocolo HTTP 1.1 que habilitan la edición
y la administración colaborativas de los archivos almacenados en los servidores
web remotos. Es posible indizar tales documentos remotamente exponiéndolos a
Enforce Server usando WebDAV. Por ejemplo, se puede utilizar la opción remota
de SMB con una dirección de UNC y un cliente WebDAV para indizar documentos
de Microsoft SharePoint o Livelink de OpenText.
Ver "Usar la opción de recurso compartido remoto SMB para indizar los documentos
de SharePoint" en la página 635.
Nota: Para indexar los documentos en un servidor SharePoint que usa la opción
Usar recurso compartido SMB remoto, es necesario implementar Enforce Server
a un host admitido del sistema operativo del servidor de Windows. Data Loss
Prevention depende de los servicios de Windows NTLM para montar un servidor
de WebDAV.
Acerca de los archivos del índice del servidor y los archivos del
índice del agente
Cuando se crea un Perfil de documentos indizados y se indiza un origen de
datos del documento, el sistema genera dos archivos de índice: uno para el servidor
y tres para el endpoint. Los índices se generan independientemente de si cuenta
con licencia para un servidor de detección determinado o el agente DLP.
Ver "Acerca de la implementación y el registro de índice" en la página 615.
El índice del servidor es un archivo binario denominado DocSource.rdx. El índice
del servidor admite coincidencia de archivo exacto, de contenido exacto de archivo
y de contenido parcial de archivo. Si el origen de datos del documento es grande,
el índice del servidor puede abarcar varios archivos *.rdx.
El índice del endpoint se compone de un archivo binario protegido,
EndpointDocSource.rdx o LegacyEndpointDocSource.rdx, para la compatibilidad
con las versiones anteriores 14.0 y 12.5 de los agentes. El índice del endpoint
admite la coincidencia de archivo exacta y de contenido de archivo parcial.
EncryptedDocSource.rdx es para la coincidencia parcial del endpoint.

Para crear las entradas de índice para coincidencia de archivo exacto y de contenido
exacto de archivo, el sistema utiliza el algoritmo de codificación de mensajes MD5.
Este algoritmo es una función hash unidireccional que toma como entrada un
mensaje de longitud arbitraria y produce como salida una "huella digital" o
codificación de mensaje de 128 bits de la entrada. Si la entrada de mensaje es un
documento basado en texto del que el sistema puede extraer contenido, por ejemplo,
un archivo de Microsoft Word, el sistema extrae todo el contenido del archivo, lo
normaliza quitando los espacios en blanco, la puntuación y el formato, y crea un
hash criptográfico. De lo contrario, si la entrada de mensaje es un archivo del que
el sistema no puede extraer contenido, por ejemplo, un archivo de imagen, un

archivo pequeño o un tipo de archivo no admitido, el sistema crea un hash
criptográfico basado en la firma binaria del archivo.
Nota: Para mejorar la exactitud en las diversas versiones de Enforce Server y de

agente DLP, solamente se admite MDF de coincidencia binaria en el agente,
independientemente de si el archivo contiene texto.
Ver "Usar IDM para detectar archivos exactos" en la página 616.

Ver "Usar IDM para detectar contenido exacto del archivo y contenido parcial del
Además, para los formatos de archivo de los que el sistema puede extraer
contenido, el indizador crea hashes para determinadas secciones de contenido o
fragmentos del texto. Estos hashes se usan para la coincidencia parcial para los
índices del servidor y del agente. El sistema utiliza un método de selección para
almacenar secciones de contenido parcial con hashes para evitar la indización de
todo el texto extraíble. La función hash se asegura de que el índice del servidor no
tenga contenido real del documento. Tabla 22-3 resume los tipos de coincidencias
admitidos por los índices de servidor y endpoint.
Tabla 22-3 Tipos de coincidencias admitidos por los índices de servidor y

endpoint
Entrada de mensaje Salida Coincidencias Incluido en el archivo del índice
Un solo hash criptográfico Contenido de DocSource.rdx

derivado de todo el contenido archivo exacto
LegacyEndpointDocSource.rdx
extraído y normalizado del archivo
Archivo basado en texto
del que el sistema puede Uno o más hashes de Contenido parcial DocSource.rdx
extraer contenido restauración basados en de archivo (del
EndpointDocSource.rdx
determinados fragmentos del 10% al 90%)
contenido extraído y normalizado EncryptedDocSource.rds
usando un método de selección
Archivo binario, archivo Un único hash criptográfico Binario de archivo DocSource.rdx

personalizado, archivo basado en la firma binaria del exacto
EndpointDocSource.rdx
pequeño, archivo archivo
encapsulado LegacyEndpointDocSource.rdx
Agente solamente:
archivo basado en texto
del que el sistema puede
extraer contenido
Acerca de la implementación y el registro de índice

Enforce Server es responsable de implementar los índices de servidor y endpoint
de IDM en Enforce Servers y servidores de endpoint. No es posible implementar
manualmente los índices.
El sistema implementa el índice del servidor en cada servidor de detección
designado en la carpeta \SymantecDLP\Protect\index (en Windows) o
/var/SymantecDLP/index (en Linux). En el tiempo de ejecución, el servidor de la
detección carga el índice del servidor en la memoria de acceso aleatorio (RAM)
cuando una política activa de IDM que referencia a ese índice se implementa en
ese servidor de detección.
El sistema implementa el índice del endpoint (EndpointDocSource.rdx o
LegacyEndpointDocSource.rdx) en cada servidor de endpoints designado. Cuando
un agente DLP se conecta con el servidor de endpoints, el agente DLP descarga
el índice de endpoint. Asumiendo que la IDM de agente se habilita, el agente DLP
carga el índice de endpoint en la memoria cuando el índice es requerido por una
política local activa.
Ver "Estimar el uso de la memoria de endpoint para la IDM del agente"
en la página 645.
No es posible implementar manualmente los archivos de índice de endpoint o
servidor copiando el archivo *.rdx o los archivos de Enforce Server en un servidor
de detección. El servidor de detección no supervisa la carpeta de destino de índice
para los nuevos archivos de índice; el servidor de detección debe ser notificado
por Enforce Server que se ha implementado un índice. Si un servidor de detección
está desconectado durante el proceso de implementación del índice, Enforce Server
deja de intentar implementar el índice. Cuando el servidor de detección se vuelve
a poner en línea, Enforce Server implementa el índice al servidor de detección. Lo
mismo sucede con los agentes DLP. No hay manera de copiar manualmente el
índice de endpoint en el host de endpoint y lograr que el agente DLP reconozca
el índice.
Tabla 22-4 resume cómo los índices de IDM y los archivos de registro se
implementan para solucionar problemas de control de implementación del índice.
Tabla 22-4 Implementación y registro de índice de IDM
Plataforma Archivo de índice Implementación Registrado
Servidor DocSource.rdx Enviado automáticamente por Enforce detection_operational.log

Server a cada servidor de detección
Utilizar para identificar si el perfil de
designado después de generar el
índice se implementó en el servidor
índice.
de detección.
Cargado por el servidor de detección
FileReader.log
en RAM en el tiempo de ejecución.
Utilizar para determinar si el perfil del
índice se carga en la memoria.
Agente EndpointDocSource.rdx Ambos archivos son enviados por endpoint_server_operational.log

Enforce Server a cada servidor de
o Utilizar para identificar si el perfil de
endpoints designado. El agente
índice se implementó en el servidor
LegacyEndpointDocSource.rdx selecciona el archivo apropiado, sobre
de endpoints.
la base de la versión del agente.
Extraer los registros de agente para
LegacyEndpointDocSource.rdx
ver si el perfil de índice se cargó en la
está para lograr la compatibilidad con
memoria.
las versiones anteriores 14.0 y 12.5
de los agentes
Descargado por el agente DLP

basado en el intervalo de conexión
del agente.
Cargado en RAM en el tiempo de

ejecución cuando una política local
activa requiere el índice.
Usar IDM para detectar archivos exactos

El sistema realiza coincidencia de archivo exacto de forma automática en todos
los archivos binarios. Además, si el formato de archivo es basado en texto pero el
sistema no puede extraer el contenido del archivo, el sistema realiza una
coincidencia exacta de archivos. Este comportamiento es real, incluso si selecciona
un porcentaje Exposición mínima de documentos para la condición de IDM que
es menor que Exacto. Agente DLP realiza la coincidencia de archivo exacto en
todos los archivos, tanto los archivos binarios como los archivos con el texto
extraíble.
Por ejemplo, una regla de IDM con una exposición mínima de documentos
configurada en el 50% intenta establecer una coincidencia exacta automáticamente
con un archivo binario la configuración Exposición mínima de documentos se

aplica solamente a los archivos de los cuales el sistema no puede extraer contenido.
Además, el sistema realiza la coincidencia de archivo exacto para los archivos que
contienen una muy pequeña cantidad de texto, así como para los archivos que se
encapsularon cuando se indizaron, incluso si se son basados en texto.
Como optimización para la coincidencia de tipo de archivo exacto en detección de
IDM de endpoints, el sistema comprueba el tamaño de bytes de archivo antes de
computar el hash del tiempo de ejecución para la comparación en función del
índice. Si el tamaño de bytes no coincide con el del archivo indizado no hay
necesidad de computar el hash de archivo exacto. El sistema no considera el
formato de archivo al crear la huella digital de archivo exacto.
Tabla 22-5 resume el comportamiento de la coincidencia de tipo de archivo exacto.
Tabla 22-5 Requisitos para usar IDM para detectar archivos
Formato de archivo Ejemplo Descripción
Formato de archivo del cual Formato de documento Si el sistema no puede extraer el contenido del
el sistema no puede extraer propietario o no admitido formato de archivo, se puede usar IDM para detectar
contenido ese archivo específico usando la coincidencia binaria
exacta.
Ver "No comprima los archivos en el origen de

documento" en la página 648.
Archivo binario Archivos GIF, MPG, AVI, diseño Es posible usar IDM para detectar los tipos de archivo
CAD, JPEG, de audio/video binario de los cuales no se puede extraer contenido,
tales como imágenes, gráficos, archivos JPEG, etc.
La detección del archivo binario no se admite en los
canales basados en secuencias.
Archivo que contiene una Archivos CAD y diagramas de Un archivo que contiene una pequeña cantidad de
pequeña cantidad de texto Visio texto se trata como archivo binario, incluso si el
contenido se basa en texto y se puede extraer.
Ver "Usar IDM para detectar contenido exacto del

archivo y contenido parcial del archivo"
en la página 618.
Archivo encapsulado Cualquier archivo que se Si un archivo de origen de datos del documento se
encapsule cuando es indizado encapsula en un archivo de almacenamiento, no se
(incluso si está basado en texto y puede extraer el contenido del subarchivo y solo se
puede extraerse su contenido); puede realizar una huella digital de la firma binaria
por ejemplo, archivo Microsoft del archivo. Esto no se aplica a los archivos de
Word almacenado en un archivo almacenamiento de documentos que son índices.
ZIP.
Ver "Acerca del origen de datos del documento"
en la página 611.
Usar IDM para detectar contenido exacto del archivo y contenido

parcial del archivo
El caso principal de uso de IDM es detectar contenidos de archivos (a diferencia
de los archivos binarios, tales como archivos de audio o de video, por ejemplo).
En el servidor y el endpoint, se puede usar IDM para que busque coincidencias de
archivo exactas o parciales (del 10% al 90%). Además, en el servidor, el contenido
del archivo se puede hacer coincidir exactamente. Symantec recomienda que se
use la coincidencia de contenido parcial, ya que es mucho más confiable que la
coincidencia de contenido exacta. El contenido del archivo incluye el contenido
basado en texto de cualquier tipo de documento del que el sistema puede extraer
contenido de archivo, por ejemplo, los documentos de Microsoft Office (Word,
Excel, PowerPoint), PDF y mucho más.
Ver "Formatos admitidos para la extracción de contenido" en la página 914.
Una coincidencia exacta de contenido del archivo significa que el contenido extraído
del archivo normalizado coincide exactamente con el contenido de un archivo que
se ha indizado. Con la coincidencia parcial en el endpoint, usar un umbral del 90%
genera coincidencias de contenido del 90% al 100 %. Estas son menos estrictas
que las coincidencias de contenido exactas anteriores y pueden hacer coincidir
algunos casos, incluso si hay algunas diferencias menores entre el archivo analizado
y el archivo indizado.
El sistema no considera el formato de archivo o el tamaño del archivo al crear el
hash criptográfico para el índice ni al comprobar la coincidencia de contenido de
archivo exacta con el índice. Un documento puede contener mucho más contenido,
pero el sistema detecta solamente el contenido de archivos que se indiza como
parte del Perfil de documento indizado. Por ejemplo, considere una situación en
la que indiza un documento de una página y ese documento de una página está
incluido en un documento de 100 páginas. El documento de 100 páginas se
considera una coincidencia exacta, ya que su contenido coincide exactamente con
el documento de una página.
Para los archivos basados en texto desde los cuales se puede extraer contenido,
además de crear la huella digital MD5 para la coincidencia exacta de contenido de
archivo, el sistema usa un algoritmo de hash de restauración para registrar las
secciones o los fragmentos de contenido discretos. En este caso, el sistema usa
un método de selección para almacenar las secciones de contenido con hash,
pues no todo el texto incluye hash en el índice. El índice no contiene el contenido
real del documento.
Tabla 22-6 enumera los requisitos de coincidencia de los contenidos de archivo
usando IDM.
Tabla 22-6 Requisitos para usar IDM para detectar el contenido
Requisito Descripción
Formatos de archivo El sistema debe poder extraer el formato de archivo y el contenido del archivo. Data Loss
desde los cuales se Prevention admite la extracción del contexto para más de 100 tipos de archivo.
puede extraer
Ver "Formatos admitidos para la extracción de contenido" en la página 914.
contenido
Archivo no Para coincidir los contenidos del archivo, el archivo de origen no se puede encapsular en un
encapsulado archivo de almacenamiento cuando el archivo de origen está indizado. Si un archivo en el
origen de documento se encapsula en un archivo de almacenamiento, el sistema no indiza
los contenidos de archivo del archivo encapsulado. Cualquier archivo encapsulado se considera
para coincidencias exactas solamente, como los archivos de imagen y otros formatos de
archivo no admitidos.
Ver "No comprima los archivos en el origen de documento" en la página 648.

Nota: La excepción a esto es el archivo ZIP principal que contiene el origen de datos del
documento, para los métodos de carga por que usan un archivo de almacenamiento. Ver
"Creación y modificación de perfiles de documentos indizados" en la página 627.
Cantidad mínima de Para la coincidencia de contenido de archivo exacta, el archivo de origen debe contener 50
texto caracteres como mínimo de texto normalizado antes de que se indice el contenido extraído.
La normalización implica la eliminación de la puntuación y de los espacios. Un carácter
normalizado, por lo tanto, es un número o una letra. Este tamaño es configurado por el
parámetro min_normalized_size=50 en el archivo
\SymantecDLP\Protect\config\Indexer.properties. Si los contenidos de archivos
tienen menos de 50 caracteres normalizados, el sistema realiza una coincidencia de archivo
exacta respecto del archivo binario.
Nota: Symantec aconseja que se consulte con el Soporte de Symantec para obtener una
guía si es necesario cambiar una configuración avanzada o editar un archivo de propiedades.
Actualizar incorrectamente un archivo de propiedades puede tener consecuencias involuntarias.
Para coincidencias parciales de contenidos de archivo, debe haber, por lo menos, 300
caracteres normalizados. Sin embargo, la longitud exacta es variable dependiendo de los
contenidos y de la codificación de archivo.
Ver "No indice documentos vacíos" en la página 649.
Cantidad máxima de El tamaño máximo predeterminado del documento que se puede procesar para la extracción
texto de contenido en el tiempo de ejecución es de 30 000 000 bytes. Si su documento tiene más
de 30 000 000 bytes es necesario aumentar el tamaño máximo predeterminado en la
configuración avanzada del servidor. Contacte con el Soporte de Symantec para obtener
ayuda al cambiar la configuración avanzada del servidor, para evitar cualquier consecuencia
involuntaria.
Acerca del uso de la condición de política El contenido coincide con

la firma del documento
Se usa la condición de IDM El contenido coincide con la firma del documento
de para implementar las reglas de detección y las excepciones de IDM en sus
políticas.
Cuando se configura esta condición, especifica el índice de IDM que desea usar
y cómo la condición debe coincidir con el índice usando la configuración Exposición
mínima de documentos. Es posible seleccionar Exacto o parcial entre el 10% y
el 90%. Por ejemplo, si selecciona 70% para Exposición mínima de documentos,
una coincidencia ocurre solamente si el 70% o más del contenido del archivo
resumido se detecta.
Ver "Use las reglas paralelas de IDM para ajustar los umbrales de coincidencia"
en la página 655.
Si un archivo no está basado en texto, es muy pequeño o está encapsulado en un
archivo de almacenamiento, el archivo se compara exactamente en función de su
firma binaria. Esta forma de buscar coincidencias se realiza de forma automática
por el sistema, sin importar qué opción de configuración se elige para la
configuración Exposición mínima de documentos. Esta configuración se aplica
solamente al contenido parcial del archivo que coincide.
Ver "Usar IDM para detectar archivos exactos" en la página 616.
Tabla 22-7 describe las coincidencias compatibles con la condición de política El
contenido coincide con la firma del documento de.
Tabla 22-7 Configuración de Exposición mínima de documentos para la

condición de IDM
Valor de configuración Contenido de archivo Coincidencia Ejemplo
Coincidencia exacta de Contenido de archivo Todos los contenidos Microsoft Word

archivo extraídos y normalizados del
Ver "Usar IDM para detectar
archivo, si el archivo está
contenido exacto del archivo
basado en texto y de cuál
y contenido parcial del
no es extraíble el contenido
Coincidencia exacta de El endpoint busca Microsoft Word, JPG, MP3

contenido coincidencias binarias en
todos los archivos.
Configuración de los perfiles de IDM y las condiciones de políticas
Valor de configuración Contenido de archivo Coincidencia Ejemplo
Coincidencia parcial de Contenido de archivo Fragmentos discretos de Microsoft Word

contenido texto
Ver "Usar IDM para detectar
contenido exacto del archivo
y contenido parcial del
Acerca de la lista blanca de contenido parcial de archivo

A menudo, los documentos confidenciales contienen texto reutilizable estándar
que no requiere protección, incluidas páginas preliminares, encabezados y pies
de página. Es posible que la información que contienen los encabezados y los pies
de página del documento puedan generar falsos positivos. Asimismo, el texto
reutilizable, como lenguaje estándar y contenido corporativo no propietario que
repite en documentos confidenciales, puede causar falsos positivos.
Eliminar contenido de encabezado/pie de página o reutilizable no confidencial antes
de la indización no suele ser posible, especialmente si tiene un gran conjunto de
datos de documentos. En este caso se puede configurar el sistema para que excluya
este texto (incluya en la lista blanca) no confidencial. Esto se logra al agregar texto
para omitir el archivo de la lista blanca. Durante que indización, cualquier contenido
incluido en la lista blanca encontrado en los archivos de origen se omite. En el
tiempo de ejecución, el contenido no causa falsos positivos porque se ha excluido.
Ver "Uso de listas blancas para excluir el contenido no confidencial de las
coincidencias parciales" en la página 651.
Nota: La lista blanca se aplica solamente al contenido parcial de archivo parcial.

No se aplica a coincidencia de contenido de archivo exacta. El archivo de lista
blanca no se comprueba en el tiempo de ejecución en que el sistema computa el
hash criptográfico para la coincidencia de contenido del archivo exacta.
Configuración de los perfiles de IDM y las condiciones

de políticas
Tabla 22-8 proporciona el flujo de trabajo para crear los perfiles de IDM y configurar
las políticas de IDM. Complete los pasos para asegurarse de que sus reglas de
IDM estén implementadas correctamente y sean lo más exactas y eficientes posible.
Tabla 22-8 Implementación de IDM
1 Identifique el contenido que desea proteger Ver "Usar IDM para detectar contenido exacto del archivo
y recopile los documentos que contienen este y contenido parcial del archivo" en la página 618.
contenido.
Ver "Usar IDM para detectar archivos exactos"
en la página 616.
2 Elabore los documentos para indizar. Ver "Preparación del origen de datos del documento para
indización" en la página 622.
3 Coloque en la lista blanca, pies de página y Ver "Colocación en una lista blanca de contenido de archivo
texto reutilizable. para excluirlo de la coincidencia parcial" en la página 624.
4 Cree un perfil de documento indizado y Ver "Creación y modificación de perfiles de documentos

especifique el origen del documento. indizados" en la página 627.
5 Configure cualquier filtro de origen del Ver "Filtrado de documentos por nombre del archivo"
documento. en la página 639.
6 Programe la indización según sea necesario. Ver "Como programar la indización de perfiles de
documento" en la página 641.
7 Configure una o más condiciones o Ver "Configuración de la condición de política El contenido

excepciones de políticas de IDM. coincide con la firma del documento" en la página 645.
8 Pruebe y solucione problemas en la Ver "Políticas de solución de problemas" en la página 484.

implementación de IDM.
Preparación del origen de datos del documento para indización

Debe recopilar y preparar los documentos que desea indizar. Estos documentos
se conocen como origen de datos del documento.
Ver "Acerca del origen de datos del documento" en la página 611.
Un origen de datos del documento es un archivo de almacenamiento ZIP que
contiene documentos para indizar. También pueden ser los archivos almacenados
en un archivo compartido en un equipo local o remoto. Un archivo comprimido de
origen de datos del documento puede contener cualquier tipo de archivo y cualquier
combinación de archivos. Si tiene un archivo compartido que ya contiene los
documentos que desea proteger, puede hacer referencia a este recurso compartido
en el perfil de documento.
Tabla 22-9 Preparación del origen de documento para indización
1 Recopile todos los Recopile todos los documentos que desee indizar y colóquelos en una
documentos que desee carpeta.
proteger.
2 Descomprima todos los Los archivos que se indizan deben estar sin encapsular ni comprimir.
archivos que desee indizar. Compruebe la recopilación del documento para asegúrese de que ninguno
de los archivos se encapsulen en un archivo de almacenamiento, como
ZIP, TAR o RAR. Si un archivo se integra en un archivo de almacenamiento,
extraiga el archivo de origen del archivo de almacenamiento y elimine el
archivo de almacenamiento.
Ver "Usar IDM para detectar contenido exacto del archivo y contenido parcial
del archivo" en la página 618.
3 Separe los documentos si Para proteger una gran cantidad de contenido y archivos, cree
tiene más de 650 000 recopilaciones independientes para cada conjunto de documentos de más
archivos para indizar. de 1 000 000 archivos, con todos los archivos sin encapsular ni comprimir.
Por ejemplo, si tiene 15 000 000 de documentos que desea indizar, separe
los archivos por carpetas, con una carpeta que contenga 750 000 archivos
y otra carpeta que contenga los 750 000 archivos restantes. o, se puede
cambiar el valor de com.vontu.profiles.documents.maxIndexSize
en el Indexer.properties para acomodar a conjuntos de datos más grandes.
La regla empírica es 2 documentos GB/1 millón.
Ver "Cree perfiles aparte para indizar orígenes de documentos grandes"

en la página 653.
4 Decida cómo se va a poner El proceso de indización es un proceso aparte que se ejecuta en Enforce
el archivo de origen del Server. Para indizar el origen del documento es necesario que los archivos
documento a disposición de puedan acceder a Enforce Server. Tiene varias opciones. Decida cuál
Enforce Server. resulta mejor para sus necesidades y proceda según corresponda.
Ver "Carga de archivos de almacenamiento documentales a Enforce Server"

en la página 631.
Ver "Consulta de archivos de almacenamiento documentales en Enforce

Ver "Usar la ruta de local en Enforce Server" en la página 634.
Ver "Usar la opción Recurso compartido SMB remoto para indizar archivos
compartidos" en la página 634.
5 Configure el perfil de El paso siguiente es configurar el perfil de documento o, alternativamente,

documento. si desea excluir el contenido del documento específico de la detección,
inclúyalo en la lista blanca.
Ver "Creación y modificación de perfiles de documentos indizados"
en la página 627.
Ver "Colocación en una lista blanca de contenido de archivo para excluirlo

de la coincidencia parcial" en la página 624.
Colocación en una lista blanca de contenido de archivo para excluirlo

de la coincidencia parcial
Se usa la lista blanca para excluir contenido poco importante o no crítico, como
texto reutilizable estándar, encabezados y pies de página del documento del índice
de IDM. Colocar en lista blanca ese contenido ayuda a reducir los falsos positivos.
Ver "Acerca de la lista blanca de contenido parcial de archivo" en la página 621.
Para excluir contenido de coincidencias, copie el contenido que desee excluir en
un archivo de texto y guarde el archivo como Whitelisted.txt. De forma
predeterminada, el archivo debe contener al menos 300 caracteres sin espacios
en blanco para tener su contenido con huella digital para propósitos de colocación
en lista blanca. Cuando se indiza el origen de documento, Enforce Server o el
Indizador de IDM remoto busca el archivo Whitelisted.txt.
La Tabla 22-10 describe el proceso para excluir el contenido del documento usando
la colocación en lista blanca.
Tabla 22-10 Colocación en lista blanca de contenido no confidencial
1 Copie el contenido que desee Copie solo el contenido no crítico que desee excluir, por ejemplo, texto
excluir de coincidencias en un reutilizable estándar y encabezados y pies de página del documento
archivo de texto. y archivo de texto. De forma predeterminada, para indizar el contenido
de archivo que coincide con el archivo, debe contener al menos 300
caracteres. Esta configuración predeterminada se aplica también al
archivo Whitelisted.txt también. Para el texto en la lista blanca,
se puede cambiar esta configuración predeterminada.
Ver "Cambio de propiedades predeterminadas del indizador"

en la página 642.
2 Guarde el archivo de texto como El archivo Whitelisted.txt es el archivo de código fuente para
Whitelisted.txt. almacenar contenido que desea excluir de la coincidencia.
3 Guarde el archivo en el directorio Guarde el archivo en

whitelisted en el sistema de \SymantecDLP\Protect\documentprofiles\whitelisted (en
archivos de hosts de Enforce Windows) o en
Server. /var/SymantecDLP/documentprofiles/whitelisted (en Linux).
4 Configure Perfil de documento Cuando indiza el origen de datos del documento, Enforce Server busca
indizado y genere el índice. el archivo Whitelisted.txt. Si existe el archivo, Enforce Server lo
copia en Whitelisted.x.txt, donde x es un número de
identificación único correspondiente al Perfil de documento indizado.
La indización futura de ese perfil usa el archivo específico de perfil
Whitelisted.x.txt en lugar del archivo genérico
Whitelisted.txt.

en la página 627.
Administre y agregue los perfiles de documentos indizados

La pantalla Administrar > Perfiles de datos > Documentos indizados enumera
todos los Perfiles de documento indizado configurados en el sistema. Desde
esta pantalla, es posible administrar perfiles existentes y agregar nuevos.
Tabla 22-11 Acciones de la pantalla Documentos indizados
Agregar perfil IDM Haga clic en Agregar perfil de documento para crear un nuevo perfil de Documento indizado.
Ver "Configuración de los perfiles de IDM y las condiciones de políticas" en la página 621.
Edite el perfil de IDM Haga clic en el nombre de Perfil de documento o haga clic en el icono del lápiz en el extremo
derecho del perfil para modificar un Perfil de documento existente.
Eliminar perfil de Haga clic en el icono de la X roja, al lado del extremo derecho de la fila del perfil de documento
IDM para eliminar ese perfil del sistema. Un cuadro de diálogo confirma la eliminación.
Nota: No es posible editar o eliminar un perfil si otro usuario lo está modificando en ese
momento o si existe una política que depende de ese perfil.
Actualizar el estado Haga clic en el icono de la flecha actualizar en el extremo derecho de la pantalla Documentos
del perfil de IDM indizados para buscar el último estado del proceso de indización. Si está realizando el proceso
de indización, el sistema muestra el mensaje “Se está iniciando la indización”. El sistema no
actualiza automáticamente la pantalla cuando el proceso de la indización finaliza.
Tabla 22-12 Detalles de la pantalla Documentos indizados
Perfil de documento El nombre del perfil de documento indizado.
Servidor de El nombre del servidor de detección que indiza el Perfil de documento y la versión del Perfil
detección de documento.
Haga clic en el icono del triángulo al lado del nombre del Perfil de documento para mostrar
esta información. Aparece debajo del nombre del Perfil de documento.
Ubicación La ubicación de los archivos en Enforce Server que el sistema ha perfilado e indizado.
Documentos La cantidad de documentos que el sistema ha indizado para el perfil de documento.
Estado El estado actual del proceso de indización del documento, que puede ser cualquiera de los
siguientes:
■ Próxima indización programada (si no se está indizando actualmente)

■ Envío de un índice a un servidor de detección
■ Indización
■ Cómo implementar un servidor de detección
Además, debajo del estado del proceso de indización de direcciones, el sistema muestra el
estado de cada servidor de detección, que puede ser cualquiera de los siguientes:
■ Finalizado, incluida una fecha de finalización

■ Finalización del índice pendiente (es decir, esperar a que Enforce Server termine de indizar
un archivo)
■ Replicar la indización
■ Cómo crear un índice (internamente)
Mensajes de error La pantalla Documento indizado, además, muestra cualquier mensaje de error en rojo (por
ejemplo, si el perfil de documento está dañado o no existe).

Ver "Como programar la indización de perfiles de documento" en la página 641.
Creación y modificación de perfiles de documentos indizados

Se define y configura Perfil de documento indizado en la pantalla Administrar
> Perfiles de datos > Documentos indizados > Configurar perfil de
documentos. El perfil de documento especifica el origen de datos del documento,
los parámetros de la indización de direcciones y la indización de direcciones
programación. Debe definir un perfil de documento para implementar la detección
de IDM.
Tabla 22-13 describe los pasos para crear y modificar los perfiles de IDM.
Tabla 22-13 Configuración de perfil de documento
1 Vaya a la pantalla Administrar > Debe iniciar sesión en la consola de administración de Enforce Server
Perfiles de datos > como autor de administrador o de políticas.
Documentos indizados.
2 Haga clic en Agregar perfil de Seleccione un Perfil de documento indizado existente para editarlo.
documento.
Ver "Administre y agregue los perfiles de documentos indizados"
en la página 625.
3 Escriba un Nombre para el Perfil Elija un nombre que describa el contenido de datos y el tipo del índice
de documento. (por ejemplo, "investigación doc. IDM"). El nombre se limita a 255
caracteres.
Ver "Límite de caracteres de entrada para la configuración de

políticas" en la página 468.
4 Seleccione el método Origen de Seleccione una de las cinco opciones para indizar el origen de datos
documento para indizar. del documento, dependiendo de qué tan grande sea el origen de
datos y de cómo lo haya empaquetado.
Opciones para poner el origen de datos a disposición de Enforce
Server.
■ Cargar archivo de almacenamiento de documentos al servidor

ahora
Para usar este método, seleccione Examinar y elija un archivo
ZIP que contenga los documentos que desea indizar. El tamaño
máximo del archivo ZIP es 50 MB.
Ver "Carga de archivos de almacenamiento documentales a
■ Hacer referencia al archivo de almacenamiento de Enforce
Server
Use este método si copió el archivo ZIP al host del sistema de
archivos donde Enforce Server está instalado. El tamaño máximo
del archivo ZIP es 2 GB. Este archivo ZIP está disponible para su
selección en el campo desplegable.
Ver "Consulta de archivos de almacenamiento documentales en
■ Usar ruta local de Enforce Server
Este método le permite indizar archivos individuales que son
locales para Enforce Server. Con este método, los archivos que
se indizan no se pueden archivar en un archivo ZIP.
■ Usar recurso compartido SMB remoto
Ver "Acerca de la indización de documentos remotos"
en la página 612.
■ Importar de un perfil de IDM creado remotamente
El Indizador de IDM remoto es una herramienta independiente

que le permite indizar sus documentos y archivos confidenciales
localmente en los sistemas donde se almacenan estos archivos.
Consulte el Indizador de IDM remoto Ver "Acerca del Indizador
de IDM remoto" en la página 656. para obtener más información.
■ Ver "Usar la opción de recurso compartido remoto SMB para
indizar los documentos de SharePoint" en la página 635.
5 Opcionalmente, configure Es posible especificar el nombre del archivo y el tamaño del archivo
cualquier Filtro. filtra en el perfil de documento. Los filtros indican al sistema qué
archivos incluir u omitir durante la indización de direcciones.
Ver "Filtre los documentos de la indización para reducir los falsos
positivos" en la página 652.
Especifique los archivos que desea incluir en el campo Filtros de

inclusión de nombres de archivos o los archivos que desea excluir
en el campo de Filtros de exclusión de nombres de archivos.
Ver "Filtrado de documentos por nombre del archivo" en la página 639.
Seleccione los tamaños de archivo que desea omitir, Omitir archivos

menores que u Omitir archivos mayores que.
Ver "Filtrado de documentos por tamaño del archivo" en la página 640.
6 Seleccione una de las opciones Como parte de la creación de un perfil de documento, puede
de Indización. configurar una programación para indizar el origen de documento.
No es necesario seleccionar una opción de indización para crear un
perfil a que puede hacer referencia a una política, pero debe
seleccionar una opción de indización para generar el índice y detectar
realmente coincidencias con una política de IDM.
■ Seleccione Enviar trabajo de indización al guardar para indizar

el origen del documento de forma inmediata al guardar el perfil
de documento.
■ Seleccione Enviar trabajo de indización al programar para
mostrar opciones de programación de modo que pueda programar
la indización en otro momento.
Ver "Como programar la indización de perfiles de documento"
en la página 641.
7 Haga clic en Guardar. Debe guardar el perfil de documento.
Configuración de coincidencia parcial de contenido del endpoint

Es posible habilitar o deshabilitar la coincidencia parcial de contenido del endpoint
para perfiles de IDM en la consola de administración de Enforce Server desde
Administrar > Perfiles de datos > Documentos indizados > Configurar
coincidencia parcial del endpoint. Esta página muestra una instantánea en el
momento de todos los perfiles implementados con su tamaño actual estimado.
Cuando se hace clic en Guardar, los perfiles que se hayan seleccionado tienen la
coincidencia parcial habilitada.
Tabla 22-14 describe los pasos para configurar la coincidencia parcial de contenido
en el endpoint.
Tabla 22-14 Configuración de coincidencia parcial de contenido del endpoint
1 Vaya a la pantalla
Administrar > Perfiles
de datos > Documentos
indizados.
2 Haga clic en Configurar La página Configurar coincidencia parcial de

coincidencia parcial. contenido muestra una instantánea de todos los
perfiles que se implementan en el momento en que
se accede a la página, junto con su tamaño actual
estimado.
Nota: La página Configurar coincidencia parcial
de contenido no está disponible mientras se está
indizando un perfil de IDM.
3 Haga clic en la casilla de

Nota: Si los perfiles comienzan a volver a indizarse
verificación en
cuando usted está en esta página y el tamaño del
Coincidencia parcial del
perfil cambia de forma significativa y si el perfil también
endpoint para todos los
se selecciona para la coincidencia parcial, la lista de
perfiles que se deseen
perfiles seleccionados podría verse afectada.
habilitar para la
coincidencia parcial.

Nota: La suma de todos los perfiles implementados
en el endpoint no puede superar el valor de Tamaño
total de perfil del endpoint (en MB), que se
establece de forma predeterminada en 60 MB. Para
cambiar este valor, especifique un valor diferente en
el cuadro Tamaño total de perfil del endpoint (en
MB).
Después de hacer clic en Guardar, los perfiles que

se han seleccionado tendrán la coincidencia parcial
habilitada. Haga clic en Actualizar para asegurarse
de que tiene el último estado de la operación de
indización.
Carga de archivos de almacenamiento documentales a Enforce

Server
La opción Cargar archivo de almacenamiento de documentos al servidor ahora
le permite cargar un archivo ZIP con un tamaño máximo de 50 MB a Enforce Server
e indizar su contenido. Para usar este método de indización, el origen del documento
debe cumplir con los requisitos descritos en la tablaTabla 22-15
Para cargar los archivos de almacenamiento documentales a Enforce Server
describe el proceso para usar el método de indización Cargar archivo de
almacenamiento de documentos al servidor ahora.
Para cargar los archivos de almacenamiento documentales a Enforce Server
1 Vaya a la pantalla Administrador > Perfiles de datos > Documentos
indizados > Configurar perfil de documentos.
2 Seleccione la opción Cargar archivo de almacenamiento de documentos
al servidor ahora.
Haga clic en Examinar y seleccione el archivo ZIP. El archivo ZIP puede estar
en cualquier lugar en la misma red que Enforce Server.
Opcionalmente, puede escribir la ruta completa y el nombre del archivo si el
archivo ZIP es local en Enforce Server, por ejemplo:
c:\Documents\Research.zip.
3 Especifique uno o más los filtros de nombre de archivo o tamaño de archivo

(opcionales).
4 Seleccione una de las opciones de indización (opcional).
Tabla 22-15 Requisitos para usar la opción Cargar archivo de almacenamiento

de documentos al servidor ahora
Solo archivo ZIP Los archivos de almacenamiento documentales deben ser un archivo ZIP; no se admite
ningún otro formato de encapsulación para esta opción.
50 MB o menos No es posible usar esta opción si el archivo ZIP del archivo de almacenamiento documental
tiene más de 50 MB porque los archivos que superan el límite de tamaño pueden tardar
mucho tiempo en cargarse y disminuir el rendimiento de Enforce Server. Si el archivo ZIP
de los archivos documentales es de más de 50 MB, use el método Hacer referencia al
archivo de almacenamiento de Enforce Server.
Solo nombres del archivo El proceso de indización de IDM falla (y presenta un "error inesperado") si los archivos de
UTF-8 almacenamiento documentales (archivo ZIP) contienen nombres de archivo que no son
ASCII en codificaciones diferentes de UTF-8.
Si el archivo ZIP contiene nombres de archivos con caracteres que no son ASCII, use
cualquiera de las siguientes opciones para poner los archivos a disposición de Enforce
Server para indizarlos:
■ Use el Indizador de IDM remoto.

Consulta de archivos de almacenamiento documentales en Enforce

Server
Se usa la opción Hacer referencia al archivo de almacenamiento de Enforce
Server para crear un índice IDM basado en un archivo ZIP que sea local en Enforce
Server. Use esta opción para indizar los documentos de origen que están archivados
en un archivo ZIP que sea más grande de 50 MB.
Nota: Si el archivo ZIP tiene menos de 50 MB, puede usar la opción Cargar archivo
de almacenamiento de documentos al servidor ahora. Ver "Carga de archivos
de almacenamiento documentales a Enforce Server" en la página 631.
Para usar la opción Hacer referencia al archivo de almacenamiento de Enforce

Server, copie el archivo ZIP en la carpeta
\SymantecDLP\Protect\documentprofiles en el host del sistema de archivos de
Enforce Server. Una vez que haya copiado el archivo ZIP en Enforce Server, puede
seleccionar el origen del documento del menú desplegable en la pantalla Agregar
perfil de documento. Ver "Creación y modificación de perfiles de documentos
indizados" en la página 627.
Para consultar los archivos de almacenamiento documentales en Enforce Server
describe el procedimiento para usar la opción Hacer referencia al archivo de
almacenamiento de Enforce Server.
Para consultar los archivos de almacenamiento documentales en Enforce Server
1 Copie el archivo ZIP en Enforce Server.
■ En Windows, copie el archivo ZIP en el directorio
\SymantecDLP\Protect\documentprofiles
■ En Linux, copie el archivo ZIP en el directorio

/var/SymantecDLP/documentprofiles
Nota: El sistema elimina el archivo de origen de datos del documento después

de que se completa el proceso de indización.
2 Inicie sesión en la consola de administración de Enforce Server.

4 Seleccione el archivo del menú desplegable Hacer referencia al archivo de
almacenamiento de Enforce Server.
Nota: Un origen de documento consultado actualmente por otro Perfil de

documento indizado no aparece en la lista.
5 Especifique uno o más los filtros de nombre de archivo o tamaño de archivo

(opcionales).
6 Seleccione una de las opciones de indización (opcional).
7 Haga clic en Guardar para guardar el perfil de documento.
Tabla 22-16 Requisitos para usar la opción Hacer referencia al archivo de

almacenamiento de Enforce Server
Solo archivo ZIP Los archivos de almacenamiento documentales deben ser un archivo ZIP; no se admite
ningún otro formato de encapsulación para esta opción.
El archivo ZIP puede ser de a lo sumo 2 GB. Considere usar una solución del otro fabricante
(como FTP seguro), para copiar el archivo ZIP con seguridad en Enforce Server.
Subarchivo no archivado Asegúrese de que los subarchivos sean apropiados y no estén encapsulados en un archivo
de almacenamiento (con excepción del archivo de almacenamiento de perfil superior).
Ver "No comprima los archivos en el origen de documento" en la página 648.

Solo nombres del archivo No use este método si los nombres de los archivos que está indizando contienen nombres
UTF-8 de archivo que no son ASCII.
Use cualquiera de las siguientes opciones:
■ Use el Indizador de IDM remoto. Consulte xref al capítulo Indizador de IDM remoto.
Ver "Usar la opción Recurso compartido SMB remoto para indizar archivos compartidos"
en la página 634.
Usar la ruta de local en Enforce Server

El método Usar ruta local de Enforce Server le permite indizar los archivos
individuales que son locales en Enforce Server. Con este método, los archivos que
se indizan no se pueden archivar en un archivo ZIP. El sistema elimina los
documentos una vez que el proceso de la indización se completa.
Para usar el método Usar ruta local de Enforce Server para poner el origen de
documento a disposición de Enforce Server para indizarlo, especifique la ruta local
en el directorio que contiene los documentos que desea indizar. Por ejemplo, si
copia los archivos en el sistema de archivos en el directorio c:\Documents, debe
especificar c:\Documents en el campo de la opción Usar ruta local de Enforce
Server. Es necesario especificar la ruta exacta, no una ruta relativa. No incluya
los nombres de archivo reales en la ruta.
Nota: Si los archivos que indiza incluyen un archivo de más de 2 GB de tamaño,

el sistema indiza todos los archivos excepto el archivo de 2 GB. Esto se aplica
solamente a la opción Usar ruta local de Enforce Server. No aplica a la opción
Hacer referencia al archivo de almacenamiento de Enforce Server.
Usar la opción Recurso compartido SMB remoto para indizar archivos

compartidos
El método Usar recurso compartido SMB remoto le permite indizar los
documentos remotamente con el protocolo Common Internet File System (CIFS).
Para usar este método de poner el origen del documento a disposición de Enforce
Server, especifique la ruta de convención de nomenclatura universal (UNC) para
el recurso compartido de bloque de mensajes del servidor (SMB) que contiene los
documentos que desea indizar.
Ver "Para indizar documentos remotos en archivos compartidos de archivos usando
CIFS" en la página 635. proporciona los pasos para usar CIFS para indizar
documentos remotos.
Nota: Symantec Data Loss Prevention no elimina documentos después de la

indización cuando se utiliza la opción Usar recurso compartido SMB remoto.
Para indizar documentos remotos en archivos compartidos de archivos usando

CIFS
3 Seleccione la opción Usar recurso compartido SMB remoto.
4 Especifique la Ruta UNC para el recurso compartido SMB que contiene los
documentos que desea indizar.
Una ruta UNC incluye un nombre del servidor, un nombre de recurso
compartido y una ruta de archivo opcional, por ejemplo:
\\server\share\file_path.
5 Escriba un nombre de usuario y una contraseña válidos para el recurso

compartido, y vuelva a escribir la contraseña. El usuario que se especifica
debe tener acceso general a la unidad compartida y leer los permisos de
archivos constitutivos.
Opcionalmente, puede Usar credenciales guardadas, en cuyo caso las
credenciales están disponibles en el menú desplegable.
6 Complete la configuración de Perfil de documento indizado.
en la página 627.
Usar la opción de recurso compartido remoto SMB para indizar los

documentos de SharePoint
Para indizar remotamente los archivos en SharePoint, se debe exponer el recurso
compartido de archivo remoto usando WebDAV. Una vez que haya habilitado
WebDAV para SharePoint, se utiliza la opción Usar recurso compartido SMB

remoto y se escribe la ruta UNC para indizar los documentos remotos. Symantec
Data Loss Prevention admite la indización de IDM remoto mediante WebDAV para
instancias de SharePoint 2007 y SharePoint 2010.
Nota: Para indexar los documentos en un servidor SharePoint que usa la opción
Usar recurso compartido SMB remoto, es necesario implementar Enforce Server
a un host admitido del sistema operativo del servidor de Windows. Data Loss
Prevention depende de los servicios de Windows NTLM para montar un servidor
de WebDAV.
Tabla 22-17 proporciona el procedimiento para indizar remotamente los documentos

de SharePoint usando WebDAV
Tabla 22-17 Indización de los documentos de SharePoint
Paso Tarea Descripción
1 Habilite WebDAV para Ver "Activar WebDAV para Microsoft IIS" en la página 637.
SharePoint.
2 Inicie el servicio WebClient. En el equipo en el cual está instalado Enforce Server, inicie el servicio
WebClient mediante la consola "Servicios". Si este servicio está
"deshabilitado", haga clic con el botón derecho y seleccione Propiedades.
Seleccione Habilitar el servicio, configúrelo como Manual y, luego, seleccione
Iniciar.
Nota: Es necesario contar con privilegios administrativos para habilitar este
servicio.
3 Acceda a la instancia de En el equipo en el cual está instalado Enforce Server, acceda a SharePoint
SharePoint. con el navegador y el siguiente formato de dirección:
http://<server_name>:port
Por ejemplo, http://protect-x64:80.
4 Inicie sesión en SharePoint No es necesario contar con privilegios administrativos de SharePoint.

como usuario autorizado.
5 Localice los documentos para En SharePoint, vaya a los documentos que desea analizar. A menudo, los
analizar. documentos de SharePoint se almacenan en la pantalla Inicio > Documentos
compartidos. Los documentos se pueden almacenar en otra ubicación.
Paso Tarea Descripción
6 Busque la ruta UNC para los En SharePoint, para los documentos que desea analizar, seleccione la opción
documentos. Biblioteca > Abrir con el Explorador. El Explorador de Windows debe abrir
una ventana y mostrar los documentos. Busque en el campo Dirección la ruta
a los documentos. Esta dirección es la ruta UNC necesaria para analizar los
documentos remotamente. Por ejemplo: \\protect-x64\Documentos
compartidos. Copie esta ruta al Portapapeles o a un archivo de texto.
7 Cree el índice de IDM. Ver "Creación y modificación de perfiles de documentos indizados"

en la página 627.
8 Configure el origen de la Para configurar el origen de indización remota:

indización remota de
■ Para el campo Origen de documento, seleccione la opción Usar recurso
SharePoint.
compartido SMB remoto.
■ Para la Ruta UNC, pegue (o escriba) la dirección que copió en el paso
anterior. Por ejemplo: \\protect-x64\Documentos compartidos.
■ Para las Credenciales de usuario, escriba su nombre de usuario y
contraseña de SharePoint o selecciónelos de la lista Credenciales
guardadas.
■ Seleccione la opción Enviar indización al guardar y haga clic en Guardar.
9 Verifique que los resultados En la pantalla Administrar > Perfiles de datos > Documentos indizados,
sean correctos. debe poderse ver que le índice se creó correctamente. Consulte el "Estado"
y la cantidad de documentos indizados. Si el índice se creó correctamente,
ahora puede usarlo para crear políticas de IDM.
Ver "Solución de problemas de indización de documentos de SharePoint"

en la página 638.
Activar WebDAV para Microsoft IIS

Hay diversos métodos para habilitar WebDAV para IIS. Los siguientes pasos ofrecen
un enfoque, en este caso, para un Windows Server 2008 R2. Este enfoque se
brinda únicamente como ejemplo. El enfoque y el entorno pueden diferir.
Las implementaciones de Microsoft IIS que albergan instancias de SharePoint del
host se pueden habilitar para aceptar las conexiones de WebDAV de parte de los
clientes web.
Habilitar WebDAV para SharePoint
1 Inicie sesión en el sistema de SharePoint donde desea habilitar WebDAV.
2 Abra la consola del Administrador de Internet Information Services (IIS).
3 Seleccione el nombre del servidor en el árbol de IIS.

4 Expanda el árbol, haga clic en la carpeta Sitios web y expándala.
5 Seleccione la instancia de SharePoint de la lista.
6 Haga clic con el botón derecho en la instancia de SharePoint y seleccione
Nuevo > Directorio virtual.
7 Aparece el asistente para la creación de directorios virtuales. Haga clic en
Siguiente.
8 Escriba un nombre en el campo Alias (como "WebDAV") y haga clic en
Siguiente.
9 Escriba una ruta de directorio en el campo Directorio de contenido del sitio
web. Puede ser cualquier ruta de directorio, siempre que exista. Haga clic en
Siguiente.
10 Seleccione Acceso de lectura y haga clic en Siguiente.
11 Haga clic en Finalizar.
12 Haga clic con el botón derecho en el directorio virtual que creó y seleccione
Propiedades.
13 En la ficha Directorio virtual, seleccione la opción "Una redirección a una
dirección URL" y haga clic en Crear. El nombre de alias se completa en el
campo Nombre de la aplicación.
14 Escriba la dirección URL del sitio de SharePoint en el campo "Redirigir a" y
haga clic en Aceptar. WebDAV ahora está habilitado para esta instancia de
SharePoint.
Solución de problemas de indización de documentos de

SharePoint
Si no es posible establecer la conexión entre el equipo Enforce Server y el equipo
SharePoint Server después de habilitar WebDAV, asegúrese de haber iniciado el
servicio WebClient en el equipo Enforce Server. Es necesario iniciar este servicio
y probar la conexión de WebDAV antes de configurar la indización de IDM.
Si planifica volver a indexar los documentos de SharePoint periódicamente a medida
que se actualizan, es posible que sea útil asignar el recurso de red remoto al equipo
local en el cual está instalado Enforce Server. Es posible usar el comando "net
use" de MS-DOS para asignar SharePoint mediante la ruta UNC. Por ejemplo:
■ net use
Este comando sin parámetros recupera y muestra una lista de conexiones de

red.
■ net use s: \\sharepoint_server\Shared Documents
Este comando asigna el servidor de SharePoint a la unidad "S" local.
■ net use * \\sharepoint_server\Shared Documents
Este comando asigna el servidor de SharePoint a la siguiente unidad disponible.
■ net use s: /delete
Este comando elimina la asignación de red a la unidad específica.
Filtrado de documentos por nombre del archivo

Cuando se configura un perfil de documento indizado, tiene la opción de usar los
filtros para incluir o excluir documentos en su origen de datos de la indización. Hay
dos tipos de filtros de nombre de archivo: Filtros de inclusión de nombres de archivos
y Filtros de exclusión de nombres de archivos. Symantec recomienda que, si se
elige usar los filtros de nombre de archivos, seleccione los filtros de inclusión o los
filtros de exclusión, pero no ambos.
Ver "Filtre los documentos de la indización para reducir los falsos positivos"
en la página 652.
Tabla 22-18 describe las diferencias entre los filtros de inclusión y exclusión para
los nombres de archivo.
Tabla 22-18 Filtros de nombres de archivos distinguidos
Filtro Descripción
Filtros de inclusión de Si el campo Filtros de inclusión de nombres de archivos está vacío, la coincidencia se
nombres de archivos realiza en todos los documentos en el perfil de documento. Si especifica cualquier cosa
en el campo Filtros de inclusión de nombres de archivos, se trata como filtro de inclusión.
En este caso, el documento se indiza solamente si coincide con el filtro que se especifica.
Por ejemplo, si especifica *.docx en el campo Filtros de inclusión de nombres de

archivos, el sistema indizará solamente los archivos *.docx en el origen de documento.
Filtros de exclusión de El campo Filtros de exclusión le permite especificar los documentos para excluir en el
nombres de archivos proceso de búsqueda de coincidencias.
Si deja vacío el campo Filtros de inclusión, el sistema realiza la búsqueda de coincidencias

en todos los documentos en el archivo ZIP o el archivo compartido. Si especifica cualquier
valor en el campo, el sistema analiza solamente esos documentos que no coinciden con
el filtro.
El sistema trata las barras diagonales (/) y las barras invertidas (\) como
equivalentes. El sistema omite los espacios al principio o al final del patrón. El filtro
de nombres de archivos no admite caracteres de escape; por lo tanto, no es posible

hacer coincidir signos de interrogación, comas o asteriscos literales.
Tabla 22-19 describe la sintaxis aceptada por la función Filtros de nombres de
archivos. La sintaxis para los filtros de inclusión y exclusión es la misma.
Tabla 22-19 Sintaxis del filtro de nombre de archivo
Operador Descripción
Asterisco (*) Representa cualquier cantidad de caracteres.
Signo de interrogación (?) Representa un único carácter.
Coma (,) y nueva línea Representa un “O” lógico.
Tabla 22-20 proporcionar los filtros de muestra y las descripciones del

comportamiento si usted las especifica en el campo Filtros de inclusión de
nombres de archivos :
Tabla 22-20 Ejemplos del filtro de nombres de archivo
Cadena del filtro Descripción
*.txt,*.docx El sistema indiza solamente los archivos .txt y .doc en el archivo ZIP o el archivo
compartido, y omite todo lo demás.
?????.docx El sistema indiza los archivos con la extensión .docx y los archivos con nombres
de cinco caracteres, tales como hello.docx y stats.docx, pero no good.docx
o marketing.docx.
*/documentation/*,*/specs/* El sistema indiza solamente los archivos en dos subdirectorios debajo del directorio
raíz: uno, llamado “documentation”; y el otro, “specs.”.
Ejemplo con comodines y La indización de IDM falla u omite la configuración del filtro si la cadena del filtro El
subdirectorios: nombre de archivo incluye/excluye comienza con un carácter alfanumérico e incluye
un comodín, por ejemplo: l*.txt. La solución alternativa es configurar el filtro de
*\scan_dir\l*.txt
inclusión/exclusión con la cadena de filtro como se indica en este ejemplo, es decir,
*\scan_dir\l*.txt.
Por ejemplo, el filtro 1*.txt no funciona para una ruta de acceso

\\dlp.symantec.com\scan_dir\lincoln-LyceumAddress.txt. Sin
embargo, si el filtro se configura como *\scan_dir\l*.txt, el indizador
reconocerá el filtro e indizará el archivo.
Filtrado de documentos por tamaño del archivo

Los filtros le permiten especificar documentos para incluir o para excluir de la
indización. Los tipos de filtros son los filtros de inclusión de nombres de archivos,
los filtros de exclusión de nombres de archivos y los filtros de tamaño de archivo.

Use los filtros de tamaño para excluir los archivos del proceso de coincidencia en
función de su tamaño. Se omite cualquier archivo que coincida con los filtros de
tamaño.
En los campos Filtros de tamaño, especifique cualquier restricción de tamaño de
los archivos que el sistema debe indizar. En general, debe usar solamente un tipo
de filtro de tamaño del archivo.
Ver "Filtre los documentos de la indización para reducir los falsos positivos"
en la página 652.
Tabla 22-21 describe las opciones de tamaño del archivo.
Tabla 22-21 Opciones de configuración del filtro de tamaño del archivo
Filtro Descripción
Omitir archivos menores que Para excluir archivos más pequeños que un tamaño determinado:
■ Especifique un número en el campo para Omitir archivos menores que.

■ Seleccione la unidad apropiada de bytes de la medida, de KB (kylobytes) o de
MB (megabytes) de la lista desplegable.
Por ejemplo, para evitar la indización de archivos de un kilobyte más pequeños (1

KB), especifique 1 en el campo y seleccione KB en la lista desplegable
correspondiente.
Omitir archivos mayores que Para excluir archivos más grandes que un tamaño determinado:
■ Especifique un número en el campo para Omitir archivos mayores que.
■ Seleccione la unidad de medida apropiada (bytes, KB o MB) de la lista desplegable.
Por ejemplo, para evitar la indización de direcciones de los archivos de dos megabytes
más grandes (2 MB), especifique en 2 en el campo y seleccione MB en la lista
desplegable correspondiente.
Como programar la indización de perfiles de documento

Al configurar un perfil de documento, seleccione Enviar trabajo de indización al
guardar para indizar el perfil de documento tan pronto como lo guarde. También
puede configurar una programación para indizar el origen de documento.
Para programar la indización de documentos, seleccione Enviar trabajo de
indización al programar y seleccione una programación de la lista desplegable
según lo descrito en Tabla 22-22.
Nota: Enforce Server puede indizar solamente un perfil de documento al mismo

tiempo. Si un proceso de indización se programa para iniciarse mientras otro
proceso está en ejecución, el nuevo proceso no comienza hasta que el primero se
complete.
Tabla 22-22 Opciones para programar la indización de perfil de documento
Indizar una vez El : especifique la fecha para indizar el perfil de documento en el formato MM/DD/YY. También
Indizar diariamente A las : seleccione la hora en que desea iniciar la indización.
Indizar semanalmente Día de la semana : seleccione los días para indizar el documento.
Indizar mensualmente Día : especifique el número de día de cada mes en que desea llevar a cabo la indización. El
número debe ser del 1 al 28.
Cambio de propiedades predeterminadas del indizador

El índice de servidor contiene la huella digital MD5 de cada archivo indizado, ya
sea contenido binario sin procesar o exacto extraído si el contenido del archivo se
puede extraer, así como hashes de fragmentos de contenido discretos.
El tamaño de los fragmentos depende de la configuración de low_threshold_k
en el archivo de propiedades del indizador
(\SymantecDLP\Protect\config\indexer.properties). Por lo general, no es
necesario cambiar la configuración predeterminada. Cuando se baja el mínimo
predeterminado, Enforce Server crea hashes de secciones más pequeñas de los

documentos que indiza.
La configuración predeterminada también se aplica al archivo Whitelisted.txt.
Si la cantidad de contenido que necesita para la lista blanca es menor que la
cantidad mínima requerida para la coincidencia parcial, se puede ajustar la
configuración mínima predeterminada.
Para cambiar el mínimo predeterminado para el texto en la lista blanca
1 En el host Symantec Data Loss Prevention, vaya al directorio
\SymantecDLP\Protect\config en Windows o a
/opt/SymantecDLP/Protect/config en Linux.
2 Use un programa de edición de texto para abrir el archivo Indexer.properties

3 Localice el parámetro low_threshold_k:
low_threshold_k=50
4 Cambie la parte numérica del valor del parámetro para que refleje la cantidad
mínima deseada de caracteres permitidos en Whitelisted.txt.
Por ejemplo, para cambiar el mínimo a 30 caracteres, modifique el valor de
esta manera:
low_threshold_k=30
El valor para este parámetro debe coincidir el valor min_normalized_size.

La opción predeterminada para min_normalized_size es 50.
Para obtener más información sobre la configuración y la personalización de IDM,
consulte el artículo el "Understanding IDM configuration and customization"
(Descripción de la configuración y la personalización de IDM) en
http://www.support.symantec.com/doc/TECH234899 en el Centro de soporte de
Symantec.
Habilitar IDM del agente

Se habilita la IDM de coincidencia exacta y parcial en el endpoint de Windows al
establecer el parámetro de la configuración de agente avanzada
Detection.TWO_TIER_IDM_ENABLED.str en OFF. Una vez que la detección de
dos niveles está DESACTIVADA, el agente DLP hace coincidir el contenido del
archivo exacto y parcial y el archivo exacto y parcial, asumiendo que ha generado
el índice de endpoint.
Nota: La implementación de dos niveles no se admite en el agente de Mac.

Para obtener nuevas instalaciones, la coincidencia parcial y exacta de IDM en el
endpoint es la configuración predeterminada para la configuración de agente
endpoint predeterminada (TWO_TIER_IDM_ENABLED = OFF); que no necesita
habilitar.
Para los sistemas actualizados, la coincidencia exacta y parcial de IDM en el
endpoint está deshabilitada (TWO_TIER_IDM_ENABLED = ON), de modo que no
haya cambios en las funciones para las políticas existentes de IDM implementadas
en el endpoint. Si desea utilizar coincidencias exactas de IDM en el endpoint
después de la actualización, es necesario desactivar la detección de dos niveles
y volver a indizar cada origen de datos del documento.
Ver "Para activar o desactivar la detección de dos niveles" en la página 644.
Para activar o desactivar la detección de dos niveles
2 Vaya a Sistema > Agentes > Config. del agente.
3 Seleccione la configuración de agente aplicable.
4 Seleccione la ficha Configuración avanzada del agente.
5 Localice el parámetro Detection.TWO_TIER_IDM_ENABLED.str.
6 Cambie el valor a "ON" o a "OFF" (no distingue mayúsculas y minúsculas)
dependiendo de sus requisitos.
7 Haga clic en Guardar en la parte superior de la página para guardar los
cambios.
8 Aplique la configuración de agente al grupo o los grupos de agentes.
Ver "Aplicar configuraciones de agente a un grupo de agentes" en la página 2167.
Tabla 22-23 La configuración de agente avanzada para coincidencia exacta de

IDM en el endpoint
Parámetro de configuración del Valor Opción Motor de Tipo de coincidencia

agente avanzada predeterminada detección
Detection.TWO_TIER_IDM_ENABLED.str OFF Instalación de la Agente DLP Archivo exacto

versión 14.6
Contenido parcial del archivo
nueva o
actualización del
sistema de la
versión 12.5.
ON Actualización del Servidor de Archivo exacto

sistema desde endpoints
Contenido de archivo exacto
12.0.x
Contenido parcial del archivo
Estimar el uso de la memoria de endpoint para la IDM del agente

DLP 14.6 usa alrededor de 20 % menos memoria que DLP 14.0 para los perfiles
de documentos de IDM de coincidencia parcial. Para la coincidencia parcial, DLP
requiere alrededor de 2 KB de RAM por archivo o alrededor de 60 MB para 30 000
archivos para el agente. Para la coincidencia exacta solamente, DLP requiere
alrededor de 40 bytes por archivo.
Configuración de la condición de política El contenido coincide con

la firma del documento
El contenido coincide con la firma del documento de coincide con el contenido
de documento no estructurado basado en el perfil de documento indizado. La
condición El contenido coincide con la firma del documento de está disponible
para las reglas de detección y las excepciones.
Ver "Acerca del uso de la condición de política El contenido coincide con la firma
Para configurar la condición El contenido coincide con la firma del documento

1 Agregue una condición de IDM a una regla o a una excepción de políticas o
modifique una existente.
2 Configure los parámetros de la condición de IDM.
3 Guardar la configuración de políticas.
Tabla 22-24 Parámetros de la condición de firma de coincidencia de documentos

indizados
Configure la exposición Seleccione una opción de la lista desplegable.

mínima de documentos.
Elija Exacto para que coincidan los contenidos del documento exactamente.
Elija un porcentaje entre 10% y 90% para que coincida el contenido del documento
parcialmente.
Configure la cantidad de Seleccione cómo desea contar coincidencias:

coincidencias.
■ Comprobar si existe
Informa una cantidad de coincidencias de 1 si hay una o más coincidencias de
condiciones.
■ Contar todas las coincidencias
Informa una cantidad de coincidencias del número exacto de coincidencias.
Seleccione los Seleccione uno de los componentes de mensaje disponibles para establecer coincidencia:
componentes para
establecer coincidencias.
■ Archivos adjuntos : cualquier archivo adjunto o transferido por el mensaje.
Ver "Cómo seleccionar componentes para establecer una coincidencia" en la página 459.
Configure las condiciones Seleccione esta opción para crear una condición compuesta. Todas las condiciones se
adicionales en Hacer deben cumplir para activar o exceptuar una coincidencia.
también coincidir.
Es posible Agregar cualquier condición disponible del menú desplegable.
Prácticas recomendadas para usar IDM
Pruebe y ajuste la Ver "Pruebe y ajuste de políticas para mejorar la exactitud de coincidencia" en la página 493.
política.
Ver "Use las reglas paralelas de IDM para ajustar los umbrales de coincidencia"
en la página 655.

La coincidencia de documentos indizados (IDM) se diseña para proteger el contenido
y las imágenes de documentos. IDM se basa en un índice de documentos con
huellas digitales para buscar coincidencias parciales y derivadas de contenido
basado en texto. Además, se puede también usar IDM para hacer coincidir
documentos indizados exactamente en función de su marca binaria, incluyendo
no solo los documentos basados en texto sino además gráficos y archivos de
soportes.
Debido al intervalo amplio de coincidencia compatible con IDM, es necesario
considerar las prácticas recomendadas en esta sección para implementar aplicar
las políticas de IDM que coinciden exactamente con los datos que desea proteger.
La Tabla 22-25 resume las consideraciones de IDM descritas en esta sección, con
los vínculos a los temas individuales para cada una.
Tabla 22-25 Prácticas recomendadas de políticas de IDM
Consideración Descripción
Vuelva a indizar los perfiles de IDM después de la Ver "Vuelva a indizar los perfiles de IDM después de la
actualización. actualización importante" en la página 648.
No comprima los documentos de cuyo contenido desea Ver "No comprima los archivos en el origen de documento"
tomar las huellas digitales. en la página 648.
Prefiera la coincidencia parcial en lugar de la coincidencia Ver "Preferencia de la coincidencia parcial en lugar de la
exacta en el Agente DLP. coincidencia exacta en el Agente DLP" en la página 650.
No indice los documentos basados en texto sin contenido. Ver "No indice documentos vacíos" en la página 649.
Sea consciente de las limitaciones de la coincidencia Ver "Comprender limitaciones de coincidencia exacta"
exacta. en la página 650.
Utilice listas blancas para excluir el contenido parcial de Ver "Uso de listas blancas para excluir el contenido no
archivo de las coincidencias y para reducir los falsos confidencial de las coincidencias parciales"
positivos. en la página 651.
Consideración Descripción
Filtre los documentos no críticos de la indización para Ver "Filtre los documentos de la indización para reducir
reducir los falsos positivos. los falsos positivos" en la página 652.
Cambie el tamaño máximo del índice para indizar más de Ver "Cree perfiles aparte para indizar orígenes de
1 000 000 de documentos. documentos grandes" en la página 653.
Use la indización remota para los conjuntos de documento Ver "Indización de IDM remoto" en la página 656.
grandes.
Use la indización programada para automatizar las Ver "Use la indización programada para mantener los
actualizaciones del perfil. perfiles actualizados" en la página 654.
Use varias reglas de IDM paralelamente para establecer Ver "Use las reglas paralelas de IDM para ajustar los
y para ajustar los umbrales de coincidencia. umbrales de coincidencia" en la página 655.
Vuelva a indizar los perfiles de IDM después de la actualización

importante
Es necesario actualizar cada perfil de coincidencia de documentos indizados
volviendo a indizar cada origen de datos asociado después de realizar una
actualización importante de Symantec Data Loss Prevention.
Si ha actualizado a Symantec Data Loss Prevention versión 14.6 y desea usar IDM
de coincidencia parcial en el endpoint para las políticas existentes de IDM, es
necesario volver a indizar el origen de datos para cada perfil de documento indizado
para generar e implementar cada índice de endpoint en los agentes DLP.
Si ha actualizado a Data Loss Prevention 14.6 y no está utilizando la IDM del
agente, no es obligatorio volver a indizar sus orígenes de datos, pero se recomienda
hacerlo.
Ver "Habilitar IDM del agente" en la página 643.
No comprima los archivos en el origen de documento

Para los formatos de archivo cuyo contenido se puede extraer, el proceso de la
indización de servidor abre el documento, extrae el contenido basado en texto y
toma las huellas digitales de los datos por completo y en partes (secciones). Sin
embargo, el proceso de la indización no puede examinar recurrentemente los
archivos de documentos que contiene el conjunto de documentos. Si un documento
cuyo contenido de archivo desea indizar se comprime en un archivo de
almacenamiento (tal como ZIP, RAR o TAR) dentro del origen de datos del
documento, el sistema no puede extraer el contenido del archivo ni indizar su
contenido. En este caso, el sistema toma solamente un hash de cifrado de la firma
del archivo binario. El archivo integrado solamente se tendrá en consideración para

coincidencias de archivo exactas, como archivos de imagen y otros formatos de
archivo no admitidos.
Este comportamiento es específico para el proceso de la indización en el tiempo
de diseño solamente. En el tiempo de ejecución, el servidor de detección examina
recurrentemente los archivos de documentos y extrae el texto de los archivos
contenidos en esos archivos de almacenamiento. Pero, para ser capaz de evaluar
tal contenido, el índice de IDM debe haber podido indizar todos los archivos de
contenido.
Las prácticas recomendadas son no incluir ningún archivo cuyo contenido se desee
indizar en un archivo de almacenamiento documental. La única excepción es el
archivo ZIP de los archivos de almacenamiento documentales que se cargan o
copian en Enforce Server que contiene el conjunto entero de documentos. Todos
los archivos en ese archivo contenedor se deben descomprimir. Si los archivos de
documentos cargados en Enforce Server para indizar contienen uno o más archivos
de almacenamiento integrados (tales como ZIP), el sistema realiza una coincidencia
binaria exacta en cualquier archivo contenido en el archivo de almacenamiento
integrado.
No indice documentos vacíos

Es necesario tener cuidado con los documentos que se indizan. Particularmente,
evite indizar documentos en blanco o vacíos.
Por ejemplo, indizar un archivo PPTX que contiene solamente fotografías u otro
contenido gráfico pero ningún contenido textual coincide con otros archivos PPTX
en blanco exactamente y produce falsos positivos. En este caso, aunque un archivo
PPTX no contenga ningún texto escrito por el usuario, el archivo contiene el texto
del encabezado y del marcador de posición del pie de página que el sistema extrae
como contenido del archivo. Como la cantidad de texto extraída y normalizada
tiene más de 50 caracteres que no son espacios en blanco, el sistema trata al
archivo como no binario y crea un hash criptográfico de todo el contenido del
archivo. Como consecuencia, el resto de los archivos PPTX en blanco producen
coincidencias de contenido de archivo exacto porque el MD5 resultante del
contenido extraído es el mismo.
Nota: Este comportamiento no se ha observado con los archivos XLSX; es decir,

los falsos positivos no se crean si los archivos en blanco son diferentes.
Preferencia de la coincidencia parcial en lugar de la coincidencia

exacta en el Agente DLP
Si está implementando políticas de IDM en el endpoint, se recomienda IDM de
coincidencia parcial. La ventaja principal de IDM de coincidencia parcial en el
endpoint es que el establecimiento de coincidencias es rápido porque lo realiza
localmente el agente en vez realizarlo remotamente el servidor. Además, IDM de
coincidencia parcial le permite usar las reglas de respuesta directamente en el
endpoint.
Ver "Tipos de detección de IDM" en la página 608.
Comprender limitaciones de coincidencia exacta

La coincidencia exacta significa eso: los datos entrantes deben coincidir con la
huella digital MD5 de una firma de archivo binario o una coincidencia exacta de
contenido del archivo normalizado y extraído.
Considere lo siguiente al implementar la IDM de coincidencia exacta del servidor:
■ La lista blanca se aplica solamente a la coincidencia parcial de contenido del
archivo.
■ Para los archivos binarios y los archivos de texto que llegan al motor de
detección para la coincidencia de archivo exacta, como una optimización, el
sistema comprueba el tamaño de byte del archivo antes de computar el tiempo
de ejecución MD5 para la comparación con el índice. Si los tamaños de byte
de archivo no coinciden, no hay comparación de hashes criptográficos.
■ Nunca se comprueba el tipo de archivo en la coincidencia exacta de archivo o
de contenido de archivo.
■ Algunos formatos de archivo cambian el tamaño de byte de un archivo si el
archivo es abierto por la aplicación nativa y después se guarda sin los cambios,
dando por resultado el archivo sin coincidencia exacta. Por ejemplo, si se abre
un archivo tal como una imagen JPEG con Windows Picture and Fax Viewer y
se guarda el archivo sin realizar los cambios, el tamaño binario del archivo no
obstante se cambia, dando por resultado una coincidencia no exacta.
■ Para algunas aplicaciones, la operación Impresión de Windows puede alterar
los datos del archivo de modo que el contenido del archivo extraído no coincide
exactamente. Los tipos de archivo conocidos que son afectados por esto incluye
los documentos de Microsoft Office.
Tabla 1 enumera algunas limitaciones conocidas con coincidencia de contenido

exacta. Esta lista no es detallada y puede haber otros formatos de archivo que
cambian cuando los vuelve a guardar.
Tabla 1 Limitaciones de coincidencia de contenido de archivo exacto
Tipo de archivo Aplicación Resultado al volver a guardar
dwg AutoCAD 2012 No coincide
jpeg Windows Picture and Fax Viewer No coincide
doc Microsoft Office Word 2007 No coincide
xls Microsoft Excel 2007 No coincide
ppt Microsoft Presentation 2007 No coincide
pdf Adobe Acrobat 9 Pro No coincide
docx Microsoft Office Word 2007 Coincide
xlsx Microsoft Excel 2007 Coincide
pptx Microsoft Presentation 2007 Coincide
Uso de listas blancas para excluir el contenido no confidencial de

las coincidencias parciales
Las listas blancas se diseñan para permitir excluir contenido de archivo parcial de
las coincidencias. Se usan listas blancas para excluir los encabezados, los pies
de página y el contenido reutilizable de la coincidencia parcial y para reducir los
falsos positivos. Es posible que la información que contienen los encabezados y
los pies de página del documento puedan generar falsos positivos. Asimismo, el
texto reutilizable, como lenguaje estándar y contenido corporativo no propietario
que se suele repetir en documentos confidenciales, puede causar falsos positivos.
Idealmente, es necesario eliminar los encabezados y los pies de página de los
documentos antes de indizarlos. Sin embargo, puede no ser posible, especialmente
si tiene configurado un documento grande. Como práctica recomendada, debe
incluir en la lista blanca los encabezados, pies de página y contenidos reutilizables,
de modo que este texto se excluya cuando se genera el índice del servidor. Si usa
una lista blanca, puede reducir generalmente la configuración de Exposición
mínima de documentos en la política sin aumentar los falsos positivos porque la
mayoría del contenido indizado son datos confidenciales, en lugar de contenido
repetido y común.
Nota: La lista blanca no se aplica a las coincidencias de archivo exacto y de

contenido exacto del archivo.
Ver "Acerca de la lista blanca de contenido parcial de archivo" en la página 621.

Filtre los documentos de la indización para reducir los falsos positivos

Cuando se configura un perfil de documento indizado, tiene la opción de usar los
filtros para incluir o para excluir los documentos en su origen de datos para indizar.
Hay dos tipos de filtros: nombre de archivo y tamaño del archivo.
Se usa el filtrado para filtrar los documentos no críticos de la indización y para
asegurarse de que su índice esté protegiendo solamente los archivos y los
contenidos de archivos confidenciales. Filtrar ayuda a reducir los falsos positivos
y disminuir el tamaño del índice de IDM.
Las prácticas recomendadas son usar un filtro de exclusión o un filtro de inclusión
para cada tipo de filtro, pero no ambos. Por ejemplo, es posible que no necesite
indizar todos los archivos que se incluyen en un archivo de almacenamiento
documentales o que expone al sistema mediante archivos compartidos. En este
caso, se pueden enumerar los archivos que desee incluir (filtro de inclusión) o
enumerar los tipos de archivo que desea excluir de la indización (filtro de exclusión),
pero no debe usar ambos. Puede también usar los filtros de tamaño del archivo
para configurar un umbral para que el tamaño del archivo se incluya o excluya en
el índice.
Ver "Filtrado de documentos por tamaño del archivo" en la página 640.
Distinga las excepciones de IDM de las listas blancas y el filtrado

La lista blanca le permite excluir contenidos parciales de archivo al realizar la
búsqueda de coincidencia. El filtrado le permite excluir documentos específicos
del proceso de indización. Las excepciones de IDM, por otra parte, le permiten
exceptuar los archivos indizados de la coincidencia exacta en el tiempo de ejecución.
Se usa la condición de IDM como excepción de política para excluir archivos de la
detección. Para ser exceptuado de la coincidencia, un archivo entrante debe tener
una coincidencia exacta con un archivo en el índice de IDM. No es posible usar
las excepciones de IDM para excluir contenido de la coincidencia. Para excluir

contenido, se debe agregar a la lista blanca.
Nota: La lista blanca no está disponible para la coincidencia de contenido de archivo

o de archivo exacto, y está disponible solamente para la coincidencia de contenido
parcial.
Tabla 22-27 La lista blanca, los filtros y las excepciones distinguidos
Configuración de Uso
IDM
Excepción Exceptúa el archivo exacto de la coincidencia
Como un ejemplo, la plantilla de la política de la ley CAN-SPAM usa una excepción de IDM.
Lista blanca Exceptúa contenidos del archivo de la coincidencia
Ver "Uso de listas blancas para excluir el contenido no confidencial de las coincidencias parciales"
en la página 651.
Filtrado Incluye o excluye los archivos de la indización
Ver "Filtre los documentos de la indización para reducir los falsos positivos" en la página 652.
Cree perfiles aparte para indizar orígenes de documentos grandes

La detección de IDM se basa en un perfil de documento indizado. El tamaño máximo
del perfil de IDM único en RAM es 2 GB. Este límite máximo del tamaño se basa
en el número total de los documentos que son indizados. Dependiendo del tamaño
de los archivos de origen reales y de su tamaño del texto extraído, esto se traduce
a aproximadamente 1 000 000 de archivos. Es posible cambiar el tamaño máximo
de 2 GB de un único índice del perfil de IDM en el archivo indexer.properties
usando com.vontu.profiles.documents.maxIndexSize.
Si es necesario indizar más de 1 000 000 de archivos, las prácticas recomendadas
son ordenar los documentos en archivos ZIP separados o en directorios de recursos
compartidos. Se debe crear un perfil de documento indizado para cada conjunto
individual de documentos. A continuación, se pueden definir reglas aparte que se
refieran a cada índice y agregar las reglas a una o más políticas.
Utilice WebDAV o CIFS para indizar orígenes de datos remotos de

documento
Para conjuntos de documentos más pequeños (50 MB o menos), se pueden cargar
los archivos a Enforce Server. Para conjuntos de documentos más grandes,
considere usar FTP seguro para cargar los archivos a Enforce Server.
Alternativamente, se pueden indizar remotamente los documentos que están
almacenados en un recurso compartido de archivos que admite el protocolo CIFS
o en un servidor web que admite el protocolo WebDAV, tal como Microsoft
SharePoint o Livelink de OpenText.
Use la indización programada para mantener los perfiles actualizados

Es posible usar la programación del índice para mantener sus perfiles de IDM
actualizados. El índice inicial analiza todos los documentos que se indizarán.
Cualquier índice subsiguiente analiza solamente las diferencias entre los dos. Es
necesario programar la indización fuera de las horas de oficina normales para
reducir cualquier influencia potencial en el sistema.
Antes de configurar una programación de indización, considere las siguientes
recomendaciones:
■ Si actualiza sus orígenes de documento ocasionalmente (por ejemplo, menos
de una vez por mes), no necesita crear una programación. Indice el documento
cada vez que lo actualiza.
documentos grandes pueden tardar mucho tiempo en indizarse.
■ Indice un documento tan pronto como agregue o modifique el perfil
correspondiente de documento y vuelva a indizar el documento cuando lo
actualice. Por ejemplo, considere una situación en la que cada miércoles a las
2:00 a. m. se actualiza un documento. En este caso, la programación del proceso
de indización para que se ejecute cada miércoles a las 3:00 a. m. es óptima.
No se recomienda programar la indización de documentos para que se ejecute
diariamente porque la frecuencia es demasiado alta y podría perjudicar el
rendimiento del servidor.
programe actualizaciones e indizaciones de documentos más frecuentes.
■ Symantec Data Loss Prevention realiza indización incremental. Cuando un

recurso compartido o un directorio previamente indizados se indiza de nuevo,
solo se indizan los archivos que han cambiado o se han agregado. Cualquier
archivo que ya no esté en el archivo de almacenamiento se elimina durante
esta indización. Por lo tanto, es posible que una operación de reindización se
ejecute mucho más rápidamente que la operación de indización inicial.
Use las reglas paralelas de IDM para ajustar los umbrales de

coincidencia
El caso principal de uso para las políticas de IDM es detectar el contenido no
estructurado del documento según un requisito de coincidencia de porcentaje
llamado Exposición mínima de documentos. Este valor es un parámetro configurable
que especifica el porcentaje mínimo del contenido en el mensaje que debe coincidir
con el índice de IDM para producir una coincidencia. La opción predeterminada
de la política de IDM es "Exacto", que significa que, para los documentos basados
en texto, todo el contenido de mensaje debe coincidir con la huella digital para
crear un incidente. Una configuración de Exposición mínima de documentos del
10% significa que, en promedio, una página de un documento de 10 páginas debe
coincidir con el índice de IDM para crear un incidente.
Un documento puede contener mucho más contenido, pero Symantec Data Loss
Prevention protege solamente el contenido que se indiza como parte de un perfil
de documento. Por ejemplo, considere una situación en la que indiza un documento
de una página y ese documento de una página está incluido en un documento de
100 páginas. El documento de 100 páginas se considera una coincidencia exacta,
ya que su contenido coincide exactamente con el documento de una página.
Además, no es necesario que el documento con el que se establece coincidencia
sea el mismo tipo de archivo o tenga el mismo formato que el documento indizado.
Por ejemplo, si se indiza un documento de Word como parte de un perfil de
documento y sus contenidos se pegan en el cuerpo de un mensaje de correo
electrónico o se usan para crear un PDF, el motor lo considera una coincidencia.
Una regla empírica rápida para establecer la configuración de Exposición mínima
de documentos es el 60%. Las Exposiciones mínimas de documentos configuradas
en menos del 50% generalmente crean muchos falsos positivos. A partir del índice
del 60%, debe obtenerse bastante información para determinar si se debe ir a un
porcentaje más alto o más bajo de coincidencia sin crear falsos positivos excesivos.
Como una alternativa, considere tomar un enfoque con capas para establecer la
configuración Exposición mínima de documentos. Por ejemplo, se pueden crear
varias reglas de IDM, cada una con un porcentaje diferente del umbral, tal como
el 80% para los documentos con un alto porcentaje de coincidencia, el 50% para
los documentos con un porcentaje medio de coincidencia y el 10% para un
porcentaje bajo de coincidencia. Usar este enfoque le ayuda a filtrar los falsos
Indización de IDM remoto
positivos y a establecer una configuración exacta de Exposición mínima de

documentos para cada índice de IDM que se implementa como parte de sus
políticas.

Esta sección proporciona instrucciones y contenido de referencia para usar el
Indizador de IDM remoto.
Acerca del Indizador de IDM remoto

El Indizador de IDM remoto es una herramienta independiente que le permite indizar
sus documentos y archivos confidenciales localmente en los sistemas donde se
almacenan estos archivos. Usar el Indizador de IDM remoto lo libera de tener que
recopilar y copiar todos los archivos que desee proteger al host de Enforce Server
para su indización.
El Indizador de IDM remoto genera un archivo de índice previo (*.prdx) cifrado y
protegido por contraseña. Se carga el archivo de índice previo al host de Enforce
Server para la generación y la implementación del índice final.
El Indizador de IDM remoto se admite en las plataformas Windows y Linux. La
herramienta se configura usando una interfaz de la línea de comandos (CLI) o un
archivo de propiedades. En Windows, puede usar la edición de la interfaz gráfica
de usuario (GUI) de la herramienta para configurarla.
Es posible integrar la herramienta con sistemas externos para programar la
indización. Además, puede indizar de forma incremental un origen de datos
mediante la especificación de un archivo *.prdx existente cuando ejecuta la
herramienta.
Tabla 22-28 Funciones del Indizador de IDM remoto
Instalación familiar Instaladores de DLP para Windows y Linux
Diversas opciones de configuración Archivo de propiedades (opción

predeterminada)
Interfaz de línea de comandos (CLI)
Interfaz gráfica de usuario (GUI) (Windows)
Archivo de índice previo seguro Protegido por contraseña
Contenido cifrado de datos

Indización incremental Capacidad de cargar un índice previo

existente y de analizar solamente los archivos
nuevos o actualizados
Indización programada Programador de tareas de Windows
Trabajo de sincronización de Linux
Consulte la Guía de administración de

Symantec Data Loss Prevention para obtener
información.
Carga segura a Enforce Interfaz de usuario para cargar el índice

previo a Enforce Server
El usuario debe proporcionar la contraseña

para completar el proceso de indización
Instalar el Indizador de IDM remoto

Se instala el Indizador de IDM remoto en uno o más sistemas donde los archivos
confidenciales que desea indizar están almacenados o en un sistema que le resulte
conveniente para acceder a los archivos confidenciales.
Es posible instalar el Indizador de IDM remoto en las mismas plataformas Windows
y Linux compatibles con el conjunto de aplicaciones de Data Loss Prevention.
Consulte la Guía de requisitos del sistema de Symantec Data Loss Prevention para
obtener información.
Instalar el Indizador de IDM remoto
1 Copie la aplicación ProtectInstaller adecuada en el sistema remoto.
Tabla 22-29 enumera las aplicaciones del instalador del Indizador de IDM
remoto.
2 Ejecute la aplicación ProtectInstaller.
Consulte la Guía de instalación de Symantec Data Loss Prevention de
su plataforma para conocer los detalles de instalación.
3 Seleccione solamente la opción Indizador y anule la selección de las otras

opciones.
Nota: El Indizador incluye el Indizador de IDM remoto y el Indizador de EDM

remoto. Consulte la Guía de administración de Symantec Data Loss Prevention
para obtener información sobre cómo usar el Indizador de EDM remoto.
4 Verifique la instalación del Indizador de IDM remoto.

Ver Tabla 22-30 en la página 658. enumera los archivos ejecutables del
Tabla 22-29 Instaladores del Indizador de IDM remoto
Plataforma Instalador
Linux ProtectInstaller64_15.0.sh
Windows ProtectInstaller64_15.0.exe
Tabla 22-30 Ediciones del Indizador de IDM remoto
Plataforma Edición Ruta de archivo Archivo ejecutable
Linux CLI /opt/SymantecDLP/Protect/bin/ RemoteIDMIndexer
Windows CLI \SymantecDLP\Protect\bin RemoteIDMIndexer.exe
GUI RemoteIDMIndexerUI.exe
Indizar el origen de datos del documento usando la edición de la

GUI (Windows solamente)
Para configurar la edición de la interfaz de usuario del Indizador de IDM remoto,
debe escribir los parámetros en los campos obligatorios. Opcionalmente, es posible
proporcionar parámetros adicionales, como un archivo de lista blanca para los
filtros.
Tras la realización correcta de la indización, se genera el archivo de índice previo
(*.prdx). Se mueve este archivo a Enforce Server para completar el proceso de
indización.
Figura 22-1 muestra la edición de la GUI del Indizador de IDM remoto.
Tabla 22-31 proporciona instrucciones para configurar la edición de la GUI del
Figura 22-1 Edición de la GUI del Indizador de IDM remoto

Tabla 22-31 Configurar el Indizador de IDM remoto usando la edición de la GUI
Paso Parámetros Descripción
1 Ingrese la ruta del URI de El URI de origen es la ruta de archivo local (carpeta del directorio) donde
origen. están almacenados los archivos que se van a indizar o una ruta del sistema
de archivos compartido accesible para el host.
Los archivos que se indizarán no deben estar encapsulados
Si el origen de datos del documento requiere credenciales, debe

proporcionarlas en la sección Credenciales de URI.
2 Escriba el nombre del Especifique la ruta y el nombre del archivo para el archivo de índice previo
Archivo de salida. que la herramienta generará.
Incluya la extensión de archivo *.prdx cuando especifique el nombre del

archivo de salida.
3 Opcionalmente, ingrese la Especifique la ruta de archivo del archivo whitelist.txt.

ruta del Archivo de lista
El texto en el archivo de lista blanca se omite durante la detección para la
blanca.
coincidencia parcial basada en servidor.

obtener información sobre listas blancas.
4 Opcionalmente, ingrese uno Escriba uno o más nombres de archivos para incluir o excluir de la indización.
o más Filtros de nombres
El Filtro de inclusión de nombres de archivos incluye los archivos
de archivos.
mencionados en la indización.
El Filtro de exclusión de nombres de archivos excluye los archivos

mencionados de la indización.
El formato de los filtros de inclusión y exclusión acepta valores separados

por comas y valores separados con líneas nuevas.
Si usa un filtro, use un tipo, pero no a ambos. Por ejemplo, si elige usar un
filtro de inclusión de nombres de archivos, no proporcione también un filtro
de exclusión de nombres de archivos.

obtener información sobre listas blancas.
5 Opcionalmente, ingrese un Si elige Omitir archivos menores que, no se indizan los archivos de un
Filtro de tamaño de tamaño menor al especificado.
archivo.
Si elige Omitir archivos mayores que, no se indizan los archivos de un
tamaño mayor al especificado.

obtener información.
Paso Parámetros Descripción
6 Haga clic en Ejecutar para Cuando haga clic en Ejecutar, comenzará el proceso de indización.
indizar el origen de datos
Alternativamente, puede hacer clic en Programar para programar la
de forma inmediata.
indización. La herramienta abre Windows Task Utility.
Ver "Programación de indización remota" en la página 665.
7 Escriba la Contraseña para Por motivos de seguridad, es necesario proporcionar una contraseña para
el archivo de índice previo. el archivo de índice previo.
La contraseña debe cumplir uno de los siguientes requisitos:
■ Contraseña de ASCII: un mínimo de 10 caracteres, que incluya al menos

una letra mayúscula, una letra minúscula y un número.
■ Contraseña con caracteres que no son ASCII: un mínimo de 10
caracteres, que incluya al menos un número.
El archivo de índice previo se cifra con la contraseña que usted proporciona.
La contraseña que escriba aquí es necesaria para cargar el índice previo a

Enforce Server para fines de indización
8 Verifique el progreso de la Cuando haga clic en Ejecutar, la barra de estado mostrará el porcentaje de
indización. finalización del análisis.
Además, la sección Progreso de la interfaz proporciona la siguiente

información:
Etapa actual : Los estados pueden "En ejecución", "Completado" o "Error".
Progreso : El número total de archivos indizados.

Archivo actual : El nombre del archivo que se está indizando actualmente.
Indizar el origen de datos del documento usando el archivo de

propiedades
Es posible pasar parámetros al Indizador de IDM remoto usando el archivo de
propiedades.
La ruta del archivo de propiedades es
\SymantecDLP\Protect\config\remote_idm.properties (Windows) o
/opt/SymantecDLP/Protect/config/remote_idm.properties (Linux).
Para indizar el origen de datos usando el archivo de propiedades, se edita el archivo

y se proporcionan los parámetros. Luego, se ejecuta el Indizador de IDM remoto
sin argumentos de línea de comandos. En este caso, los parámetros se leen desde
el archivo remote_idm.properties. Por ejemplo, si se usa el comando siguiente
sin argumentos, se ejecuta la herramienta que lee los argumentos del archivo de
propiedades:
C:\SymantecDLP\protect\bin>RemoteIDMIndexer
Precaución: Si ejecuta la herramienta desde la línea de comandos con argumentos,

esos argumentos sobrescriben los parámetros en el archivo de propiedades.
Tabla 22-34 enumera y describe los parámetros requeridos para ejecutar el

Indizador de IDM remoto desde la línea de comandos.
Nota: Consulte la Guía de administración de Symantec Data Loss Prevention para

obtener información sobre la preparación del origen de datos del documento para
fines de indización.
Tabla 22-32 Parámetros requeridos del archivo de propiedades
Parámetro del archivo de configuración Descripción
param.uri= Este parámetro es la ruta de archivo local (carpeta del

directorio) o el directorio compartido donde están
almacenados los archivos que se indizarán.
Si desea indizar los archivos de un recurso compartido,

es necesario montar ese recurso compartido en el sistema
que contiene el indizador y especificar la ruta de archivo
de ese recurso compartido en el campo param.uri de la
herramienta Indizador de IDM remoto.
Los archivos no deben estar encapsulados.
param.out= Este parámetro es la ruta y el nombre del archivo de índice

previo que la herramienta genera.
Tabla 22-35 enumera y describe los parámetros opcionales para ejecutar el


obtener información detallada sobre cómo usar listas blancas y filtros de tipo de
archivo y de tamaño de archivo.
Tabla 22-33 Parámetros opcionales del archivo de propiedades
Parámetro del archivo de propiedades Descripción
param.whitelist= Este parámetro es la ruta de archivo completa (que incluye

el nombre) al archivo whitelist.txt. El archivo de lista
blanca debe ser local respecto del Indizador de IDM
remoto.
El texto en el archivo de lista blanca se omite durante la

detección para la coincidencia parcial de contenido de
archivo.
param.include_filter= Este parámetro es el tipo de filtro que se debe incluir para

la indización. Las diferentes entradas de tipo de archivo
deben separarse por comas.
param.exclude_filter= Este parámetro es el tipo de filtro que se debe excluir para

la indización. Si existen varios valores, se separan por
comas.
param.min_filesize_bytes= Este parámetro es el filtro de tamaño mínimo de archivo.

Los tamaños de archivo menores al tamaño especificado
no se indizarán.
param.max_filesize_bytes= Este parámetro es el filtro de tamaño máximo de archivo.

Los tamaños de archivo mayores al tamaño especificado
no se indizarán.
Indizar el origen de datos del documento usando la CLI

La interfaz de la línea de comandos (CLI) le permite configurar y ejecutar el Indizador
de IDM remoto desde la línea de comandos.
Es posible pasar los parámetros a la herramienta directamente desde la línea de
comandos o con un archivo de propiedades. Las opciones de línea de comandos
sobrescriben los parámetros del archivo de propiedades.
Este ejemplo pasa los argumentos mediante la línea de comandos. En este caso,
el archivo de propiedades se omite.
C:\SymantecDLP\protect\bin>RemoteIDMIndexer
-uri=\\10.66.195.173\remoteIDM\files
-out=C:\temp\myRemoteIDMPreIndex.prdx
Precaución: Si ejecuta la herramienta desde la línea de comandos con argumentos,

esos argumentos sobrescriben los parámetros en el archivo de propiedades.
Tabla 22-34 enumera y describe los parámetros requeridos para ejecutar el


obtener información sobre la preparación del origen de datos del documento para
fines de indización.
Tabla 22-34 Parámetros requeridos de la CLI
Parámetro de la línea de comandos Descripción
-uri Este parámetro es la ruta de archivo local (carpeta del

directorio) o el directorio compartido donde están
almacenados los archivos que se indizarán
Los archivos que se indizarán no deben estar

encapsulados.
-out Este parámetro es la ruta y el nombre del archivo de índice

previo que la herramienta genera.
Tabla 22-35 enumera y describe los parámetros opcionales para ejecutar el


obtener información detallada sobre cómo usar listas blancas y filtros de tipo de
archivo y de tamaño de archivo.
Tabla 22-35 Parámetros opcionales de la CLI
-whitelist Este parámetro es la ruta de archivo completa al archivo

whitelist.txt.
El archivo de lista blanca debe ser local respecto del

El texto en el archivo de lista blanca se omite durante la

detección.
-include_filter Este parámetro es uno o más tipos de archivo a incluir

para la indización. Separe las diferentes entradas con una
coma.
-exclude_filter Este parámetro es uno o más tipos de archivo a excluir

para la indización. Separe las diferentes entradas con una
coma.
-min_filesize_bytes Este parámetro es el filtro de tamaño mínimo de archivo.

Los archivos menores al tamaño especificado no se
indizarán.
-max_filesize_bytes Este parámetro es el filtro de tamaño máximo de archivo.

Los archivos que superen el tamaño especificado no se
indizarán.
Programación de indización remota

Es posible programar cuando ocurre la indización usando el Indizador de IDM
remoto.
En las versiones de CLI de la herramienta (archivo de propiedades y línea de
comandos), en Windows se puede crear un archivo por lotes que contenga el
comando de ejecución de la herramienta y todos los parámetros, y después usar
el programador de tareas de Windows para programar cuándo se ejecuta la
herramienta Indizador de IDM remoto. En Linux, se puede usar un trabajo de
sincronización para programar la indización remota. Al programar la indización
remota en una de las versiones de CLI, es necesario proporcionar un archivo de
contraseña codificado como UTF8 para el trabajo programado. El acceso a este
archivo debe limitarse al usuario apropiado, por ejemplo, el usuario protegido.
Incluya una ruta a este archivo usando la opción adecuada:
■ Archivo de propiedades: incluya el parámetro param.index_password_file =
<path_to_password_file> en el archivo remote_indexer.properties.
■ CLI: incluya el parámetro de invocación

-index_password_file=<path_to_password_file> en la línea de comandos.
Si está utilizando la versión de la GUI de Windows del Indizador de IDM remoto,

puede programar o editar una tarea directamente desde la herramienta. Las capturas
de pantalla siguientes ilustran el proceso.
Ver "Para programar una indización usando la versión de la GUI de la herramienta"
en la página 667.
Ver "Para editar una tarea programada existente usando la versión de la GUI de
Windows de la herramienta" en la página 668.
Figura 22-2 Cuadro de diálogo de programación de indización
Figura 22-3 Cuadro de diálogo de tarea programada correctamente
Figura 22-4 Tarea programada de Symantec DLP

Figura 22-5 Configuración de propiedades del Programador de tareas de

Windows
Para programar una indización usando la versión de la GUI de la herramienta

1 Haga clic en el botón Programar y la herramienta abrirá el cuadro de diálogo.
Ver "Programación de indización remota" en la página 665.
2 Haga clic en el botón Crear para crear una nueva tarea programada. O, si ya
tiene una tarea creada, haga clic en Editar.
Se le pedirá proporcionar un archivo de contraseña codificado como UTF8 en
texto no cifrado para el trabajo programado. El acceso a este archivo debe
limitarse al usuario apropiado, por ejemplo, el usuario protegido.
Cuando haga clic en Crear, se le pedirá que proporcione las credenciales al
host de Windows.
3 Escriba el nombre de usuario y la contraseña para el host de Windows donde
el programador de tareas está instalado.
Cuando escribe las credenciales apropiadas (por lo general, se necesitan
privilegios de administrador), el Indizador de IDM remoto crea una nueva terea
en el Programador de tareas de Windows. La herramienta muestra un cuadro
de diálogo que indica que la tarea se creó correctamente y le proporciona el
nombre de la tarea. Ver Figura 22-3 en la página 666.
4 Haga clic en Aceptar para cerrar el cuadro de diálogo.
Después de completando esta operación con Windows, aparece la interfaz.
5 Seleccione la carpeta de SymantecDLP en la biblioteca del Programador de

tareas.
Observe que a la derecha hay una tarea creada denominada "Indizador de
IDM remoto <time-stamp>". Ver Figura 22-4 en la página 666.
6 Haga doble clic en la tarea creada.
Esta acción abre el cuadro de diálogo de propiedades del Programador de
tareas de Windows de esta tarea. Con este cuadro de diálogo, puede programar
cuándo debe ejecutarse el indizador de IDM remoto. Consulte la ayuda del
Programador de tareas para obtener información sobre cómo usar el
Programador de tareas de Windows. Ver Figura 22-5 en la página 667.
Para editar una tarea programada existente usando la versión de la GUI de Windows
de la herramienta
1 Haga clic en el botón Programar y la herramienta abrirá el cuadro de diálogo.
Ver Figura 22-2 en la página 666.
2 Haga clic en el botón Editar o eliminar tareas existentes.
Esta acción abre la utilidad Programador de tareas de Windows, donde se
puede editar o eliminar una tarea programada existente.
Indización incremental
Puede indizar de forma incremental un origen de datos remoto mediante la
especificación de un archivo de índice previo *.prdx existente en el argumento de
línea de comandos cuando ejecuta la herramienta.
En la versión de la GUI de la herramienta, puede ir a un archivo *.prdx existente
y seleccionarlo para la ruta del Archivo de salida.
El proceso de indización agrega archivos y contenidos de archivos indizados
recientemente a las entradas de índice previo existentes.
La herramienta compara la fecha de la última modificación del archivo. Si se modificó
el archivo después de que se realizó el índice previo del archivo, la herramienta
actualiza el índice previo con los cambios realizados en el archivo. Si la fecha de
modificación del archivo es la misma, el índice previo no se actualiza. Si cambia
cualquier filtro de tamaño, exclusión o inclusión en su archivo existente de índice
previo, esos filtros se aplican a cualquier archivo previamente indizado. Por ejemplo,
para un origen de datos remoto con 10 archivos .docx y 10 archivos .pptx, si su
primer trabajo de indización remota no tiene ningún filtro, todos los archivos se
indizan. Si añade un filtro de exclusión para los archivos .docx
(-exclude_filter=*.docx) y ejecuta el trabajo de indización de nuevo, los archivos
.docx se eliminan del índice y solamente quedan los archivos .pptx.
Registro y solución de problemas

Los mensajes de estado de la indización de IDM remoto se registran en el archivo
Indexer.log.
La ruta del archivo de registro es

\SymantecDLP\Protect\logs\debug\Indexer.log.
El registro presenta mensajes de error que indican si se denegó el acceso a archivos

y si la indización del archivo falló.
Copiar el archivo de índice previo al host de Enforce Server

Después de que ha generado el archivo de índice previo, debe copiarlo al host de
Enforce Server de forma que se pueda cargar para fines de generación de perfiles
e implementación.
Se copia el archivo *.prdx en el siguiente directorio del host de Enforce Server:
\SymantecDLP\Protect\documentprofiles.
Es posible usar un FTP o FTP/S para copiar el archivo *.prdx al sistema de archivos
del host de Enforce Server.
Nota: Asegúrese de que el usuario de Enforce que lee y carga el archivo .prdx
tenga permiso para habilitar la copia y la carga del archivo.
Cargar el archivo de índice remoto en Enforce Server

La consola de administración de Enforce Server proporciona una interfaz de usuario
para cargar índices previos de IDM remoto a Enforce Server.
El administrador de Data Loss Prevention o el autor de la política deben especificar
la contraseña del índice previo que se ingresó cuando se creó el archivo de índice
previo inicialmente.
Una vez cargado, el sistema usa el índice previo para generar el índice final que
se implementa en los servidores de detección y agentes (si se habilita el IDM del
agente).
Nota: Si no ha copiado el archivo de índice previo en el directorio apropiado del

host de Enforce Server (\SymantecDLP\Protect\documentprofiles), el archivo
no aparece en el campo desplegable para su selección.
Figura 22-6 Cargar el índice remoto en Enforce

Capítulo 23
usando Apr. de máq.
vectorial (VML)
■ Presentación del Aprendizaje de máquina vectorial (VML)
■ Configurar los perfiles de VML y las condiciones de política
■ Prácticas recomendadas para usar VML
Presentación del Aprendizaje de máquina vectorial

(VML)
El aprendizaje de máquina vectorial (VML) realiza análisis estadísticos para proteger
datos no estructurados. El análisis determina si el contenido es similar al contenido
de ejemplo en función del cual se entrena el sistema.
Con VML no es necesario localizar y tomar huellas digitales de todos los datos que
desee proteger. Tampoco tiene que describirlos y arriesgarse a potenciales
inexactitudes. En cambio, debe entrenar el sistema para que aprenda el tipo de
contenido que desea proteger en función de los documentos de ejemplo que
proporcione.
La detección de VML se basa en un perfil de VML. Crea un perfil de VML al cargar
una cantidad representativa de contenido de una categoría específica de datos.
El sistema analiza el contenido, extrae las funciones y crea un modelo estadístico
basado en la frecuencia de palabras claves en los documentos de ejemplo. En el
Detección de contenido usando Apr. de máq. vectorial (VML) 672
Presentación del Aprendizaje de máquina vectorial (VML)
tiempo de ejecución, el sistema aplica el modelo para analizar y detectar contenido

con funciones estadísticas similares al perfil.
VML simplifica la detección de contenido basado en texto no estructurado, mientras
ofrece potencial para obtener alta exactitud. La clave para implementar VML es el
contenido de ejemplo con el que se entrena el sistema. Debe seleccionar
cuidadosamente los documentos que sean representativos del tipo de contenido
que desea proteger. Y, debe seleccionar buenos ejemplos de contenido que desea
omitir, que estén estrechamente vinculados al contenido que desea proteger.
Ver "Configurar los perfiles de VML y las condiciones de política" en la página 676.
Acerca del Perfil de Aprendizaje de máquina vectorial

El Perfil de Aprendizaje de máquina vectorial es el perfil de los datos que se definen
para implementar las políticas de VML.
Por ejemplo, es posible que tenga que crear un perfil de VML para proteger el
código fuente. Entrene el sistema usando ejemplos de documentos positivos (el
código de propietario que desee proteger). También debe entrenar el sistema
usando ejemplos de documentos negativos (el código fuente abierto que no desea
proteger). Una política de VML hace referencia al perfil de VML para analizar los
datos del mensaje y para reconocer el contenido que es similar a las funciones
positivas. El perfil de VML se puede ajustar y se puede actualizar fácilmente
mediante la incorporación o la eliminación de documentos hacia conjuntos de
aprendizaje o desde ellos.
Ver "Cómo crear nuevos perfiles de VML" en la página 677.
Acerca del contenido que entrena

La recopilación de documentos de aprendizaje constituye el paso más importante
del proceso de Aprendizaje de máquina vectorial. El Aprendizaje de máquina
vectorial es tan preciso como el contenido de ejemplo con el que se entrena.
Un perfil de VML se basa en una categoría de contenido que representa un caso
específico de uso del negocio. Una categoría de contenido incluye dos conjuntos
de entrenamiento: positivo y negativo.
El conjunto de entrenamiento positivo es el contenido que desea proteger. Más
resultados de categorización específicos con mayor exactitud. Por ejemplo, los
“pedidos de compra del cliente” son mejores que los “documentos financieros”
porque son más específicos.
El conjunto de entrenamiento negativo es el contenido que desea omitir relacionado

con el conjunto de entrenamiento positivo. Por ejemplo, si el conjunto de
entrenamiento positivo es “informes semanales de ventas”, el conjunto de
entrenamiento negativo puede contener “comunicados de prensa de ventas”.
Es necesario recopilar una misma cantidad de contenido positivo y negativo que
principalmente esté basado en texto. No es necesario recopilar todo el contenido
que desea proteger. Sin embargo, es necesario ensamblar conjuntos de
entrenamiento lo suficientemente grandes para producir estadísticas confiables.
El número recomendado de documentos es 250 por conjunto de aprendizaje. El
número mínimo de documentos por conjunto de entrenamiento es 50.
Tabla 23-1 resume los requisitos de la línea base para el contenido que se recopila
para el aprendizaje de perfil de VML.
Tabla 23-1 Requisitos determinados de aprendizaje de VML
Categoría de Tipo de datos Conjunto de Cantidad Contenido Tamaño

contenido entrenamiento
Positivo Recomendado: Contenido que

250 documentos desea proteger.
Mínimo: 50
documentos 30 MB por carga
Caso de uso del
Basado en texto Sin límite de
negocio único y Negativo Aproximadamente Contenido que no
(principalmente) tamaño por
específico la misma cantidad desea proteger
categoría.
que la categoría aunque está
positiva. temáticamente
relacionado con la
categoría positiva.
Acerca de la exactitud de la base de índices de porcentaje de

aprendizaje
Durante el proceso de entrenamiento del perfil de VML, el sistema extrae el
contenido del documento de ejemplo y lo convierte a texto sin formato. El sistema
selecciona funciones (o palabras claves) usando un algoritmo propietario y genera
el perfil de VML. Como parte del proceso de entrenamiento, el sistema calcula e
informa los índices de exactitud de la base para los falsos positivos y los falsos
negativos. La exactitud base de los índices de porcentaje del entrenamiento indica
la calidad de los conjuntos de entrenamiento positivos y negativos.
El objetivo es alcanzar una exactitud del 100 % (0 % de índice base de falsos),
pero la obtención de este nivel de calidad para ambos conjuntos del entrenamiento
generalmente no es posible. Es necesario rechazar un perfil de entrenamiento si

el índice base de falsos positivos o el índice base de falsos negativos es superior
al 5 %. Un porcentaje base de falsos positivos relativamente alto indica que el
conjunto de entrenamiento no está bien categorizado. En este caso, es necesario
agregar documentos a un conjunto de entrenamiento representado en menor
medida o eliminar documentos de un conjunto de entrenamiento representado en
exceso, o ambas acciones.
Ver "Cómo administrar documentos del conjunto de aprendizaje" en la página 685.
Tabla 23-2 describe qué significan los índices base de exactitud del entrenamiento
en relación con los conjuntos de entrenamiento positivos y negativos para un perfil
determinado de VML.
Tabla 23-2 Índices base de exactitud del aprendizaje
Tasa de precisión Descripción
Índice de base de falsos El porcentaje de contenido en el conjunto de entrenamiento negativo que es

positivos (%) estadísticamente similar al contenido positivo.
Índice de base de falsos El porcentaje de contenido en el conjunto de entrenamiento positivo que es

negativos (%) estadísticamente similar al contenido negativo.
Acerca del Umbral de similitud y la Puntuación de similitud

Cada perfil de VML tiene un Umbral de similitud que se puede configurar entre
0 y 10. Esta configuración se usa para ajustar la información imperfecta dentro de
un conjunto de entrenamiento para alcanzar la mayor exactitud posible. Durante
la detección, un mensaje debe tener una Puntuación de similitud mayor que el
Umbral de similitud para que se genere un incidente. El Umbral de similitud se
configura en el nivel del perfil, no dentro de una política. Se hace de esta forma
dado que existe una configuración ideal del Umbral de similitud que es única para
cada conjunto de entrenamiento, donde se pueden alcanzar los mejores índices
de exactitud (en términos de falsos positivos y falsos negativos).
Cuando una política de VML detecta un incidente, el sistema muestra la Puntuación
de similitud en la coincidencia que resalta la sección Instantánea de incidente
en la consola de administración de Enforce Server. La Puntuación de similitud
indica la similitud del contenido detectado con respecto al perfil de VML. Cuanto
más alto es la puntuación, mayor es la similitud estadística del mensaje con respecto
a los documentos de ejemplo positivos en el perfil de VML.
Considere un ejemplo donde un umbral de similitud se configura en 4 y se detecta
un mensaje con una puntuación de similitud de 5. En este caso, el sistema informa
la coincidencia como un incidente y muestra la Puntuación de similitud al resaltar
la coincidencia. Sin embargo, si un mensaje se detecta con una Puntuación de
similitud de 3, el sistema no informa una coincidencia (ni ningún incidente) dado

que la Puntuación de similitud está debajo de Umbral de similitud.
Tabla 23-3 describe los números de Umbral de similitud y Puntuación de similitud.
Tabla 23-3 Detalles del Umbral de similitud y de la Puntuación de similitud
Similitud Descripción
Umbral de similitud El Umbral de similitud es un parámetro que se puede configurar entre 0 y 10 que es único para
cada perfil de VML. La configuración predeterminada es 10, que necesita la coincidencia más
similar entre las funciones de perfil de VML y el contenido del mensaje detectado. Como tal,
esta configuración es probable que genere menos incidentes. Una configuración de 0 produce
el mayor número de coincidencias y es probable que muchas de ellas sean falsos positivos.
Ver "Ajuste del umbral de similitud" en la página 691.
Puntuación de La Puntuación de similitud es una estadística de tiempo de ejecución de solo lectura que se
similitud configura entre 0 y 10, y es informada por el sistema en función de los resultados de detección
de una política de VML. Para informar un incidente, la Puntuación de similitud debe ser más
alta que el Umbral de similitud; de lo contrario, la política de VML no informa una coincidencia.
Acerca de cómo usar perfiles de VML no aceptados en políticas

El sistema permite crear una política que se basa en un perfil de VML que nunca
se ha aceptado. Sin embargo, el perfil de VML no es activo y no se implementa en
una política a la que se hace referencia hasta que el perfil se acepte inicialmente.
Ver "Perfiles de aprendizaje de VML" en la página 681.
Dónde tiene una política de VML que hace referencia a un perfil de VML nunca
aceptado, el resultado de esta configuración depende del tipo de servidor de
detección. Tabla 23-4 describe el comportamiento:
Tabla 23-4 Referencias de perfiles de VML nunca aceptados
Servidor de Descripción
detección
Detectar servidores El análisis de detección no comienza hasta que se cargan todas las
dependencias de políticas. El análisis de Discover basado en una
política de VML no se inicia hasta que se acepta el perfil de VML al
que se hace referencia. En este caso, el sistema muestra un
mensaje en la interfaz de análisis de Discover que indica que el
análisis espera en la dependencia para cargarse.
Configurar los perfiles de VML y las condiciones de política
Servidor de Descripción
detección
Red y servidores de En una regla simple o compuesta con condiciones AND, la regla
endpoint entera falla porque la condición de VML no puede coincidir. Si esta
es la única regla en la política, la política no funciona.
En una política donde hay varias reglas que son OR, solo falla la
regla de VML; las otras reglas de la política se evalúan.
Configurar los perfiles de VML y las condiciones de

política
El aprendizaje de máquina vectorial (VML) realiza análisis estadísticos para proteger
datos no estructurados. Además determina si el contenido es similar a un conjunto
de documentos de ejemplo para el cual entrena el contenido.
La tabla siguiente describe el proceso para implementar VML.
Tabla 23-5 Cómo implementar VML
Paso 1 Recopile los documentos del ejemplo Recopile una cantidad representativa de documentos de ejemplo
para entrenar el sistema. que contengan el contenido positivo que desea proteger y el
contenido negativo que desea omitir.
Ver "Acerca del contenido que entrena" en la página 672.
Paso 2 Crear un nuevo perfil de VML. Defina un nuevo perfil de VML basado en la categoría de datos
específica del negocio desde la cual han derivado los conjuntos
de aprendizaje positivos y negativos.
Paso 3 Cargue los documentos de ejemplo. Cargue los ejemplos de conjuntos de entrenamiento positivos y
negativos por separado en Enforce Server.
Ver "Carga de documentos de ejemplo para entrenar"

en la página 679.
Paso 4 Entrene el perfil de VML. Entrene el sistema para aprender el tipo de contenido que desea
proteger y generar el perfil de VML.

Paso 5 Acepte o rechace el perfil entrenado. Acepte el perfil entrenado para implementarlo. O, rechace el perfil,
actualice uno o ambos conjuntos de entrenamiento (agregando o
quitando documentos de ejemplo) y reinicie el proceso de
entrenamiento.
Ver "Acerca de la exactitud de la base de índices de porcentaje de

aprendizaje" en la página 673.
Ver "Cómo administrar perfiles de VML" en la página 686.
Paso 6 Cree una política de VML y pruebe Cree una política de VML que se relacione con el perfil de VML.
la detección.
Ver "Configuración de la condición Detectar usando un perfil de
Aprendizaje de máquina vectorial" en la página 688.
Pruebe y revise los incidentes basados en Puntuación de similitud.
Ver "Acerca del Umbral de similitud y la Puntuación de similitud"

en la página 674.
Paso 7 Ajuste el perfil de VML. Ajuste la configuración del Umbral de similitud según sea necesario
para optimizar los resultados de detección.
Ver "Ajuste del umbral de similitud" en la página 691.
Paso 8 Siga las prácticas recomendadas de Ver "Prácticas recomendadas para usar VML" en la página 697.
VML.
Cómo crear nuevos perfiles de VML

Un perfil de VML contiene el modelo que se genera de los contenidos del conjunto
de entrenamiento. Una vez que define un perfil de VML, se usa para crear una o
más políticas de VML.
Nota: Es necesario tener privilegios de administrador de Enforce Server para crear

perfiles de VML.
Para crear un nuevo perfil de VML

1 Haga clic en Nuevo perfil de la pantalla Administrar > Perfiles de datos >
Apren de máq vectorial (si aún no lo hizo).
2 Escriba un Nombre para el perfil de VML en el cuadro de diálogo Crear un
perfil nuevo.
Use un nombre lógico para el perfil de VML que corresponde a la categoría
de datos que desee proteger.
3 Opcionalmente, escriba una Descripción para el perfil de VML.
Es conveniente incluir una descripción que identifica el propósito del perfil de
VML.
4 Haga clic en Crear para crear el nuevo perfil de VML.
O bien, haga clic en Cancelar para cancelar la operación.
5 Haga clic en Administrar perfil para cargar documentos de ejemplo.
Ver "Carga de documentos de ejemplo para entrenar" en la página 679.
Utilización de las fichas Perfil actual y Espacio de trabajo temporal

Para cualquier perfil único de VML existen dos versiones posibles: Actual y
Temporal. Perfil actual es la versión de tiempo de ejecución; Perfil temporal es la
versión de tiempo de diseño. A medida que desarrolla un perfil de VML, crea un
Perfil actual que ha entrenado, ha aceptado y quizás ha implementado en una o
más políticas. También crea un perfil temporal que edita y ajusta activamente.
La consola de administración de Enforce Server muestra cada versión del perfil de
VML en fichas aparte:
■ Perfil actual
Esta versión es la sesión activa del perfil de VML. Esta versión se ha entrenado
y se ha aceptado correctamente; está disponible para la implementación de
una o más políticas.
■ Espacio de trabajo temporal
Esta versión es una versión editable del perfil de VML. Esta versión no se ha
entrenado ni se ha aceptado, o ambos; no se puede implementar en a una
política.
Inicialmente, cuando se crea un nuevo perfil de VML, el sistema muestra solamente
la ficha Perfil actual con un conjunto vacío de aprendizaje. Después de entrenar
inicialmente y aceptar el perfil de VML, la tabla Conjunto de entrenamiento en la
ficha Perfil actual se completa con los detalles sobre el conjunto de entrenamiento.
La información que se muestra en esta tabla y ficha es de sólo lectura.
Para editar un perfil de VML
◆ Haga clic en Administrar perfil en el extremo derecho de la ficha Perfil actual.
El sistema muestra la versión editable del perfil en la ficha Espacio de trabajo
temporal. Es posible ahora continuar con el aprendizaje y administrar el perfil.
La ficha Espacio de trabajo temporal sigue estando presente en la interfaz de
usuario hasta que se entrene y acepte una versión más reciente del perfil de VML.
Es decir, no hay manera de cerrar la ficha Espacio de trabajo temporal sin el
entrenamiento y la aceptación, incluso si no realizó ningún cambio al perfil.
Una vez que acepta una versión más reciente del perfil de VML, el sistema
sobrescribe el Perfil actual anterior con la versión recientemente aceptada. No es
posible revertir a un Perfil actual previamente aceptado. Sin embargo, se puede
revertir a las versiones anteriores del conjunto de aprendizaje para un Perfil
temporal.
Ver "Cómo administrar documentos del conjunto de aprendizaje" en la página 685.
Carga de documentos de ejemplo para entrenar

El conjunto de aprendizaje comprende los documentos de ejemplo positivos y
negativos con los que desea entrenar al sistema. Los documentos positivos y
negativos se cargan por separado.
Nota: Es posible cargar documentos individuales. Sin embargo, le recomendamos

cargar un archivo de almacenamiento de documentos (como ZIP, RAR o TAR) que
contenga la cantidad recomendada (250) o mínima (50) de documentos de ejemplo.
El tamaño máximo de carga es 30 MB. Es posible crear una partición de documentos
en todos los archivos si tiene más de 30 MB de datos para cargar. Ver "Acerca del
contenido que entrena" en la página 672.
Para cargar el conjunto de aprendizaje

1 Haga clic en Administrar perfil de la ficha Perfil actual (si aún no lo hizo).
Esta acción habilita el perfil de VML para su edición en la ficha Espacio de
trabajo temporal.
Ver "Utilización de las fichas Perfil actual y Espacio de trabajo temporal"
en la página 678.
2 Haga clic en Cargar contenido (si aún no lo ha hecho).
Esta acción abre el cuadro de diálogo Cargar contenido.
3 Seleccione la categoría de contenido:
■ Elija Positivo: hacer coincidir contenido similar a éste para cargar un
archivo documental positivo.
■ Elija Negativo: omitir contenido similar a éste para cargar un archivo
documental negativo.
4 Haga clic en Examinar para seleccionar los archivos documentales que desea
cargar.
5 Examine el sistema de archivos donde ha almacenado los documentos de
ejemplo.
6 Elija el archivo que desea cargar y haga clic en Abrir.
7 Verifique si seleccionó la categoría de contenido correcta: Positivo o Negativo.
Si la carga no coincide (selecciona Negativo, pero carga un archivo de
documento Positivo), el perfil que se genera es inexacto.
8 Haga clic en Enviar para cargar el archivo documental en Enforce Server.
El sistema muestra un mensaje que indica si el archivo se cargó correctamente.
Si la carga se realizó correctamente, los archivos de almacenamiento
documentales aparecen en la tabla Documentos nuevos. Esta tabla muestra
el tipo de documento, el nombre, el tamaño, la fecha cargada y el usuario que
lo cargó. Si la carga no se realizó correctamente, compruebe el mensaje de
error y vuelva a intentar realizar la carga. Haga clic en el icono X en la columna
Eliminar para eliminar un documento o archivos documentales cargados del
conjunto de aprendizaje.
9 Haga clic en Cargar contenido para repetir el proceso para otro conjunto de
aprendizaje.
El perfil no está completo y no puede entrenarse hasta que haya cargado el
número mínimo de documentos de ejemplo positivos y negativos.
10 Una vez que haya cargado correctamente ambos conjuntos de aprendizaje,
estará listo para entrenar el perfil de VML.
Perfiles de aprendizaje de VML

Durante el proceso de aprendizaje del perfil, el sistema analiza el contenido de
aprendizaje, extrae las funciones principales y genera un modelo estadístico.
Cuando el proceso de aprendizaje se completa correctamente, el sistema le solicita
aceptar o rechazar el perfil de aprendizaje. Si acepta los resultados del
entrenamiento, esa versión del perfil de VML se convierte en el perfil actual. El
perfil actual está activo y disponible para usar en una o más políticas.
Tabla 23-6 Aprendizaje del perfil de VML
Paso 1 Habilite el modo de Seleccione el perfil de VML que desea entrenar en la pantalla Administrar >
aprendizaje. Perfiles de datos > Apr. de máq. vectorial. O bien, cree un nuevo perfil de
VML.
Haga clic en Administrar perfil en el extremo derecho de la ficha Perfil actual.

El sistema muestra el perfil para entrenar en la ficha Espacio de trabajo
temporal.

en la página 678.
Paso 2 Cargue el contenido Familiarícese con los requisitos y las recomendaciones determinados del conjunto
de aprendizaje. de aprendizaje.
Cargue los conjuntos de entrenamiento positivos y negativos en archivos

documentales independientes en Enforce Server.

Paso 3 Ajuste la asignación El valor predeterminado es “Alto”, que generalmente alcanza los mejores índices
de memoria de exactitud de conjuntos de aprendizaje. No necesita típicamente cambiar esta
(solamente si es configuración. Para algunas situaciones es conveniente elegir una configuración
necesario). de memoria “Media” o “Baja” (por ejemplo, implementar el perfil en el endpoint).
Ver "Ajuste de la asignación de memoria" en la página 683.

Nota: Si cambia la configuración de memoria, debe hacerlo antes de entrenar
el perfil para asegurar resultados de entrenamiento exactos. Si ya entrenó el
perfil, debe volver a entrenarlo después de ajustar la asignación de memoria.
Paso 4 Inicie el proceso de Haga clic en Iniciar aprendizaje para comenzar el proceso de aprendizaje.
aprendizaje. Durante el proceso de aprendizaje, el sistema:
■ extrae las funciones principales del contenido;

■ crea el modelo;
■ Calcula la exactitud prevista en función del promedio de falsos positivos e
índices de falsos negativos para el conjunto de aprendizaje completo;
■ Genera el perfil de VML.
Paso 5 Verifique la finalización Cuando el proceso de aprendizaje se completa, el sistema indica si el perfil del
del aprendizaje. aprendizaje fue creado correctamente.
Si el proceso del aprendizaje falla, el sistema muestra un error. Compruebe los

archivos del registro de depuración y reinicie el proceso de aprendizaje.

Ante la finalización correcta del proceso de aprendizaje, el sistema muestra la
siguiente información en Nuevo perfil :
■ Documentos de ejemplo entrenados

El número de documentos de ejemplo en cada conjunto de entrenamiento
con el que se entrenó y se determinó el perfil del sistema.
■ Tasa de precisión del aprendizaje
La calidad del conjunto de aprendizaje expresado como índices de porcentaje
base de falsos negativos y falsos positivos.
Ver "Acerca de la exactitud de la base de índices de porcentaje de
aprendizaje" en la página 673.
■ Memoria
■ La cantidad mínima de memoria que se requiere para cargar el perfil en el
tiempo de ejecución para la detección.
Nota: Si aceptó previamente el perfil, el sistema también muestra la estadística

del Perfil actual mediante una comparación en paralelo.
Paso 6 Acepte o rechace el Si el proceso de aprendizaje se ejecuta correctamente, el sistema le solicita

perfil de aprendizaje. aceptar o rechazar el perfil de aprendizaje. La decisión se basa en los porcentajes
de Tasa de precisión del aprendizaje.
Ver "Acerca de la exactitud de la base de índices de porcentaje de aprendizaje"
en la página 673.
Para aceptar o rechazar el perfil de aprendizaje:
■ Haga clic en Aceptar para guardar los resultados del aprendizaje como un
Perfil actual activo.
Una vez se acepta el perfil del aprendizaje, aparece en la ficha Perfil actual
y se quita la ficha Espacio de trabajo temporal.
■ Haga clic en Rechazar para desechar los resultados del entrenamiento.
El perfil permanece en la ficha Espacio de trabajo temporal para su edición.
Es posible ajustar uno o ambos conjuntos de aprendizaje mediante la
incorporación o la eliminación de documentos y el nuevo entrenamiento del
perfil.
Ver "Cómo administrar documentos del conjunto de aprendizaje"
en la página 685.
Nota: Un perfil entrenado de VML no está activo hasta que se acepta. El sistema
permite crear una política basada en un perfil de VML que nunca se ha entrenado
ni aceptado. Sin embargo, el perfil de VML no se implementa en esa política
hasta que se acepte el perfil.Ver "Acerca de cómo usar perfiles de VML no
aceptados en políticas" en la página 675.
Paso 7 Pruebe y ajuste el Una vez que entrena correctamente el perfil de VML o lo acepta, puede usarlo
perfil. para definir reglas de políticas y ajustar el perfil de VML.
Ver "Configuración de la condición Detectar usando un perfil de Aprendizaje de

máquina vectorial" en la página 688.
Ver "Acerca del Umbral de similitud y la Puntuación de similitud" en la página 674.

Nota: Para obtener más información, consulte la Guía de prácticas
recomendadas de aprendizaje de máquina vectorial de Symantec Data Loss
Prevention (Symantec Data Loss Prevention Vector Machine Learning Best
Practices Guide), disponible en el centro de Soporte de Symantec en
(http://www.symantec.com/docs/DOC8733).
Ajuste de la asignación de memoria

La configuración Asignación de memoria determina la cantidad de memoria
necesaria para cargar el perfil de VML en el tiempo de ejecución para la detección
de políticas. Cuando asigna más memoria al entrenamiento del perfil de VML más
grande, el perfil se hace más grande. Se modelan más funciones. De forma
predeterminada, este valor se configura en “Alto”. Normalmente, no es necesario

ajustar este valor. Los recursos se limitan en el endpoint. Si intenta implementar
el perfil de VML en el endpoint, use una configuración de memoria más baja para
reducir el tamaño del perfil.
Para ajustar la asignación de memoria
1 Haga clic en Ajustar junto a la configuración Asignación de memoria.
Esta configuración está disponible en la ficha Espacio de trabajo temporal.
Si no está disponible, haga clic en Administrar perfil en la ficha Perfil actual.
en la página 678.
2 Seleccione el nivel deseado de asignación de memoria.
Las siguientes opciones están disponibles:
■ Alta
Necesita una cantidad alta de memoria de tiempo de ejecución; logra
generalmente una exactitud alta de detección (configuración
predeterminada).
■ Media
■ Baja
Necesita menos memoria de tiempo de ejecución; puede lograr una
exactitud de detección más baja.
3 Haga clic en Guardar para guardar la configuración.

La pantalla Configuración de memoria debe reflejar el ajuste que realizó.
4 Haga clic en Iniciar aprendizaje para iniciar el proceso de aprendizaje.
Es necesario ajustar la asignación de memoria antes de entrenar el perfil de
VML. Si ya entrenó el perfil, vuelva a entrenarlo después de ajustar esta
configuración.
5 Verifique la cantidad de memoria necesaria para ejecutar el perfil de VML.
Después de entrenar el perfil de VML, el sistema muestra el valor Memoria
requerida (KB). Este valor representa la cantidad mínima de memoria que se
requiere para cargar el perfil en el tiempo de ejecución.
Cómo administrar documentos del conjunto de aprendizaje

A media que entrena y ajusta un perfil de VML, es posible que sea necesario ajustar
uno o ambos conjuntos de aprendizaje. Por ejemplo, si rechaza un perfil de
entrenamiento, deberá agregar o eliminar documentos de ejemplo para mejorar
los índices de precisión del entrenamiento.
Ver "Acerca de la exactitud de la base de índices de porcentaje de aprendizaje"
en la página 673.
Para agregar documentos a un conjunto de aprendizaje
1 Haga clic en Administrar perfil para el perfil que desee editar.
El perfil editable aparece en la ficha Espacio de trabajo temporal.
2 Haga clic en Cargar contenido.
Para quitar documentos de un conjunto de aprendizaje
1 Haga clic en Administrar perfil para el perfil que desee editar.
El perfil editable aparece en la ficha Espacio de trabajo temporal.
2 Haga clic en la X roja en la columna Marcar como eliminado para el
documento entrenado que desee quitar.
El documento eliminado aparece en la tabla Documentos eliminados. Repita
este proceso como sea necesario para quitar todos los documentos no
deseados del conjunto de aprendizaje.
3 Haga clic en Iniciar aprendizaje para volver a entrenar el perfil.
Es necesario volver a entrenar y aceptar el perfil actualizado para completar
el proceso de eliminación de documentos. Si no acepta el nuevo perfil, el
documento que intentó quitar sigue siendo parte del perfil.
Para revertir los documentos eliminados
1 Haga clic en el icono para revertir en la columna Revertir para un documento
que se ha quitado.
El documento se agrega de nuevo al conjunto de aprendizaje.
2 Haga clic en Iniciar aprendizaje para volver a entrenar el perfil.
Es necesario volver a entrenar el perfil y volver a aceptarlo aunque haya
revertido a la configuración original.
Cómo administrar perfiles de VML

La pantalla Administración > Perfiles de datos > Apr. de máq. vectorial es la
página principal para administrar los perfiles de VML existentes y el punto de partida
para crear nuevos perfiles de VML.
Nota: Debe tener privilegios de administrador de Enforce Server para administrar

y crear perfiles de VML.
Tabla 1 Cómo crear y administrar perfiles de VML
Cree nuevos Haga clic en Nuevo perfil para crear un nuevo perfil de VML.
perfiles.
Vea y ordene los El sistema detalla todos los perfiles existentes de VML y su estado en
perfiles. la pantalla de Aprendizaje de máquina vectorial.
Haga clic en el encabezado de la columna para ordenar los perfiles de

VML por nombre o el estado.
Administrar y Seleccione un perfil de VML de la lista para mostrarlo y administrarlo.

entrenar perfiles.
La ficha Perfil actual muestra el perfil activo.

en la página 678.
Haga clic en Administrar perfil para editar el perfil.

El perfil editable aparece en la ficha Espacio de trabajo temporal. En
esta ficha puede hacer lo siguiente:
■ Cargar documentos del conjunto de aprendizaje.

■ Entrenar el perfil.
■ Agregar y quitar documentos de los conjuntos de aprendizaje.
Ver "Cómo administrar documentos del conjunto de aprendizaje"
en la página 685.
Supervise los El sistema detalla y describe el estado de todos los perfiles de VML.
perfiles.
■ Memoria necesaria (KB)
La cantidad mínima de memoria necesaria para cargar el perfil en
la memoria para su detección.
Ver "Ajuste de la asignación de memoria" en la página 683.
■ Estado
El estado actual del perfil.
■ Estado de la implementación
El estado histórico del perfil.
Elimine los Haga clic en el icono X a la derecha para eliminar un perfil existente.
perfiles.
Si elimina un perfil existente, el sistema elimina los metadatos del perfil
y el conjunto de aprendizaje de Enforce Server.
El campo Estado muestra el estado actual de cada perfil de VML.
Tabla 23-8 Valores de estado para los perfiles de VML
Valor de estado Descripción
Aceptado el <fecha> La fecha en que el perfil del aprendizaje fue aceptado.
Administrar El perfil actual está habilitado para ser editado.
Vacío Se crea el perfil, pero no se carga ningún contenido.
Esperando aceptación El perfil está listo para ser aceptado.
Cancelando aprendizaje El sistema está en curso para cancelar el aprendizaje.
Aprendizaje cancelado Se cancela el proceso de aprendizaje.
Con error El proceso de aprendizaje generó errores.
<tiempo> de aprendizaje El aprendizaje está en curso (por el tiempo indicado).
El campo Estado de implementación indica si el perfil de VML se ha aceptado

alguna vez o no.
Tabla 23-9 Valores de estado de implementación para los perfiles de VML
Valor de estado Descripción
Nunca se aceptó El perfil de VML nunca se ha aceptado.

Ver "Acerca de cómo usar perfiles de VML no aceptados
en políticas" en la página 675.
Aceptado el <fecha> El perfil de VML fue aceptado el día indicado.
Cómo cambiar nombres y descripciones para perfiles de VML

Si es necesario, puede cambiar el nombre de un perfil de VML o editar su
descripción. Cuando esté listo para implementar un perfil de VML en una o más
políticas, otórguele al perfil un nombre descriptivo para que los autores de políticas
lo puedan reconocer fácilmente.
Nota: No es necesario volver a entrenar un perfil si cambia el nombre o la

descripción.
Para cambiar el nombre o la descripción del perfil de VML

1 Seleccione el perfil de VML en la pantalla Administrar > Perfiles de datos >
Apren de máq vectorial.
2 Haga clic en el vínculo Editar junto al nombre de perfil de VML.
3 Edite el nombre y la descripción del perfil en el cuadro de diálogo Cambiar
nombre y descripción que aparece.
4 Haga clic en Aceptar para guardar los cambios realizados al nombre o a la
descripción de perfil de VML.
5 Verifique los cambios en la pantalla de inicio para el perfil de VML.
Configuración de la condición Detectar usando un perfil de

Aprendizaje de máquina vectorial
Una vez que entrena y acepta el perfil de VML, se configura una política de VML
con la condición Detectar usando un perfil de Aprendizaje de máquina vectorial.
Esta condición se relaciona con el perfil de VML para detectar contenido similar al
contenido de ejemplo que usó para el entrenamiento.
Tabla 23-10 Configuración de regla de política de VML
Paso 1 Cree y entrene el perfil de VML. Ver "Cómo crear nuevos perfiles de VML" en la página 677.
Ver "Acerca de cómo usar perfiles de VML no aceptados en políticas"

en la página 675.
Paso 2 Configure una política nueva o Ver "Configuración de políticas" en la página 448.
existente.
Paso 3 Agregue la regla de VML a la Desde la pantalla Configurar la política :

política.
■ Seleccione Agregar regla.
■ Seleccione la regla Detectar usando perfil de Aprendizaje de
máquina vectorial de la lista de reglas de contenido.
■ Seleccione el perfil de VML que desee usar del menú desplegable.
■ Haga clic en Siguiente.
Paso 4 Configure la regla de detección Dé un nombre a la regla y configure la gravedad de la regla.

de VML.
Paso 5 Seleccione componentes para Seleccione uno o ambos componentes de mensaje en Establecer
establecer una coincidencia. coincidencia :
■ Cuerpo, que es el contenido del mensaje.

■ Archivos adjuntos, que son cualquier archivo transportado por el
mensaje.
Nota: En el endpoint, el Agente Symantec DLP coincide con el mensaje

entero, no con componentes individuales.

en la página 459.
Paso 6 Configure las condiciones Opcionalmente, se puede crear una regla de detección compuesta
adicionales (opcionales). agregando más condiciones a la regla.
Para agregar condiciones adicionales, seleccione la condición deseada

del menú desplegable y haga clic en Agregar.
Nota: Todas las condiciones deben coincidir para que la regla active
un incidente.

en la página 466.
Paso 7 Guarde la configuración de Haga clic en Aceptar y, después, en Guardar para guardar la política.
políticas.
Configuración de excepciones de políticas de VML

En algunas situaciones, se puede implementar una excepción de política de VML
para omitir cierto contenido.
Tabla 23-11 Configuración de excepción de política de VML
Paso 1 Cree y entrene el perfil de VML. Ver "Cómo crear nuevos perfiles de VML" en la página 677.
Paso 2 Configure una política nueva o Ver "Configuración de políticas" en la página 448.
existente.
Paso 3 Agregue una excepción de VML Desde la pantalla Configurar la política :

a la política.
■ Seleccione Agregar excepción.
■ Seleccione la excepción Detectar usando perfil de Aprendizaje
de máquina vectorial de la lista de excepciones de contenido.
■ Seleccione el perfil de VML que desee usar del menú desplegable.
■ Haga clic en Siguiente.
Paso 4 Configure la excepción de Dé un nombre a la excepción.

política. Seleccione los componentes a los cuales desea aplicar la excepción:
■ Todo el mensaje
Seleccione esta opción para comparar la excepción con el mensaje
entero. Si una excepción se encuentra en cualquier lugar del
mensaje, se activa la excepción y no se encuentran coincidencias.
■ Solo componentes coincidentes
Seleccione esta opción para que coincida la excepción con el mismo
componente como regla. Por ejemplo, si la regla coincide con el
Cuerpo y la excepción ocurre en un archivo adjunto, la excepción
no se activa.
Paso 5 Configure la condición. Por lo general, es posible aceptar configuraciones de condición

predeterminada para excepciones de políticas.
Paso 6 Guarde la configuración de Haga clic en Aceptar y, después, en Guardar para guardar la política.
políticas.
Ajuste del umbral de similitud

Se ajusta la configuración del Umbral de similitud para ajustar el perfil de VML. El
Umbral de similitud determina qué tan similar debe ser el contenido detectado a
un perfil de VML para producir un incidente.
Nota: No es necesario volver a entrenar el perfil de VML una vez que ajusta el
Umbral de similitud, a menos que modifique un conjunto de aprendizaje basado
en los resultados de la prueba.
Para ajustar el valor actual del Umbral de similitud

1 Haga clic en Editar al lado de la etiqueta Umbral de similitud para el perfil
de VML que desee ajustar.
Esta acción abre el cuadro de diálogo Umbral de similitud.
2 Arrastre el contador a la opción deseada de Valor actual.
Configure el Umbral de similitud en un valor decimal entre 0 y 10. El valor
predeterminado es 10, que produce menos incidentes; una configuración de
0 produce más incidentes.
3 Haga clic en Guardar para guardar la configuración de Umbral de similitud.
4 Pruebe el perfil de VML usando una política de VML.
Compare las puntuaciones de similitud entre las coincidencias. Un mensaje
detectado debe tener una puntuación de similitud superior que el Umbral de
similitud para producir un incidente. Haga otros ajustes en la configuración del
Umbral de similitud como sea necesario para optimizar y ajustar el perfil de
VML.
Ver "Configuración de la condición Detectar usando un perfil de Aprendizaje
de máquina vectorial" en la página 688.
Prueba y ajuste de perfiles de VML

Se ajusta un perfil de VML probándolo con el Umbral de similitud configurado en
0. Después de determinar el intervalo posible de las puntuaciones de similitud para
los falsos positivos, ajuste el Umbral de similitud para que sea superior a la
Puntuación de similitud más alta informada por los falsos positivos. Este proceso
se conoce como prueba negativa.
Un buen conjunto de entrenamiento tiene un intervalo bien definido donde Umbral
de similitud se configura para alcanzar los mejores índices de exactitud. Un conjunto
deficiente de entrenamiento devuelve resultados de exactitud deficiente sin importar
el Umbral de similitud. Un Umbral de similitud que se establece en un nivel

demasiado alto o demasiado bajo puede generar un gran número de falsos positivos
o de falsos negativos.
Para determinar la configuración adecuada de Umbral de similitud, la recomendación
es realizar la prueba de negativos según lo descrito en los pasos siguientes.
Tabla 23-12 Pasos para ajustar los perfiles de VML
Paso 1 Entrene el perfil de Siga las recomendaciones dispuestas en esta guía para definir la categoría y
VML. cargar los documentos del conjunto de entrenamiento. Ajuste la asignación de
memoria antes de que entrene el perfil. Consulte la Guía de administración de
Symantec Data Loss Prevention para obtener ayuda para realizar las tareas
implicadas.
Paso 2 Configure el Umbral Umbral de similitud predeterminado es 10. En este valor, el sistema no genera
de similitud en 0. ningún incidente. Una configuración de 0 produce el mayor número de incidentes
y es probable que muchos de ellos sean falsos positivos. El propósito de configurar
el valor en 0 es considerar el intervalo completo de coincidencias potenciales.
También sirve para adaptar el perfil para que sea mayor que la calificación de
falso positivo más alta.
Paso 3 Cree una política de Crear una política que se refiera al perfil de VML que desea ajustar. El perfil debe
VML. aceptarse para poder implementarse en una política.
Paso 4 Pruebe la política. Pruebe la política de VML usando una recopilación de los datos de prueba. Por
ejemplo, se puede usar el archivo DLP_Wikipedia_sample.zip para probar
sus políticas de VML. Cree un mecanismo para detectar incidentes. El mecanismo
puede ser un destino de análisis de Discover de una carpeta de archivos local
donde coloque los datos de prueba. O puede ser un análisis de Agente DLP de
una operación de copiar y pegar.
Paso 5 Revise cualquier Revise cualquier coincidencia en la pantalla Instantánea de incidente. Verifique
incidente. que la Puntuación de similitud se relativamente baja para cada coincidencia. Una
Puntuación de similitud relativamente baja indica un falso positivo. Si uno o más
documentos de prueba producen una coincidencia con Puntuación de similitud
relativamente alta, tiene un problema de calidad del conjunto de entrenamiento.
En este caso es necesario revisar el contenido y si es apropiado agregar los
documentos al conjunto de entrenamiento de positivos. Luego necesita volver a
entrenar y ajustar el perfil.

Paso 6 Ajuste el Umbral de Revise los incidentes para determinar la Puntuación de similitud más alta entre
similitud. los falsos positivos detectados en función de los cuales probó el perfil. A
continuación, puede ajustar el Umbral de similitud para que el perfil sea superior
a la Puntuación de similitud más alta para los falsos positivos.
Por ejemplo, si el falso positivo más alto detectado tiene una Puntuación de
similitud de 4,5, configure el Umbral de similitud en 4,6. Esta configuración
impide que los falsos positivos conocidos sean informados como incidentes.
Propiedades para configurar el entrenamiento

VML incluye varios archivos de propiedades para configurar el entrenamiento y el
registro de VML. La tabla siguiente enumera y describe las propiedades de
configuración relevantes de VML.
Tabla 23-13 Archivos de propiedades para VML
El archivo de propiedades en \Protect\config\ Descripción
MLDTraining.properties Archivo de propiedades principal para establecer la

configuración del entrenamiento de VML.
Manager.properties Archivo de propiedades para Enforce Server; contiene 1

configuración de VML.
MLDTrainingLogging.properties Archivo de propiedades para configurar el registro de VML.
Ver "Archivos de registro para solucionar problemas de

entrenamiento de VML y detección de políticas"
en la página 696.
La tabla siguiente enumera y describe los parámetros del entrenamiento de VML

disponibles para la configuración en el archivo de propiedades
MLDTraining.properties.
Tabla 23-14 Parámetros de configuración relevantes para el entrenamiento de

VML
minimum_documents_per_category Especifica el número mínimo de documentos requeridos

para cada conjunto de entrenamiento (positivo y negativo).
La configuración predeterminada es 50. No se recomienda
ni se admite reducir este número por debajo de 50.
Ver "Recomendaciones para la definición del conjunto de

entrenamiento" en la página 700.
mld_num_folds Especifica el número de conjuntos para usar para el

proceso de evaluación de k-fold. La opción predeterminada
es 10.
La reducción de este valor acelera el tiempo que el sistema

demora en entrenar el contenido porque se evalúan menos
conjuntos. Este aceleramiento ocurre potencialmente en
perjuicio de la visibilidad para mejorar la calidad del perfil.
No es necesario cambiar este valor, a menos que tenga
un gran número de documentos de ejemplo (y los
conjuntos de entrenamiento sean muy grandes). O, a
menos que sepa con certeza que tiene un conjunto de
entrenamiento general bien categorizado.
Ver "Recomendaciones para aceptar o rechazar un perfil"

en la página 703.
minimum_features_to_keep Especifica el número mínimo de funciones para guardar

para el perfil. La configuración predeterminada es 1000.
Bajar este valor puede ayudar a reducir el tamaño del

perfil. Sin embargo, no se recomienda el ajuste de esta
configuración. En cambio, use la configuración de la
asignación de memoria para ajustar el tamaño del perfil.
Ver "Instrucciones para la definición de tamaño del perfil"

en la página 703.
significance_threshold Especifica el número de veces mínimo que una palabra

debe ocurrir antes de que se considere una función. La
Aumentar este valor (a 3 o 4, por ejemplo) puede ayudar

a reducir el tamaño del perfil porque menos palabras
calificarán como funciones. No es necesario ajustar esta
configuración, a menos que configurar la asignación de
memoria a un nivel "bajo" no produzca un perfil
suficientemente pequeño para sus requisitos de
implementación.

en la página 703.
stopword_file Especifica el archivo de palabras irrelevantes

predeterminado
\config\machinelearningconfig\stopwords.txt.
Las palabras irrelevantes son palabras comunes, tales

como artículos y preposiciones. Durante el entrenamiento,
el sistema omite (no considera para la extracción de
funciones) cualquier palabra contenida en el archivo de
palabras irrelevantes.
Si agrega las palabras que se omitirán, es necesario usar

minúsculas porque la extracción de funciones de VML
normaliza el contenido en minúscula para la evaluación.
logging_config_file Especifica el archivo de configuración para el registro

estándar de VML.

en la página 696.
native_logging_config_file Especifica el archivo de configuración para el registro

nativo de VML.

en la página 696.
El parámetro siguiente está disponible para la configuración en el archivo de

propiedades MLDTraining.properties.
Tabla 23-15 Parámetro de configuración para los perfiles de VML
DEFAULT_SIMILARITY_THRESHOLD Establece el valor predeterminado para el Umbral de

similitud, que es 10. Cambiar este valor afecta el valor
predeterminado solamente. Es posible ajustar el valor
usando la consola de administración de Enforce Server.
Ver "Prueba y ajuste de perfiles de VML" en la página 691.
Archivos de registro para solucionar problemas de entrenamiento

de VML y detección de políticas
El sistema proporciona los archivos de registro de la depuración para solucionar
problemas en el proceso de entrenamiento de VML y detección de políticas. La
tabla siguiente enumera y describe los archivos de registro de depuración.
Tabla 23-16 Archivos de registro de la depuración para VML
machinelearning_training.log Registra la exactitud de los índices de porcentajes de

entrenamiento para cada conjunto del proceso de
evaluación para cada ejecución de entrenamiento de
perfil de VML.
Examina la calidad de cada conjunto de entrenamiento
en un nivel granular y por conjunto.
Ver "Recomendaciones para aceptar o rechazar un perfil"

en la página 703.
machinelearning_native_filereader.log Registra la "distancia", que se expresa como número

positivo o número negativo y la "confianza", que es un
porcentaje de semejanza, para cada mensaje evaluado
por una política de VML.
Examina todos los mensajes o los documentos evaluados

por las políticas de VML, incluidas las coincidencias
positivas con los porcentajes de semejanza debajo del
Umbral de similitud o los mensajes que el sistema
categorizó como negativos (expresados como un número
negativo de "distancia").

Prácticas recomendadas para usar VML
machinelearning_training_native_manager.log Registra el número total de funciones modeladas y el

número de funciones guardadas para generar el perfil
para cada entrenamiento ejecutado.
El número total de funciones modeladas contra el número
de funciones guardadas para el perfil depende de la
configuración de la asignación de memoria:
■ Si el nivel es "alto", el sistema guarda el 80% de las

funciones.
■ Si el nivel es "medio", el sistema guarda el 50% de
las funciones.
■ Si el nivel es "bajo", el sistema guarda el 30% de las
funciones.

en la página 703.

Esta sección proporciona prácticas recomendadas para implementar políticas de
VML, incluidas prácticas recomendadas para probar y ajustar las políticas de VML.
Además, puede descargar los documentos de ejemplo del conjunto de
entrenamiento de VML del Centro de soporte de Symantec en
http://www.symantec.com/docs/TECH219962. Estos documentos se proporcionan
en la licencia de Creative Commons
(http://creativecommons.org/licenses/by-sa/3.0/).
Tabla 23-17 proporciona un resumen de prácticas recomendadas de VML que se
explican en esta sección. Incluye vínculos a temas individuales para obtener
recomendaciones más detalladas.
Tabla 23-17 Resumen de prácticas recomendadas de VML
Área funcional Prácticas recomendadas
Usos Utilice VML para proteger contenido no estructurado basado en texto. No utilice VML para
recomendados para proteger gráficos, datos binarios o información de identificación personal (PII).
VML
Ver "Cuándo se usa VML" en la página 698.
Categoría de Defina el perfil de VML en función de una categoría de contenido única que desee proteger. La
contenido categoría de contenido debe derivarse de un caso de uso específico de la empresa. Las
categorías definidas con precisión son mejores que las que tienen definiciones amplias.
Ver "Recomendaciones para la definición del conjunto de entrenamiento" en la página 700.

Área funcional Prácticas recomendadas
Conjunto de Archive y cargue el número recomendado (250) de documentos de ejemplo para el conjunto de
entrenamiento entrenamiento positivo o, por lo menos, el mínimo (50).
positivo
Ver "Instrucciones para el tamaño del conjunto de entrenamiento" en la página 701.
Conjunto de Archive y cargue los documentos de ejemplo para el conjunto de entrenamiento negativo.
entrenamiento Idealmente, el conjunto de entrenamiento negativo contiene un número de documentos bien
negativo categorizados similar al del conjunto de entrenamiento positivo. Además, agregue algunos
documentos que contengan contenido genérico o neutral a su conjunto de entrenamiento
negativo.
Ver "Instrucciones para el tamaño del conjunto de entrenamiento" en la página 701.
Tamaño del perfil Considere ajustar la asignación de memoria a un nivel "bajo". Las pruebas internas han mostrado
que la configuración de la asignación de memoria en un nivel bajo puede mejorar la exactitud
en ciertas situaciones.
Ver "Instrucciones para la definición de tamaño del perfil" en la página 703.
Calidad del Rechace el resultado del entrenamiento y ajuste los documentos de ejemplo si cualquiera de
conjunto de los índices de exactitud base del aprendizaje superan el 5%.
aprendizaje
Ver "Recomendaciones para aceptar o rechazar un perfil" en la página 703.
Ajuste del perfil Realice la prueba negativa para adaptar el perfil de VML usando una recopilación de datos
comprobables.
Implementación de Elimine los perfiles aceptados no utilizados por las políticas para reducir la carga del servidor
perfiles de detección. Ajuste el umbral de similitud antes de implementar un perfil en la producción en
todos los endpoints para evitar la sobrecarga de la red.
Ver "Recomendaciones para implementar perfiles" en la página 706.
Cuándo se usa VML

VML se diseña para proteger contenido no estructurado principalmente basado en
texto. VML permite proteger contenido confidencial altamente distribuido, dado que
la recopilación de todo ello para la búsqueda de huellas digitales no es posible ni
práctica. VML también permite proteger el contenido confidencial que no se puede
describir adecuadamente y alcanzar la alta exactitud de coincidencia.
La tabla siguiente resume los casos de uso recomendados para VML.
Tabla 23-18 Usos recomendados para VML
Use VML cuando Explicación
No es posible ni práctico A menudo, recopilar todo el contenido que desea proteger para buscar huellas
tomar huellas digitales de dactilares es una tarea imposible. Esta situación se presenta para muchas formas de
todos los datos que desea datos no estructurados: materiales de comercialización, documentos financieros,
proteger. registros de pacientes, fórmulas de productos, código fuente, y así sucesivamente.
VML funciona bien para esta situación porque no es necesario recopilar todo el
contenido que desee proteger. Se recopila un conjunto más pequeño de documentos
de ejemplo.
No es posible describir A menudo, la descripción de datos que desea proteger es difícil de lograr sin sacrificar
adecuadamente los datos que cierta exactitud. Esta situación puede presentarse cuando tiene listas de palabras
desea proteger. clave largas que son difíciles de generar, ajustar y mantener.
VML funciona bien en estas situaciones porque modela de forma automática las
funciones (palabras clave) que desee proteger. Le permite administrar y actualizar
fácilmente el contenido de origen.
Una política informa falsos Cierta categoría de información es a veces un origen constante de falsos positivos.
positivos frecuentes. Por ejemplo, un informe de ventas semanal puede producir constantemente falsos
positivos para una política del identificador de datos que busca números de la seguridad
social.
VML puede funcionar correctamente aquí porque se puede entrenar el contenido que
genera falsos positivos y crea una excepción de políticas para omitir esas funciones.
Nota: Los contenidos de falso positivo deben pertenecer a una categoría correctamente
definida para que VML sea una solución eficaz para este caso de uso. Ver
"Recomendaciones para la definición del conjunto de entrenamiento" en la página 700.
Cuándo no usar VML

VML no está diseñado para proteger datos estructurados, como la Información de
identificación personal (PII) o el contenido binario; por ejemplo, documentos que
contengan principalmente gráficos o archivos de imagen.
La tabla siguiente resume los usos no recomendados de VML.
Tabla 23-19 Usos no recomendados de VML
No use VML para Explicación
Proteger la información de La Coincidencia de datos estructurados (EDM) y los Identificadores de datos son la
identificación personal (PII). mejor opción para proteger los tipos comunes de PII.
No use VML para Explicación
Proteger los archivos binarios La Coincidencia de documentos indizados (IDM) es la mejor opción para proteger el
y las imágenes. contenido que es mayormente binario; por ejemplo, los archivos de imagen o los
archivos CAD.
Recomendaciones para la definición del conjunto de entrenamiento

Una categoría de VML es el caso de uso específico del negocio desde el cual se
derivan sus documentos de ejemplo para entrenar el perfil de VML. Cuanto más
específica es la categoría, mejor resulta la detección. Por ejemplo, la categoría
"Documentos financieros" no se recomienda porque es demasiado amplia. Una
mejor clasificación de la categoría es "Previsión de ventas" o "Ganancias
trimestrales" porque cada uno es particular para un caso de uso específico del
negocio.
Una categoría de VML contiene dos conjuntos de contenido de entrenamiento:
positivo y negativo. El conjunto de entrenamiento positivo contiene el contenido
que desea proteger; el conjunto de entrenamiento negativo contiene el contenido
que desee omitir. Es necesario derivar los conjuntos de entrenamiento positivo y
negativo de la misma categoría de contenido, de modo que todos los documentos
estén temáticamente relacionados.
Aunque es posible, no se recomienda usar un contenido totalmente genérico para
el conjunto de entrenamiento negativo. Mientras que el contenido genérico produce
buenas calificaciones de precisión de entrenamiento de tiempo de diseño, no puede
detectar el contenido que desea proteger en el tiempo de ejecución con la suficiente
exactitud.
Nota: Mientras que no se recomienda un conjunto de entrenamiento negativo

totalmente genérico, incluir en el conjunto de entrenamiento negativo algunos
documentos de contenido neutral tiene valor. Ver "Instrucciones para el tamaño
del conjunto de entrenamiento" en la página 701.
La tabla siguiente proporciona algunas categorías y posibles conjuntos de

entrenamiento positivos y negativos de ejemplo que comprenden esas categorías.
Tabla 23-20 Algunas categorías y conjuntos de entrenamiento de ejemplo
Categoría Conjunto de entrenamiento Conjunto de entrenamiento

positivo negativo
Código fuente de producto Código fuente de producto propietario Código fuente de proyectos de origen
abiertos
Categoría Conjunto de entrenamiento Conjunto de entrenamiento

positivo negativo
Fórmulas de productos Fórmulas de producto propietario Información de producto no propietario
Ganancias trimestrales Ganancias previas al lanzamiento; Detalles de cuentas anuales

cálculo de ventas; documentos publicadas
contables
Planes de comercialización Planes de comercialización Documentación y material de

comercialización y texto de publicidad
publicados
Informes médicos Historias clínicas de pacientes Documentos de cuidado de la salud
Ventas a clientes Patrones de compra de clientes Datos del consumidor disponibles al

público
Fusiones y adquisiciones Documentos jurídicos confidencial; Material disponible al público;

documentos de M&A comunicados de prensa
Métodos de fabricación Métodos e investigación de fabricación Estándares de la industria

propietarios
Instrucciones para el tamaño del conjunto de entrenamiento

VML es solamente tan exacto como el contenido de ejemplo que se entrena. Con
VML no necesita localizar todos los datos que desea proteger ni tiene que
describirlos. En cambio, sus documentos de muestra deben representar
exactamente el tipo de contenido que desee proteger. También deben representar
el contenido que desee omitir. Este contenido se debe relacionar temáticamente
con el contenido positivo.
Cuantos más documentos de ejemplo recopile para entrenamiento, más precisos
serán los perfiles de VML. Una categoría bien definida de contenido contiene 500
documentos de ejemplo: 250 positivos y 250 negativos. El número mínimo de
documentos por conjunto de entrenamiento es 50.
Idealmente, debe recopilar un número similar de documentos negativos y positivos
para entrenamiento. Es necesario alimentar el entrenamiento negativo con
documentos genéricos o de contenido neutral. El archivo de almacenamiento
DLP_Wikipedia_sample.zip que se adjunta a esta guía en el Centro de soporte
de Symantec se proporciona con este fin.
A modo de ejemplo, su conjunto de entrenamiento positivo contiene 250 documentos
de ejemplo y su conjunto de entrenamiento negativo contiene 150 documentos.
Es posible añadir de 100 a 200 documentos genéricos a su conjunto de
entrenamiento negativo desde el archivo de almacenamiento

DLP_Wikipedia_sample.zip. Las pruebas internas han mostrado que agregar
contenido genérico para complementar un conjunto de entrenamiento negativo
bien definido puede mejorar la exactitud para VML.
Si no se pueden recopilar bastantes documentos positivos para cumplir el requisito
mínimo, se puede cargar el conjunto de entrenamiento de menor tamaño varias
veces. Por ejemplo, considere un caso donde tiene la categoría de contenido
"previsiones de ventas", Para esta categoría, se han recopilado 25 hojas de cálculo
positivas y 50 documentos negativos. En este caso, puede cargar el conjunto de
entrenamiento positivo dos veces para alcanzar el umbral mínimo de documentos
y para igualar el número de documentos negativos. Tenga en cuenta que es
necesario usar esta técnica para propósitos de desarrollo y de prueba solamente.
Los perfiles de producción se deben entrenar según por lo menos el número mínimo
de documentos para ambos conjuntos de entrenamiento.
Tabla 23-21 enumera la cantidad óptima, recomendada y mínima de documentos
que debe incluir en cada conjunto de entrenamiento.
Nota: Estas instrucciones del conjunto de entrenamiento asumen un tamaño de

documento promedio de 3 KB. Si tiene documentos de mayor tamaño, menor
cantidad puede ser suficientes.
Tabla 23-21 Instrucciones para el tamaño del conjunto de entrenamiento
Conjunto de entrenamiento Mínimo Recomendado
Documentos de ejemplo positivos 50 250
Documentos de ejemplo negativos 50 250
Número total de documentos para la

100 500
categoría
Recomendaciones para cargar los documentos para el entrenamiento

Si bien se pueden cargar documentos individuales a Enforce Server para el
entrenamiento, se recomienda cargar archivos de almacenamiento documentales
(ZIP, RAR, TAR) que contengan los documentos de ejemplo para cada conjunto
de entrenamiento. El tamaño máximo de carga es 30 MB. No hay límite de tamaño
para los conjuntos de entrenamiento.
Para recopilar los documentos para el entrenamiento, se recomienda crear un área
de almacenamiento. Por ejemplo, considere una categoría llamada "Informes de
ventas". En este caso usted crearía una carpeta llamada
\VML\training_stage\sales_reports que representa la categoría. Dentro de

esta carpeta usted crearía dos subcarpetas, una para el conjunto de entrenamiento
positivo y otra para el conjunto de entrenamiento negativo (por ejemplo:
\VML\training_stage\sales_reports\positive). Cuando usted está listo para
entrenar al perfil, se comprime la subcarpeta positiva y la subcarpeta negativa en
archivos de documentos diferentes. Es posible particionar el conjunto de
entrenamiento en archivos de almacenamiento si tiene más de 30 MB de datos
para cargar para un conjunto de entrenamiento. No integre un archivo de
almacenamiento dentro de un archivo de almacenamiento.
Instrucciones para la definición de tamaño del perfil

Antes de que entrene a un perfil de VML, se puede ajustar la cantidad de memoria
asignada al perfil. La cantidad de memoria que se asigna determina cuántas
funciones tiene el sistema, que a su vez afecta al tamaño del perfil. Cuanto más
alta sea la configuración de la asignación de memoria, más profunda la extracción
de funciones y el trazado del modelo, y más grande es el perfil. Generalmente para
la detección de políticas basada en servidor, la configuración recomendada de la
asignación de memoria es alta, que es la configuración predeterminada.
En el endpoint, el perfil de VML se implementa en el equipo host y es cargado en
la memoria por el Agente DLP. (A diferencia de EDM e IDM, VML no se basa en
la detección de dos niveles para las políticas de endpoint). Como la memoria en
el endpoint es limitada, la recomendación es asignar memoria baja o media para
las políticas de endpoint. La prueba interno ha mostrado que la reducción de la
asignación de memoria no reduce la exactitud del perfil y puede mejorar la exactitud
en ciertas situaciones.
Tabla 23-22 Recomendaciones para la asignación de memoria
Asignación de memoria Descripción
Alto Configuración predeterminada generalmente apropiada para la detección basada en

servidor.
Medio Use esta configuración para reducir el tamaño del perfil.
Bajo Use esta configuración para la detección de endpoint.
Recomendaciones para aceptar o rechazar un perfil

Cuando se entrena un perfil de VML contra el contenido de la categoría, el sistema
selecciona las funciones, crea el modelo y calcula los índices de exactitud base
para los falsos positivos y falsos negativos. Los índices de exactitud base se
calculan usando un proceso generalmente aceptado y estándar llamado evaluación
de k iteraciones. Los índices de exactitud base le proporcionan un indicador

temprano de la calidad de sus conjuntos de entrenamiento de la categoría.
Para ilustrar cómo el proceso de evaluación de k iteraciones funciona, asuma que
tiene una categoría con 500 documentos totales de ejemplo: 250 positivos y 250
negativos. Durante la ejecución del entrenamiento, el sistema divide el conjunto
de entrenamiento en 10 partes. Cada parte es un subconjunto distinto del conjunto
de entrenamiento general y contiene ejemplos de documentos positivos y negativos.
El sistema usa nueve subconjuntos para generar un perfil de VML y un subconjunto
para probar el perfil. Los subconjuntos pueden convertirse en el subconjunto de
prueba para la primera ronda de evaluación. Para la siguiente ronda, el subconjunto
siguiente en la cola se convierte en el subconjunto de prueba. Este proceso se
repite para los 10 subconjuntos. El sistema realiza una ejecución de entrenamiento
final llamado validación cruzada, que hace un promedio de los resultados de todos
los subconjuntos y genera el modelo final.
Cuando el proceso de entrenamiento se completa correctamente, el sistema muestra
los índices de exactitud y le indica aceptar o rechazar el perfil de entrenamiento.
El índice de exactitud de falsos positivos es el porcentaje de documentos de prueba
negativos clasificados equivocadamente como positivos. El índice de precisión de
falsos negativos es el porcentaje de documentos de prueba positivos que se
clasifican equivocadamente como negativos. Como una pauta general, es necesario
rechazar el perfil de entrenamiento si cualquiera de ambos índices de superior al
5%.
Nota: Es posible usar el archivo de registro machinelearning_training.log para

evaluar los índices de exactitud de entrenamiento por subconjunto.
Instrucciones para aceptar o rechazar los resultados del

entrenamiento
Se decide aceptar o rechazar un perfil del entrenamiento basado en los porcentajes
de falsos positivos y de falsos negativos que el sistema muestra a usted al finalizar
el proceso del entrenamiento.
Para comprender mejor cómo el sistema calcula los índices de exactitud del conjunto
de entrenamiento del Perfil de Aprendizaje de máquina, considere el ejemplo
siguiente.
Cuenta con un conjunto de entrenamiento que incluye 1000 documentos, 500

positivos y 500 negativos. Cuando se entrena el perfil, el sistema toma el 90% de
los documentos, extrae las funciones y crea un modelo. Toma el 10 % restante de
los documentos y evalúa sus funciones en función del modelo en busca de
semejanzas. A continuación, produce calificaciones de precisión con falsos positivos
y falsos negativos. Este proceso es conocido como "división de conjuntos". Para
cada conjunto de entrenamiento, el sistema evalúa diez conjuntos, comparando
cada vez un 10% diferente de los documentos con el 90%. Al finalizar el ciclo, el
sistema realiza una evaluación cruzada de los diez conjuntos. A continuación
produce un promedio de exactitud tanto para las categorías positivas como para
las negativas.
Suponga que el resultado del proceso de entrenamiento da un índice de base de
falsos positivos de aproximadamente 1,2 % y un índice de base de falsos negativos
de aproximadamente 1 %. En promedio, 1,2 % de los documentos negativos en el
conjunto de entrenamiento están incorrectamente categorizados como positivos y
el 1 % de los documentos en el conjunto de entrenamiento están incorrectamente
categorizados como negativos. Mientras que el objetivo es el 0 % para ambos
índices, en general, un porcentaje inferior al 5 % para cada categoría es aceptable.
Los porcentajes que se producen al finalizar el proceso de entrenamiento son
promedios entre los 10 conjuntos. Por lo tanto, en lugar de basarse en la regla
general del 5 %, se recomienda revisar los resultados de porcentajes para cada
conjunto. Para revisar los porcentajes, examine el archivo de registro
\SymantecDLP\Protect\logs\debug\mld0.log. Como se muestra a continuación,
los índices de cada conjunto dan una lectura para cada uno de los diez conjuntos
en los cuales se puede basar su decisión de aceptar o rechazar el perfil.
Tabla 23-23 Proceso de evaluación de exactitud del conjunto de entrenamiento
Evaluación de Tasas de precisión por categoría de conjunto y promedios entre conjuntos

conjuntos
Conjunto 0 Índice de falsos positivos 2.013422727584839 Índice de falsos positivos 0.0
Conjunto 1 Índice de falsos positivos 1.3513513803482056 Índice de falsos positivos

1.7857142686843872

0.8928571343421936

1.7857142686843872

0.8928571343421936
Evaluación de Tasas de precisión por categoría de conjunto y promedios entre conjuntos

conjuntos

2.6785714626312256

0.8928571343421936

1.8018018007278442
Entre conjuntos Índice de falsos positivos promedio Índice de falsos negativos promedio
1.214855808019638 1.0730373203754424
Recomendaciones para implementar perfiles

Los perfiles aceptados de VML se transfieren a cada servidor de detección y al
Agente Symantec DLP, incluso si esos perfiles no son requeridos por las políticas
activas en ese servidor o endpoint. Los servidores de detección cargan todos los
perfiles de VML en la memoria independientemente de si cualquier política asociada
de VML está implementada en esos servidores. Los Agentes DLP cargan solamente
los perfiles de VML que necesita una política activa. Para optimizar el rendimiento
del servidor, se recomienda no implementar (aceptar) perfiles innecesarios de VML
y no eliminar los perfiles (implementados) aceptados de VML que no son requeridos
por las políticas activas.
Además, cuando se cambia el Umbral de similitud, el sistema vuelve a sincronizar
el perfil entero con los servidores de detección y los Agentes DLP. Si tiene un perfil
grande de VML y limitaciones de ancho de banda posibles (por ejemplo,
implementación a muchos endpoints), esto puede causar congestión de red. En
este caso es necesario probar y ajustar el perfil en una selección menor de
endpoints antes de implementar el perfil en la producción en cada endpoint de su
red.
Capítulo 24
usando Reconocimiento de
formularios -
Reconocimiento de
imágenes para DLP
■ Acerca de la detección del Reconocimiento de formulario
■ Configurar la detección de Reconocimiento de formulario
■ Administración de perfiles de Reconocimiento de formulario
■ Configuración avanzada del servidor para el Reconocimiento de formulario
■ Visualización de un incidente del Reconocimiento de formulario
Acerca de la detección del Reconocimiento de

formulario
La regla Reconocimiento de formulario proporciona la capacidad de detectar los
formularios que contienen información confidencial, tal como formularios de
impuestos, formularios médicos, formularios de seguro, etc.
Reconocimiento de formulario detecta las imágenes de formulario en una variedad
de formatos de imagen, incluyendo los siguientes:
Detección de contenido usando Reconocimiento de formularios - Reconocimiento de imágenes para DLP 708
Acerca de la detección del Reconocimiento de formulario
■ PDF (versión 1.2 y versiones posteriores solamente)

■ PDF que usa el formato de AcroForms
■ XFA (solamente se admite la imagen de copia impresa o la imagen que vería
si imprime el formulario. No se admiten copias electrónicas, como formularios
completables. Tampoco se admite la extracción de texto de XFA
■ JPEG (.jpg, .jpeg)
■ PNG
■ TIFF (de una sola página o de varias páginas, .tif o .tiff)
■ Mapa de bits (.bmp, .dib)
La regla Reconocimiento de formulario está disponible para Network Monitor,
Network Prevent for Email, Network Prevent for Web y Network Discover.
Reconocimiento de formulario no está disponible para Endpoint Discover, Endpoint
Prevent ni ningún otro detector en la nube.
Ver "Configurar la detección de Reconocimiento de formulario" en la página 709.
Cómo funciona el Reconocimiento de formulario

Symantec Data Loss Prevention analiza las funciones de sus formularios en blanco
y almacena los resultados como puntos importantes en el perfil de Reconocimiento
de formulario. Este proceso se llama indización. Luego, el servidor de detección
compara las imágenes en el tráfico de red o almacenadas en los repositorios de
datos con los formularios que se han indizado. El grado de coincidencia entre el
formulario detectado y los puntos importantes del formulario en blanco indizado se
llama alineación. De forma predeterminada, el 85% de los puntos importantes
deben coincidir o "alinearse" para que el formulario sea considerado una
coincidencia.
La comparación entre la imagen detectada y el formulario en blanco indizado
además permite a Symantec Data Loss Prevention determinar cuánto del formulario
se ha completado. El "Umbral de completado" se representa como un intervalo de
1 a 10, donde 1 es un formulario completado al mínimo y 10 es un formulario
totalmente completo. Se usa el umbral de completado para especificar cuándo
Symantec Data Loss Prevention crea un incidente. Un umbral bajo de completado
crea más incidentes detectando formularios parcialmente completados o que se
pueden completar electrónicamente con por lo menos una casilla de selección
completada o formularios incompletos. Un alto umbral de completado crea menos
incidentes, pero puede no captar toda la pérdida de datos posible. Un umbral de
completado de 0 detecta todos los formularios coincidentes, incluyendo los
formularios en blanco. De forma predeterminada, el umbral de completado para
un perfil de Reconocimiento de formulario es 1. Es posible especificar otro valor
Configurar la detección de Reconocimiento de formulario
cuando se crea un perfil. Es posible también ajustar este valor para un perfil
existente para ajustar sus resultados de detección.
Ver "Configurar la detección de Reconocimiento de formulario" en la página 709.
Ver "Administración de perfiles de Reconocimiento de formulario" en la página 714.
Configurar la detección de Reconocimiento de

formulario
Para configurar Reconocimiento de formulario, recopile un conjunto de formularios
en blanco que desee proteger y agréguelos a un archivo de almacenamiento ZIP
de archivos de única página PDF. Este archivo de almacenamiento ZIP se llama
Archivo de almacenamiento de galería. A continuación, cargue su archivo de
almacenamiento de galería a un perfil de Reconocimiento de formulario en Enforce
Server para indizarlo. Enforce Server indiza sus formularios y transfiere el índice
hacia sus servidores de detección. Además, especifique el umbral de completado
para el perfil: el umbral de completado especifica cuánto del formulario debe
completarse para accionar un incidente.
La Tabla 24-1 proporciona un flujo de trabajo de alto nivel para la configuración de
la detección del Reconocimiento de formulario:
Tabla 24-1 Flujo de trabajo de Reconocimiento de formulario
Paso Acción Más información
1 Recopile y prepare copias en blanco de los formularios que desee Ver "Preparación de un archivo de
proteger. almacenamiento de galería del
Reconocimiento de formulario"
en la página 710.
2 Configure un perfil del reconocimiento de formularios. Especifique Ver "Configuración de un perfil del
el archivo de almacenamiento de galería con los formularios que Reconocimiento de formulario"
desee detectar y un Umbral de completado para crear los en la página 711.
incidentes.
3 Configure una política con una regla de detección o de excepción Ver "Configurar la regla de detección
de Reconocimiento de formulario usando su perfil de Reconocimiento de formulario"
Reconocimiento de formulario. en la página 712.
Ver "Configurar la regla de excepción de

Reconocimiento de formulario"
en la página 713.
Preparación de un archivo de almacenamiento de galería del

El Archivo de almacenamiento de galería del Reconocimiento de formulario es un
archivo de almacenamiento ZIP que contiene copias de página única en PDF de
los formularios en blanco que desea proteger. Se usa el archivo de almacenamiento
de galería para crear un perfil del Reconocimiento de formulario.
Symantec recomienda que se indicen no más que 500 imágenes totales de todos
los perfiles del Reconocimiento de formulario. Para mejorar el rendimiento,
Symantec recomienda crear menos perfiles que contengan más formularios, en
lugar de más perfiles que contengan menos formularios.
Para obtener mejores resultados, asegúrese de que las imágenes de formularios
en su archivo de almacenamiento de galería cumplan las instrucciones siguientes:
■ Los archivos PDF que contienen las imágenes de formularios deben tener por
lo menos 200 DPI.
■ Los formularios con los campos que se pueden completar electrónicamente
deben estar en el formato de ArcroForm. Otros formatos interactivos de
formulario no se admiten para la detección.
■ Cada formulario debe tener una cantidad suficiente de texto y de contenido
gráfico. Los formularios dispersos pueden causar más coincidencias falsas.
■ Cada formulario debe tener contenido único. Los formularios que comparten
contenido muy similar son más difíciles de hacer coincidir y pueden causar más
coincidencias falsas. Por ejemplo, los formularios de impuestos de 2014 y 2015
compartirían muchas funciones similares y sería difícil detectar si estaban en
el mismo perfil.
■ Cada formulario debe tener contenido distribuido uniformemente en la página.
Los formularios con áreas de contenido y dispersas agrupadas son más difíciles
de hacer coincidir.
■ Cada formulario debe tener fondos blancos o de color claro. Los fondos negros
u oscuros no se admiten.
Para preparar un archivo de almacenamiento de galería del Reconocimiento de
formulario
1 Recopile las copias en blanco de los formularios que desea detectar.
2 Guarde todas las copias en blanco de los formularios como archivos PDF.
Considere las instrucciones siguientes mientras se preparan los archivos PDF:
■ La galería debe contener solamente los archivos PDF. Symantec Data
Loss Prevention omite cualquier otra carpeta y archivo en el archivo de
almacenamiento ZIP.
■ Si un formulario tiene dos o más páginas, sepárelo en archivos de una

única página y, luego, conviértalo en formato PDF.
Por ejemplo, si su formulario es un archivo Microsoft Word de tres páginas
titulado YourForm.docx, separe el archivo en tres archivos aparte de única
página y después conviértalo en PDF:
■ YourForm_1of3.PDF
■ Si su formulario contiene campos que se pueden completar

electrónicamente, use una herramienta de edición de PDF para el proceso
de conversión que conserva el formato de AcroForms, por ejemplo, Adobe
Acrobat.
■ Si su formulario incluye varias páginas de texto reutilizable que no se puede
completar, solamente agregue las páginas que se pueden completar a su
archivo de almacenamiento de galería.
3 Agregue todos los archivos de única página PDF a un archivo de

almacenamiento ZIP.
Configuración de un perfil del Reconocimiento de formulario

Configure un perfil del Reconocimiento de formulario cargando un archivo de
almacenamiento de galería y especificando un umbral de completado.
Ver "Preparación de un archivo de almacenamiento de galería del Reconocimiento
de formulario" en la página 710.
Para configurar e indizar un perfil del Reconocimiento de formulario
1 Vaya a Administrar > Perfiles de datos > Reconocimiento de formulario
para mostrar la pantalla Perfiles de reconocimiento de formulario.
2 Haga clic en Agregar perfil para mostrar Configurar perfil de reconocimiento
de formulario.
3 Escriba un nombre para el perfil en el campo Nombre.
Nota: El nombre que se escribe se usa cuando se configuran las políticas y

aparece en la instantánea de incidente para los incidentes del Reconocimiento
de formulario.
4 (Opcional) Escriba una descripción para el perfil en el campo Descripción.

5 Escriba un valor en el campo Umbral de completado.

El umbral de completado es un intervalo de 1 a 10, donde 1 representa un
formulario que se ha completado al mínimo y 10, un formulario que se ha
completado totalmente. Es posible también escribir 0 para detectar los
formularios en blanco.
Nota: Para los formularios que se completan electrónicamente, escribir 1 para

el umbral de completado detecta cualquier elemento electrónicamente
completado en un formulario. Por ejemplo, establecer el umbral en 1 detecta
una única casilla seleccionada. En cambio, establecer el umbral en 1 puede
no detectar una casilla de selección similar que se ha completado por escrito.
6 Cargue el archivo de almacenamiento de la galería haciendo clic en Examinar

y seleccionando el archivo ZIP del archivo de almacenamiento de la galería.
7 Haga clic en Guardar para comenzar a indizar el perfil.
Cuando la galería completa la indización, se la puede usar para configurar
una regla del reconocimiento de formularios en una política.
Ver "Configurar la regla de detección Reconocimiento de formulario"
en la página 712.
Configurar la regla de detección Reconocimiento de formulario

Se configura la regla de detección especificando un perfil de Reconocimiento de
formulario.
Ver "Configuración de un perfil del Reconocimiento de formulario" en la página 711.
Los formularios indizados en el perfil se comparan con los formularios detectados
para determinar si los formularios coinciden. La regla Reconocimiento de formulario
busca coincidencias en los archivos adjuntos solamente.
Para configurar la regla de detección Reconocimiento de formulario
1 Vaya a Administrar políticas > Lista de políticas, haga clic en Nuevo y cree
una nueva política en blanco o una política a partir de una plantilla.
2 Haga clic en Agregar regla en la ficha Detección para mostrar Configurar
política - Agregar regla.
3 Seleccione Detectar usando el perfil de reconocimiento de formulario en
la sección Reconocimiento de formulario y seleccione el perfil del
reconocimiento de formulario que contiene los formularios que desee proteger.
4 Haga clic en Siguiente para mostrar la página Configurar política - Editar

regla.
5 Escriba un nombre para la regla en el campo Nombre de la regla.
6 Elija la gravedad de la regla.
7 Seleccione las condiciones para la regla de detección de Reconocimiento de
formulario.
Es posible usar el campo También hacer coincidir para configurar las
condiciones de coincidencia compuestas. Ver "Condiciones compuestas"
en la página 426.
8 Haga clic en Aceptar para agregar la regla de detección.
9 Haga clic en Guardar para aplicar la regla de detección a la política.
La nueva política aparece en Lista de políticas.
Configurar la regla de excepción de Reconocimiento de formulario

Se configura la regla de excepción especificando un perfil de Reconocimiento de
formulario.
Ver "Configuración de un perfil del Reconocimiento de formulario" en la página 711.
Para configurar la regla de excepción de Reconocimiento de formulario
1 Vaya a Administrar políticas > Lista de políticas, haga clic en Nuevo y cree
una nueva política en blanco o una política a partir de una plantilla.
2 Haga clic en Agregar excepción en la ficha Detección para mostrar
Configurar política - Agregar excepción.
3 Seleccione Detectar usando el perfil de reconocimiento de formulario en
la sección Reconocimiento de formulario y seleccione el perfil de
Reconocimiento de formulario que contiene los formularios que desee proteger.
4 Haga clic en Siguiente para mostrar la página Configurar política - Editar
excepción.
5 Escriba un nombre para la excepción en el campo Nombre de la excepción.
6 Seleccione las condiciones para la regla de detección de Reconocimiento de
formulario.
Es posible usar el campo También hacer coincidir para configurar las
condiciones de coincidencia compuestas. Ver "Condiciones compuestas"
en la página 426.
Administración de perfiles de Reconocimiento de formulario
7 Haga clic en Aceptar para agregar la regla de excepción.

8 Haga clic en Guardar para aplicar la regla de detección a la política.
La nueva política aparece en Lista de políticas.
Administración de perfiles de Reconocimiento de

formulario
La pantalla Perfiles de reconocimiento de formulario ( Administrar > Perfiles
de datos > Reconocimiento de formulario ) proporciona una vista resumida de
todos los perfiles de Reconocimiento de formulario. Es posible usar esta pantalla
para confirmar que un perfil fue indizado correctamente, ver el estado de la
indización, etc.
Tabla 24-2 Detalles de los perfiles de Reconocimiento de formulario
Agregar perfil Haga clic en Agregar perfil para configurar un nuevo perfil de
Reconocimiento de formulario.
Ver "Configuración de un perfil del Reconocimiento de formulario"

en la página 711.
Mostrar entradas Seleccione un valor de Mostrar entradas para especificar la cantidad

de perfiles que se puede ver en esta página.
Navegación de página Es posible usar los botones siguientes para cambiar la vista de los
perfiles:
■ Haga clic en Último para ver los perfiles con las fechas más
recientes en orden ascendente.
■ Haga clic en un número para ir hasta esa página específica.
■ Haga clic en Siguiente para ver la página siguiente.
■ Haga clic en Anterior para ver la página anterior.
Nombre del perfil Haga clic en Nombre del perfil para ver o para editar el perfil.
Nota: Es posible ordenar los datos de la columna en orden ascendente
(A-Z/1-3) haciendo clic en la flecha hacia arriba o en orden
descendente (Z-A/3-1) haciendo clic en la flecha hacia abajo.
Descripción La descripción del perfil. Es posible editar la descripción haciendo clic

en el nombre del perfil o en el icono del lápiz en la columna Acciones.
Administración de perfiles de Reconocimiento de formulario
Estado Cada perfil muestra uno de los siguientes estados:
■ Galería faltante o no válida aparece cuando falla la indización

para el perfil. La galería no se cargó porque el archivo ZIP no es
válido.
■ La indización no se inició aparece cuando la indización para el

perfil no comenzó. La galería cargada no procesó.
■ La indización está en curso aparece cuando la galería cargada
está indizando.
■ Perfil indizado aparece cuando la indización para este perfil está
completa y el índice está correctamente creado.
■ Galería no válida aparece cuando falla la indización para el perfil.
La galería cargada no se comenzó a indizar porque no es válida.
■ El índice no contiene imágenes aparece cuando falla la indización
para el perfil. La galería cargada no se indizó porque no contiene
ningún archivo compatible.
■ Error de indización aparece cuando falla la indización para este
perfil. La galería cargada no se indizó.
■ La indización encontró algunos archivos inutilizables aparece
cuando la indización para el perfil se completa con errores. Algunos
de los archivos en la galería cargada no pueden ser indizados.
Galería El nombre del archivo de almacenamiento de galería.
No es posible editar el nombre de la galería. Es posible cargar una

nueva galería o una galería existente cuyo nombre haya sido cambiado
haciendo clic en el nombre del perfil o el icono del lápiz en la columna
Acciones.
Cantidad de formularios utilizables La cantidad total de imágenes de formularios en la galería que se han
indizado sin errores y se pueden usar en una política.
Fecha de indización La fecha en que el perfil se indizó por última vez.
Versión de índice El número de versión del índice.
Umbral de completado El valor de Umbral de completado proporcionado cuando configuró

el perfil de Reconocimiento de formulario. Es posible editar este valor
haciendo clic en el nombre del perfil o el icono del lápiz en la columna
Acciones.
Acciones Haga clic en Lápiz para editar los detalles del perfil.
Haga clic en la X roja para eliminar un perfil. Si elimina un perfil, el

sistema elimina los metadatos del perfil y la galería de Enforce Server.
Configuración avanzada del servidor para el Reconocimiento de formulario
Configuración avanzada del servidor para el

Algunos de los valores predeterminados del servidor de Reconocimiento de
formulario pueden requerir una prueba y un ajuste para determinar qué funciona
mejor según sus necesidades. Es posible modificar esta configuración en la página
Sistema > Servidores y detectores > Descripción general > Detalles del
servidor/detector - Configuración avanzada. Symantec recomienda que se
contacte con el Soporte técnico de Symantec antes de modificar cualquier
configuración avanzada del servidor.
Hay nueve opciones de configuración avanzadas relacionadas con el
Reconocimiento de formulario:
■ ContentExtraction.ImageExtractorEnabled
■ ContentExtraction.MaxNumImagesToExtract
■ FormRecognition.ALIGNMENT_COEFFICIENT
■ FormRecognition.CANONICAL_FORM_WIDTH
■ FormRecognition.MAXIMUM_FORM_WIDTH
■ FormRecognition.MINIMUM_FORM_ASPECT_RATIO
■ FormRecognition.MINIMUM_FORM_WIDTH
■ FormRecognition.OPENCV_THREADPOOL_SIZE
■ FormRecognition.PRECLASSIFIER_ACTION
Es posible ver los detalles sobre esta configuración aquí:
Visualización de un incidente del Reconocimiento de

formulario
Los incidentes del Reconocimiento de formulario se pueden ver y reparar como
cualquier incidente de Symantec Data Loss Prevention. Ver "Acerca de la reparación
de incidentes" en la página 1515.
Además de la información usual de la instantánea de incidente, los incidentes del
Reconocimiento de formulario incluyen:
■ Las áreas resaltadas en amarillo en el formulario, que indican los elementos
del formulario que se alinean y los campos electrónicos que se han completado.
Visualización de un incidente del Reconocimiento de formulario
■ Áreas resaltadas anaranjadas en el formulario, que indican las áreas

cuestionables.
■ Una Puntuación de similitud, que indica qué tan similares son los elementos
del formulario. Cuanto mayor es la puntuación, más similares estadísticamente
son los contenidos del campo a los campos del formulario.
Capítulo 25
usando OCR -
Reconocimiento de
imágenes
■ Acerca de la detección de contenido con el reconocimiento de imágenes

confidenciales basado en OCR
■ Configurar los servidores de OCR
■ Instalación de una licencia de reconocimiento de imágenes confidencial de

OCR
■ Crear una configuración de OCR
■ Uso del motor de OCR
■ Más sobre los idiomas y los diccionarios
■ Vista de incidentes de OCR en los informes

Detección de contenido usando OCR - Reconocimiento de imágenes 719
Acerca de la detección de contenido con el reconocimiento de imágenes confidenciales basado en OCR
Acerca de la detección de contenido con el

reconocimiento de imágenes confidenciales basado
en OCR
El reconocimiento de imágenes confidenciales basado en OCR proporciona la
capacidad de extraer el texto de las imágenes (documentos, capturas de pantalla
e imágenes analizados) y de archivos PDF, lo que permite usar las nuevas o
preexistentes reglas de detección basadas en texto en este contenido.
Nota: La extracción de imágenes de los archivos de Microsoft Office no se admite.
El texto extraído ingresa luego en la cadena de detección y se procesa

idénticamente al texto convencionalmente extraído. Las instantáneas de incidente
para el texto de OCR son similares a las del texto convencionalmente extraído: el
extracto del texto se muestra con las palabras detectadas resaltadas. Los incidentes
de OCR tienen indicadores visuales que denotan que el texto proviene de OCR y
una vista en miniatura de la imagen original.
Es posible configurar el OCR para usar diversos idiomas. Para mejorar los
resultados del reconocimiento, es posible elegir un diccionario especializado (como
legal, financiero o médico) para habilitar la corrección ortográfica suplementaria.
También es posible configurar un diccionario personalizado para ocuparse de los
nombres propios u otros términos específicos de su negocio.
Mientras la extracción de contenido basada en OCR puede integrarse con los
servidores de detección de Windows y de Linux, Symantec admite instalar el servidor
de OCR en los servidores de Windows solamente. La extracción de contenido
basada en OCR no se admite en los agentes de Windows, los agentes de macOS,
los servicios en la nube de Data Loss Prevention ni los appliances de Data Loss
Prevention (virtuales y físicos). Para obtener información sobre las versiones
admitidas de los servidores de Windows, consulte la Guía de requisitos del sistema
para Symantec Data Loss Prevention en
https://www.symantec.com/docs/DOC10602
Nota: El reconocimiento de imágenes confidenciales basado en OCR para Symantec

Data Loss Prevention se introduce en la versión 15.0, pero la versión del servidor
de OCR no está sujeta a ninguna versión de Symantec Data Loss Prevention y se
puede actualizar independientemente.
Configurar los servidores de OCR
Tipos de detección admitidos para la extracción basada en OCR

Se admiten los siguientes tipos de detección para la extracción basada en OCR:
■ Network Monitor
■ Network Prevent para correo electrónico
■ Network Prevent para Web
■ Network Discover
Tipos de archivo admitidos para la extracción basada en OCR

Las imágenes de los tipos siguientes de archivo se extraen y se envían al OCR:
■ JPEG (.jpg, .jpeg)
■ PNG
■ TIFF (de una sola página o de varias páginas, .tif o .tiff)
■ Mapa de bits (.bmp)
■ Imágenes extraídas de archivos PDF, tales como páginas de un documento
analizado.
Configurar los servidores de OCR

La extracción de contenido basada en OCR también requiere la instalación de un
servidor de OCR. Se configura el servidor de OCR (microservicio) desde la consola
de administración de Enforce Server. Symantec recomienda instalar el servidor de
OCR en hardware dedicado, debido a sus requisitos de procesamiento de alto
nivel. Un certificado para la comunicación entre el cliente de OCR en Enforce Server
y el servidor de OCR también se requiere.
El servidor de OCR es un servidor independiente, aparte de cualquier servidor de
detección de Data Loss Prevention. Es posible configurar el servidor de detección
para hablar con una dirección de OCR (dirección IP o nombre del host). Esa
dirección puede ser un único servidor de OCR o un único equilibrador de carga
frente a varios servidores de OCR. Es posible usar un equilibrador de carga externo
u otra tecnología, tal como el Equilibrio de carga de red de Windows.
Tenga en cuenta que un servidor de detección se puede configurar solamente con
una única dirección del servidor de OCR: la dirección IP o el nombre del host para
un único servidor de OCR o la dirección IP virtual para un equilibrador de carga (o
un par de equilibradores de carga) frente a varios servidores de OCR. Si desea
configurar un servidor de detección para comunicarse con un grupo de servidores
de OCR, se limita al servidor de detección a admitir la configuración de una única
Instalación de una licencia de reconocimiento de imágenes confidencial de OCR
dirección del servidor de OCR. Los servidores de OCR múltiples necesitan ser
enfrentados por un equilibrador de carga que proporcione esa única dirección.
En el caso de un solo servidor de OCR, se puede instalar en un equipo aparte o
en el mismo equipo que el servidor de detección (no recomendado). La información
de configuración se incluye con la solicitud, de forma que los servidores de OCR
pueden servir a las solicitudes de diferentes servidores de detección que se
configuran de manera diferente.
Por ejemplo, se puede configurar un servidor de detección para detectar texto en
inglés con la exactitud más alta posible de OCR. A continuación, se puede configurar
otro servidor de detección para detectar texto en japonés con la velocidad más alta
posible. En este caso, el mismo servidor de OCR puede manejar ambos tipos de
solicitudes. Symantec recomienda que se instale el servidor de OCR en un equipo
aparte del servidor de detección. Sin embargo, Symantec admite la coimplantación
del servidor de OCR con un servidor de detección.
Se instala un servidor de OCR mediante el Asistente de configuración del instalador
del servidor de OCR de Symantec DLP.
Para instalar un servidor de OCR
1 Abra el Instalador del servidor de OCR.
2 Haga doble clic en OCRServerInstaller64.
3 Haga clic en Siguiente.
4 Seleccione el Directorio de destino que desee. Haga clic en Siguiente. El
instalador se ejecuta.
5 Haga clic en Finalizar cuando la instalación se complete.
Ahora el servicio de OCR se está ejecutando y está listo para recibir las solicitudes
de OCR.
Instalación de una licencia de reconocimiento de

imágenes confidencial de OCR
Para obtener más información sobre la adición de licencias a Symantec Data Loss
Prevention, consulte la sección “Cómo agregar un nuevo módulo del producto” en
la Guía de administración de Symantec Data Loss Prevention.
Crear una configuración de OCR

Adición de un perfil de OCR
1 Vaya a Sistema > Configuración > Configuración del motor de OCR.
2 Haga clic en Agregar configuración del motor de OCR.
Configuración del motor de OCR
1 Escriba el Nombre del perfil.
2 Escriba la Descripción opcional del perfil.
3 Escriba el Nombre de host del servidor de OCR del servidor donde las
solicitudes de OCR se deben enviar. Puede ser un único equilibrador de carga
o un servidor individual de OCR.
4 Escriba el número de Puerto del puerto en donde las solicitudes se deben
enviar. El puerto predeterminado es 8555.
5 Escriba el valor de Tiempo de espera del motor de OCR (segundos). Esta
configuración define cuánto tiempo antes una solicitud de OCR debe exceder
el tiempo de espera. El tiempo de espera predeterminado es 30.
El tiempo de espera es cuánto tiempo está permitido que la solicitud pase
dentro del servidor de OCR y no incluye el tiempo de tránsito ni otros retrasos.
El tiempo de espera se debe configurar con las otras opciones de configuración
de tiempo de espera de contenido en la configuración avanzada. Como con
otras operaciones de extracción de contenido, si se alcanza el tiempo de
espera, se omite el componente de OCR y el contenido previamente extraído
del contenido pasa a la detección.
6 Escriba un valor para Precisión frente a velocidad. De forma predeterminada,

el servidor de OCR configura el valor dinámicamente para cada documento.
Un preclasificador de reconocimiento de imágenes confidenciales está presente
en el servidor de detección. Este preclasificador examina cada imagen y
determina si es conveniente para la extracción de contenido basada en OCR
(y el reconocimiento de formularios). A continuación, determina qué valores
preestablecidos son los más apropiados. Si anula la selección de este cuadro,
se pueden seleccionar los valores preestablecidos para usar para todas las
imágenes. Es posible elegir Preciso, Equilibrado o Rápido. Esta estrategia
puede ser apropiada para los análisis de Discover, donde la exactitud tiene
más prioridad que el tiempo.
7 En la sección Idiomas admitidos, seleccione los idiomas candidatos para

OCR.
Es posible seleccionar uno o más idiomas y, a continuación, el servidor de
OCR selecciona un idioma de ese grupo para usar para la imagen. Symantec
asume que los documentos son principalmente de un idioma (por ejemplo,
todo francés o todo inglés, en comparación con inglés y francés mezclados).
La cantidad de idiomas debe ser tan pequeña como sea posible. Cuantos más
idiomas se seleccionan, más lenta es la velocidad de procesamiento.
Incluso si un idioma no se selecciona, se puede aún conseguir el texto exacto
de ese idioma. Por ejemplo, puede seleccionar Inglés y Alemán, y enviar una
imagen con texto en inglés y francés mezclados al servidor de OCR. Puede
elegir Inglés y aún devolver un poco de texto en francés. La selección de
idioma determina qué diccionario de corrección ortográfica se usa. Además
afecta qué grupo de caracteres se elige si un carácter en la imagen no es
entendible.
8 En la sección Idiomas y diccionarios especializados, se habilita la corrección
ortográfica suplementaria para diversos negocios (legal, financiero, médico)
en diferentes idiomas.
9 En la sección Idiomas y diccionarios personalizados, especifique el nombre
de su archivo de diccionario personalizado para facilitar la exactitud del
reconocimiento. Por ejemplo, si ciertos nombres propios le generan dificultad
al servidor de OCR, puede colocarlos en este diccionario personalizado.
Con los diccionarios y la corrección ortográfica se mejoran los resultados del
reconocimiento para los análisis y las imágenes de baja calidad (tales como
faxes). Si los caracteres son claros, el motor tiene menos incertidumbre sobre
lo que pueden ser y los diccionarios son menos útiles.
10 El diccionario personalizado es un archivo de texto, con una entrada por línea.
Este archivo de texto debe colocarse en el directorio del diccionario de cada
servidor en c:\SymantecDLPOCR\Protect\bin.
Asigne un perfil a un servidor de detección
2 Seleccione una supervisión.
3 En la página Detalles del servidor/detector, haga clic en Configurar.
4 En la página Configurar servidor, haga clic en Motor de OCR. En
Configuración del motor de OCR, seleccione la configuración que desee
usar para el servidor.
Uso del motor de OCR
Uso del motor de OCR

Es posible ver todas sus opciones de configuración de OCR y añadir una
configuración del motor de OCR en la página Configuración del motor de OCR.
En esta página se puede:
■ Hacer clic en Agregar configuración del motor de OCR para añadir una nueva
configuración.
■ Hacer clic en el nombre de la configuración o del icono del lápiz para editar una
configuración existente.
■ Hacer clic en la X roja para eliminar una configuración.
Ver "Acerca de la detección de contenido con el reconocimiento de imágenes
confidenciales basado en OCR" en la página 719.
Ver "Vista de incidentes de OCR en los informes" en la página 726.
Más sobre los idiomas y los diccionarios

En lugar de elegir un grupo de idiomas, el servidor de OCR asume que todos los
idiomas seleccionados pueden estar en la imagen. Esta es una buena estrategia
para el caso de uso del documento de idiomas mezclados, pero no se recomienda
seleccionar más de cuatro idiomas, pues puede afectar negativamente la velocidad
y la exactitud.
Diccionarios especializados disponibles para la extracción de

contenido de OCR
Los diccionarios especializados siguientes están disponibles para la extracción de
contenido de OCR:
■ Diccionario legal holandés
■ Diccionario médico holandés
■ Diccionario financiero inglés
■ Diccionario legal inglés
■ Diccionario médico inglés
■ Diccionario legal francés
■ Diccionario médico francés
■ Diccionario legal alemán
■ Diccionario médico alemán
Más sobre los idiomas y los diccionarios
Idiomas admitidos para la extracción de OCR

Los idiomas siguientes se admiten para la extracción de OCR:
■ Árabe
■ Chino (simplificado)
■ Chino (tradicional)
■ Checo
■ Danés
■ Neerlandés
■ Inglés
■ Finlandés
■ Francés
■ Alemán
■ Griego
■ Húngaro
■ Italiano
■ Japonés
■ Coreano
■ Noruego
■ Polaco
■ Portugués
■ Portugués (Brasil)
■ Romaní
■ Ruso
■ Español
■ Sueco
■ Turco
Otros idiomas pueden ser detectados si usan conjuntos de caracteres admitidos.
Vista de incidentes de OCR en los informes
Vista de incidentes de OCR en los informes

Los incidentes de OCR son señalados y el texto detectado se resalta en amarillo
en los informes de incidente. Las vistas en miniatura de la página se incluyen en
el incidente. Hacer clic en la vista en miniatura le permite ver una versión más
grande de la imagen. Esta imagen contiene el texto extraído que infringe la política
Capítulo 26
Cómo detectar el contenido
usando los identificadores
de datos
■ Presentación de los identificadores de datos
■ Configurar las condiciones de la política del identificador de datos
■ Modificar los identificadores de datos de sistema
■ Crear identificadores de datos personalizados
■ Prácticas recomendadas para usar los identificadores de datos
Presentación de los identificadores de datos

Symantec Data Loss Prevention proporciona identificadores de datos para detectar
instancias específicas del contenido descrito. Los identificadores de datos permiten
implementar rápidamente una coincidencia de datos exacta y resumida con esfuerzo
mínimo.
Los identificadores de datos son los algoritmos que combinan coincidencia de
patrones con validadores de datos para detectar contenido. Los patrones son
similares a las expresiones regulares, pero son más eficaces porque están ajustados
para que coincidan exactamente con los datos. Los validadores son comprobaciones
de exactitud que se enfocan en el ámbito de detección y aseguran cumplimiento.
Por ejemplo, el identificador de datos del sistema “número de tarjeta de crédito”
detecta los números que coinciden con un patrón específico. El patrón coincidido
es validado por una “comprobación de Luhn” que es un algoritmo. En este caso,
Cómo detectar el contenido usando los identificadores de datos 728
la validación se realiza en los primeros 15 dígitos del número que evalúa para
igualar el decimosexto dígito.
Symantec Data Loss Prevention proporciona identificadores de datos configurados
previamente que se pueden usar para detectar datos confidenciales de uso general,
como números de tarjeta de crédito, de la seguridad social y de licencia de conducir.
La mayoría de los identificadores de datos vienen en tres amplitudes (alta, media
y baja) que puede ajustar sus resultados de detección. Los identificadores de datos
ofrecen amplio soporte para detectar contenido internacional.
Si un identificador de datos definido en sistema no cubre sus necesidades, puede
modificarlo. Es posible también definir sus propios identificadores de datos
personalizados para detectar cualquier contenido que se pueda describir.
Ver "identificadores de datos definidos por el sistema" en la página 728.
Ver "Seleccionar una amplitud del identificador de datos" en la página 748.
identificadores de datos definidos por el sistema

Symantec Data Loss Prevention proporciona varios identificadores de datos
definidos por el sistema para ayudarlo a detectar y validar datos confidenciales
basados en patrones.
Tabla 26-1 Identificadores de datos del sistema
Categoría Descripción
Identidad personal Detecte diversos tipos de números de identificación para las regiones de África, de Asia
Pacífico, de Europa, de Norteamérica y de Sudamérica.
Financiero Detecte números de identificación financieros, como números de tarjeta de crédito y números
de ABA.
Asistencia médica Detecte los códigos de fármacos de los EE. UU. e internacionales y otro datos confidenciales
basados en patrones relacionados con la asistencia médica.

Categoría Descripción
Tecnología de la Detecte direcciones IP.

información
Ver "Identificadores de datos de la tecnología de la información" en la página 737.
Palabras clave Palabras clave internacionales para los identificadores de datos de PII.
internacionales
Ver "Palabras claves internacionales para los identificadores de datos de PII" en la página 738.
Identificadores de datos de la identidad personal

Symantec Data Loss Prevention proporciona diversos identificadores de datos para
detectar la información de identificación personal (PII) para las regiones de África,
de Asia Pacífico, de Europa, de Norteamérica y de Sudamérica.
Tabla 26-2 enumera los identificadores de datos definidos por el sistema para la
región de Oriente Medio y de África.
Tabla 26-2 Identidad personal africana
Identificador de datos Descripción
Número de identificación personal de Sudáfrica Ver "Número de identificación personal de Sudáfrica"

en la página 1195.
región de Asia Pacífico.
Tabla 26-3 Identidad personal de Asia Pacífico
Número de registro de la empresa australiano Ver "Amplitud alta del número de registro de la empresa
australiano" en la página 945.
Número de Empresa Australiana Ver "Número de Empresa Australiana" en la página 947.
Número de pasaporte australiano Ver "Número de pasaporte australiano" en la página 952.
Número de archivo fiscal de Australia Ver "Número de archivo fiscal de Australia"

en la página 954.
Número de pasaporte de China Ver "Número de pasaporte de China" en la página 996.
Identificación de Hong Kong Ver "Identificación de Hong Kong" en la página 1072.
Número de tarjeta Aadhaar de India Ver "Número de tarjeta Aadhaar de India" en la página 1096.
Número de cuenta permanente de India Ver "Número de cuenta permanente de India"

en la página 1099.
Número de tarjeta de identidad de Indonesia Ver "Número de tarjeta de identidad de Indonesia"

en la página 1100.
Número de identificación personal de Israel Ver "Número de identificación personal de Israel"

en la página 1114.
Número de pasaporte de Japón Ver "Número de pasaporte de Japón" en la página 1125.
Número de identificación de Juki-Net de Japón Ver "Número de identificación de Juki-Net de Japón"

en la página 1127.\
Mi número japonés: empresarial Ver "Mi número japonés: empresarial" en la página 1129.
Mi número japonés: personal Ver "Mi número japonés: personal" en la página 1131.
Número de pasaporte de Corea Ver "Número de pasaporte de Corea" en la página 1133.
Número de registro de residencia coreana para extranjeros Ver "Número de registro de residente de Corea para
extranjeros" en la página 1134.
Número de registro de residencia coreana para coreanos Ver "Número de registro de residencia de Corea para
coreanos" en la página 1137.
Número de Malasia (MyKad) Ver "Número MyKad de Malasia (MyKad) "

en la página 1142.
Número de Índice de Salud Nacional (NHI) de Nueva Ver "Número de Índice de Salud Nacional (NHI) de Nueva
Zelanda Zelanda" en la página 1168.
Id. de la República Popular China Ver "Id. de la República Popular China" en la página 1173.
NRIC de Singapur Ver "Identificador de datos de la NRIC de Singapur"

en la página 1195.
Id. de Taiwán Ver "Id. de la República de China (Taiwán)"

en la página 1224.
Número de identificación personal de Tailandia Ver "Número de identificación personal de Tailandia"

en la página 1226.
Número personal de los Emiratos Árabes Unidos (EAU) Ver "Número personal de los Emiratos Árabes Unidos
(EAU)" en la página 1248.
región europea.
Tabla 26-4 Identidad personal europea
Número de pasaporte de Austria Ver "Número de pasaporte de Austria" en la página 955.
Número de identificación fiscal de Austria Ver "Número de identificación fiscal de Austria"

en la página 957.
Número de la seguridad social de Austria Ver "Número de la seguridad social de Austria"

en la página 959.
Número nacional de Bélgica Ver "Número nacional de Bélgica" en la página 961.
Número de licencia de conducir de Bélgica Ver "Número de licencia de conducir de Bélgica"

en la página 963.
Número de pasaporte de Bélgica Ver "Número de pasaporte de Bélgica" en la página 965.
Número de identificación fiscal de Bélgica Ver "Número de identificación fiscal de Bélgica"

en la página 967.
Número de impuesto sobre el valor añadido (IVA) de Ver "Número de impuesto sobre el valor añadido (IVA) de
Bélgica Bélgica" en la página 969.
Número civil uniforme búlgaro: EGN Ver "Número civil uniforme búlgaro: EGN" en la página 986.
Burgerservicenummer Ver "Burgerservicenummer" en la página 989.
Codice Fiscale Ver "Codice Fiscale" en la página 998.
Número de identificación personal de República Checa Ver "Número de identificación personal de República
Checa" en la página 1023.
Número de identificación personal de Dinamarca Ver "Número de identificación personal de Dinamarca"

en la página 1027.
Número de identificación personal de Finlandia Ver "Número de identificación personal de Finlandia"

en la página 1045.
Número de licencia de conducir de Francia Ver "Número de licencia de conducir de Francia"

en la página 1047.
Número de seguro de salud de Francia Ver "Número de seguro de salud de Francia"

en la página 1049.
Número de identificación fiscal de Francia Ver "Número de identificación fiscal de Francia"

en la página 1051.
Francia Francia" en la página 1052.
Código del INSEE de Francia Ver "Código del INSEE de Francia" en la página 1055.
Número de pasaporte de Francia Ver "Número de pasaporte de Francia" en la página 1057.
Número de la seguridad social de Francia Ver "Número de la seguridad social de Francia"

en la página 1059.
Número de pasaporte alemán Ver "Número de pasaporte alemán" en la página 1061.
Número de Id. personal de Alemania Ver "Número de Id. personal de Alemania" en la página 1063.
Número de licencia de conducir de Alemania Ver "Número de licencia de conducir de Alemania"

en la página 1065.
Alemania Alemania" en la página 1067.
Número de identificación del contribuyente de Grecia Ver "Número de identificación del contribuyente de Grecia"
en la página 1070.
Número de la seguridad social de Hungría (TAJ) Ver "Número de la seguridad social de Hungría"
en la página 1074.
Número de identificación del contribuyente de Hungría Ver "Número de identificación del contribuyente de
Hungría" en la página 1076.
Número de IVA húngaro Ver "Número de IVA húngaro" en la página 1079.
Número personal de servicio público irlandés Ver "Número personal de servicio público irlandés "
en la página 1112.
Número de licencia de conducir de Italia Ver "Número de licencia de conducir de Italia"

en la página 1117.
Número de seguro de salud de Italia Ver "Número de seguro de salud de Italia" en la página 1118.
Número de pasaporte de Italia Ver "Número de pasaporte de Italia" en la página 1121.
Número de impuesto sobre el valor añadido (IVA) de Italia Ver "Número de impuesto sobre el valor añadido (IVA) de
Italia" en la página 1122.
Número del Registro Nacional de Personas de Ver "Número del Registro Nacional de Personas de
Luxemburgo Luxemburgo " en la página 1140.
Número de licencia de conducir de los Países Bajos Ver "Número de licencia de conducir de los Países Bajos"
en la página 1159.
Número de pasaporte de los Países Bajos Ver "Número de pasaporte de los Países Bajos"
en la página 1161.
Número de identificación fiscal de los Países Bajos Ver "Número de identificación fiscal de los Países Bajos"
en la página 1162.
Número de impuesto sobre el valor añadido (IVA) de los Ver "Número de impuesto sobre el valor añadido (IVA) de
Países Bajos los Países Bajos" en la página 1166.
Número de nacimiento noruego Ver "Número de nacimiento noruego " en la página 1170.
Número de identificación de Polonia Ver "Número de identificación de Polonia" en la página 1175.
Número de REGON de Polonia Ver "Número de REGON de Polonia" en la página 1177.
Número de la seguridad social de Polonia (PESEL) Ver "Número de la seguridad social de Polonia (PESEL)"
en la página 1179.
Número de identificación fiscal de Polonia (NIP) Ver "Número de identificación fiscal de Polonia"
en la página 1182.
Código personal numérico de Rumania (CNP) Ver "Código personal numérico de Rumania"
en la página 1188.
Número de identificación de pasaporte ruso Ver "Número de identificación de pasaporte ruso"

en la página 1190.
Número de identificación del contribuyente ruso Ver "Número de identificación del contribuyente ruso"
en la página 1192.
Número de licencia de conducir de España Ver "Número de licencia de conducir de España"

en la página 1198.
Número de cuenta de cliente de España Ver "Número de cuenta de cliente español"

en la página 1201.
Número de DNI de España Ver "DNI de España" en la página 1204.
Número de pasaporte de España Ver "Número de pasaporte de España" en la página 1206.
Número de la seguridad social de España Ver "Número de la seguridad social de España "
en la página 1208.
Identificación del contribuyente de España (CIF) Ver "Identificación del contribuyente de España (CIF)"
en la página 1210.
Número de pasaporte de Suecia Ver "Número de pasaporte de Suecia" en la página 1213.
Número de identificación personal de Suecia Ver "Número de identificación personal de Suecia"

en la página 1215.
Número de AHV de Suiza Ver "Número de AHV de Suiza" en la página 1220.

Número de la seguridad social de Suiza (AHV) Ver "Número de la seguridad social de Suiza (AHV)"
en la página 1221.
Número de identificación de Turquía Ver "Número de identificación de Turquía" en la página 1228.
Número de licencia de conducir del Reino Unido Ver "Número de licencia de conducir del Reino Unido"
en la página 1230.
Número de identificación fiscal del Reino Unido Ver "Número de identificación fiscal del Reino Unido"
en la página 1241.
Número de pasaporte del Reino Unido Ver "Número de pasaporte del Reino Unido"
en la página 1238.
Número de seguro nacional del Reino Unido Ver "Número de seguro nacional del Reino Unido"
en la página 1236.
Número de Servicio Nacional de Salud (NHS) del Reino Ver "Número de Servicio Nacional de Salud (NHS) del
Unido Reino Unido" en la página 1234.
Número de registro electoral del Reino Unido Ver "Número de registro electoral del Reino Unido"
en la página 1233.
Tarjeta de identidad de Ucrania Ver "Tarjeta de identidad de Ucrania" en la página 1244.
Pasaporte de Ucrania (nacional) Ver "Pasaporte de Ucrania (nacional)" en la página 1243.
Pasaporte de Ucrania (internacional) Ver "Pasaporte de Ucrania (internacional)" en la página 1247.
La Tabla 26-5 enumera los identificadores de datos definidos por el sistema para
la región norteamericana.
Tabla 26-5 Identidad personal norteamericana
Número de seguro social de Canadá Ver "Número de seguro social de Canadá" en la página 991.
Números de licencia de conducir: Estado de California Ver "Número de licencia de conducir del estado de
California " en la página 1029.
Número de licencia de conducir: Estado de Illinois Ver "Número de licencia de conducir: estado de Illinois"
en la página 1033.
Número de licencia de conducir: Estado de Nueva Jersey Ver "Número de licencia de conducir: estado de Nueva
Jersey" en la página 1034.
Números de licencia de conducir: Estado de Nueva York Ver "Número de licencia de conducir: estado de Nueva
York" en la página 1036.
Número de licencia de conducir: Estados de Florida, Ver "Número de licencia de conducir: Estados de Florida,
Míchigan y Minnesota Míchigan y Minnesota " en la página 1031.
Número de licencia de conducir: Estado de Washington Ver "Número de licencia de conducir: estado de
Washington" en la página 1037.
Número de licencia de conducir: Estado de Wisconsin Ver "Número de licencia de conducir: estado de Wisconsin"
en la página 1040.
Número de identificación y registro personal de México Ver "Número de identificación y registro personal de
México" en la página 1145.
Número de identificación del contribuyente de México Ver "Número de identificación del contribuyente de México"
en la página 1148.
Código Único de Registro de Población (CURP) de México Ver "Clave Única de Registro de Población de México"
en la página 1150.
Número de CLABE de México Ver "Número de CLABE de México" en la página 1152.
Número de la seguridad social (SSN) de los EE. UU. Ver "Número de la seguridad social (SSN) de los EE. UU.
calculado de forma aleatoria calculado de forma aleatoria" en la página 1185.
Número de identificación personal del contribuyente (ITIN) Ver "Número de identificación fiscal del Reino Unido"
de los EE. UU. en la página 1241.
Número del pasaporte de los EE. UU. Ver "Número del pasaporte de los EE. UU."
en la página 1253.
Número de la seguridad social (SSN) de los EE. UU. Ver "Número de la seguridad social (SSN) de los EE. UU."
en la página 1255.
Nota: Este identificador de datos es substituido por el
identificador de datos de SSN seleccionado aleatoriamente
de los EE. UU.
Códigos postales ZIP+4 de los EE. UU. Ver "Códigos postales ZIP+4 de los EE. UU."
en la página 1258.
región sudamericana.
Tabla 26-6 Identidad personal de Sudamérica
Número de identificación del contribuyente de Argentina Ver "Número de identificación del contribuyente de
Argentina" en la página 941.
Número de cuenta bancaria de Brasil Ver "Número de cuenta bancaria de Brasil"

en la página 972.
Número de identificación electoral de Brasil Ver "Número de identificación electoral de Brasil"

en la página 974.
Número de registro nacional de personas jurídicas de Ver "Número de registro nacional de personas jurídicas
Brasil de Brasil" en la página 978.
Número de registro de personas físicas de Brasil Ver "Número de registro de personas físicas de Brasil
(CPF)" en la página 981.
Número de identificación nacional de Chile Ver "Número de identificación nacional de Chile"

en la página 993.
Direcciones en Colombia Ver "Direcciones en Colombia" en la página 999.
Número de teléfono celular de Colombia Ver "Número de teléfono celular de Colombia"

en la página 1002.
Número de identificación personal de Colombia Ver "Número de identificación personal de Colombia"

en la página 1005.
Número de identificación del contribuyente de Colombia Ver "Número de identificación del contribuyente de
Colombia" en la página 1007.
Número de identificación nacional de Venezuela Ver "Número de identificación nacional de Venezuela"

en la página 1261.
Identificadores de datos financieros

Tabla 26-7 enumera los identificadores de datos definidos por el sistema para
detectar los números de identificación financieros, tales como números de tarjeta
de crédito y números de enrutamiento de ABA.
Tabla 26-7 Identificadores de datos financieros
Número de enrutamiento de ABA Ver "Número de enrutamiento de ABA" en la página 938.
Número de tarjeta de crédito Ver "Número de tarjeta de crédito " en la página 1012.
Datos de banda magnética de tarjetas de crédito Ver "Datos de banda magnética de tarjetas de crédito"
en la página 1009.
Número de CUSIP Ver "Número de CUSIP " en la página 1021.
IBAN central Ver "IBAN central" en la página 1081.
IBAN oriental Ver "IBAN oriental" en la página 1085.
IBAN occidental Ver "IBAN occidental" en la página 1092.
Número de identificación internacional de títulos valores Ver "Número de identificación internacional de títulos
valores" en la página 1105.
Código SWIFT Ver "Código SWIFT " en la página 1218.
Identificadores de datos de asistencia médica

La Tabla 26-8 enumera los identificadores de datos definidos por el sistema para
detectar los códigos de fármacos internacionales y de los EE. UU. e información
sobre el proveedor de asistencia médica y el consumidor.
Tabla 26-8 Asistencia médica
Número de seguro médico de Australia Ver "Número de seguro médico de Australia"

en la página 949.
Número personal de asistencia médica de Columbia Ver "Número personal de atención médica de Columbia
Británica Británica" en la página 984.
Número de la Agencia Antidrogas (DEA) Ver "Número de la Agencia Antidrogas (DEA)"

en la página 1043.
Código Nacional de Fármacos Ver "Código Nacional de Fármacos (NDC)"

en la página 1155.
Identificador de Proveedor Nacional Ver "Identificador de Proveedor Nacional" en la página 1157.
Identificadores de datos de la tecnología de la información

Ver Tabla 26-9 en la página 738., que enumera los identificadores de datos definidos
por el sistema para detectar los patrones relacionados con la tecnología de la
información, tales como direcciones IPv4 e IPv6 y números de identificación de
dispositivo móvil.
Tabla 26-9 Tecnología de la información
Número de identidad internacional del equipo móvil Ver "Número de identidad internacional del equipo móvil"
en la página 1103.
Dirección IP Ver "Dirección IP" en la página 1107.
Dirección IPv6 Ver "Dirección IPv6" en la página 1109.
Palabras claves internacionales para los identificadores de

datos de PII
Symantec Data Loss Prevention le deja modificar los identificadores de datos del
sistema y personalizar las palabras clave de entrada para detectar una amplia
gama de contenido internacional.
Ver "Extender y personalizar identificadores de datos" en la página 738.
Ver "Utilice palabras claves personalizadas para identificadores de datos del
Extender y personalizar identificadores de datos

Es posible personalizar los identificadores de datos para adaptarlos a sus requisitos.
Es posible extender los identificadores de datos definidos por el sistema
modificándolos. Y puede crear nuevos identificadores de datos para la coincidencia
de datos personalizada.
El caso de uso más común para modificar un identificador de datos definidos por
el sistema es editar la entrada de datos para un validador que acepte la entrada
de datos. Por ejemplo, si el identificador de datos implementa el validador “Encontrar
palabras clave”, se pueden agregar o eliminar valores de la lista de palabras clave.
Otro caso de uso puede implicar el agregado o la eliminación de validadores del
identificador de datos o el cambio de uno o más de los patrones definidos por el
identificador de datos.
Ver "Clonación de un identificador de datos del sistema antes de su modificación"
en la página 768.
Para crear un identificador de datos personalizado, se implementa uno o más
patrones de detección, se selecciona uno o más validadores de datos, se
proporciona la entrada de datos si el validador la necesita y se elige un normalizador
de datos.
Ver "Configuración de identificador de datos personalizado" en la página 789.
Los autores de políticas pueden reutilizar los identificadores de datos modificados

y personalizados en una o más políticas.
Acerca de la configuración del identificador de datos

Es posible configurar tres tipos de identificadores de datos:
■ Instancia: definida en el nivel de políticas.
Ver "Configurar las condiciones de la política del identificador de datos"
en la página 742.
■ Modificado: configurado en el nivel de sistema.
Ver "Modificar los identificadores de datos de sistema" en la página 767.
■ Personalizado: creado en el nivel de sistema.
Ver "Crear identificadores de datos personalizados" en la página 786.
El tipo de identificador de datos que se implementan depende de sus requisitos
del negocio. Para la mayoría de los casos de uso, configurar la sesión de políticas
usando el identificador de datos no modificado y definido en el sistema es suficiente
para detectar exactamente una pérdida de datos. Si lo necesita, se puede ampliar
un identificador de datos definido en sistema modificándolo o se puede implementar
uno o más identificadores de datos personalizados para detectar datos únicos.
La configuración del identificador de datos hecha en el nivel de políticas es
específica de esa política. Las modificaciones que se hacen a los identificadores
de datos en el nivel de sistema se aplican a todos los identificadores de datos
derivados del identificador de datos modificado.
Acerca de las amplitudes del identificador de datos

Los identificadores de datos del sistema se implementan por amplitud. La amplitud
define el ámbito de detección para ese identificador de datos. Cada identificador
de datos implementa por lo menos una amplitud de detección. Es probable que la
opción más amplia disponible para el identificador de datos produzca la mayor
cantidad de coincidencias de falso positivo; la opción más baja produce la menor
cantidad. Generalmente, los validadores y, con frecuencia, los patrones se
diferencian en las amplitudes.
Ver "Usar las amplitudes del identificador de datos" en la página 747.
Por ejemplo, el identificador de datos de números de licencia de conducir del estado
de California proporciona amplitudes amplia y media, con la amplitud media usando
un validador de palabras clave.
Nota: No todos los identificadores de datos del sistema proporcionan cada amplitud
de detección. Consulte la lista completa de identificadores de datos y de amplitudes
para determinar cuál está disponible.
Acerca de los validadores opcionales para los identificadores de

datos
Los validadores opcionales lo ayudan a perfeccionar el ámbito de detección para
un identificador de datos. Cuando se configura una sesión del identificador de
datos, se puede seleccionar entre cinco validadores opcionales.
Ver "Usar validadores opcionales" en la página 761.
El tipo de caracteres aceptados por cada validador opcional depende del
Ver "Caracteres aceptables para validadores opcionales" en la página 763.
Nota: Los validadores opcionales se aplican solamente a la sesión de políticas que

usted está configurando activamente; no se aplican a todo el sistema.
Acerca de patrones del identificador de datos

Los identificadores de datos implementan patrones para que coincidan con los
datos. La sintaxis del patrón del identificador de datos es similar al idioma de
expresión regular, pero más limitada. Por ejemplo, la sintaxis del patrón del
identificador de datos no admite algunas funciones de expresiones regulares,
incluidas agrupación, expresiones de búsqueda posterior y búsqueda anterior, y
muchos caracteres especiales (particularmente el carácter de punto "."). Además,
el sistema permite solamente el uso de los caracteres ASCII para los patrones del
Cuando se edita un identificador de datos del sistema, el sistema expone el patrón
para ver y editar. Los patrones del identificador de datos definido por el sistema
se han ajustado y optimizado para lograr la coincidencia exacta de contenido.
Además, se puede crear un identificador de datos personalizado, en cuyo caso es
necesario implementar por lo menos un patrón. La mejor manera de comprender
cómo escribir patrones es examinar los patrones del identificador de datos definido
por el sistema.
Ver "Escritura de patrones del identificador de datos para que coincidan con los
El lenguaje de patrones del identificador de datos es un subconjunto del lenguaje
de expresión regular.
Ver "Especificación del idioma del patrón del identificador de datos" en la página 791.
Acerca de los validadores de patrones

Los validadores de patrones son comprobaciones de validación aplicadas a datos
que coinciden por un patrón del identificador de datos. Los validadores ayudan a
acotar el ámbito de detección y a reducir los falsos positivos. Muchos validadores
permiten la entrada de datos. Por ejemplo, el validador de Palabra clave permite
especificar una lista de palabras clave.
Ver "Uso de validadores de patrones" en la página 794.
Cuando modifica un identificador de datos, puede editar los valores de entrada de
cualquier validador que acepte datos.
Ver "Editar la entrada del validador de patrones" en la página 769.
Cuando modifica un identificador de datos, puede agregar y eliminar validadores
de patrones. Cuando crea identificadores de datos personalizados, puede configurar
uno o más validadores. El sistema además proporciona la capacidad de crear un
validador de script personalizado para definir su propia comprobación de validación.
Ver "Seleccionar validadores de patrones" en la página 802.
Acerca de los normalizadores de datos

Un normalizador de datos reconcilia los datos detectados por el patrón del
identificador de datos con el formato esperado por el normalizador. No es posible
modificar el normalizador de un identificador de datos definido por el sistema.
Cuando se crea un identificador de datos personalizado, se selecciona un
normalizador de datos.
Ver "Seleccionar un normalizador de datos" en la página 803.
Acerca de la coincidencia entre componentes

Los identificadores de datos admiten la correspondencia entre componentes. Esto
significa que se pueden configurar los identificadores de para que coincidan con
uno o más componentes del mensaje. Sin embargo, si el identificador de datos
implementa un validador (opcional o necesario), por ejemplo, Encontrar palabras
Configurar las condiciones de la política del identificador de datos
clave, los datos validados y los datos coincididos deben existir en el mismo
componente para activar o excluir un incidente.
Por ejemplo, considere una situación donde se implementa el identificador de datos
de número de la seguridad social (SSN) de los EE. UU. calculado de forma aleatoria.
Este identificador de datos detecta en diversos patrones de 9 dígitos y usa un
validador de palabra clave para reducir el ámbito de detección. (La palabra clave
y las frases en la lista son “número de la seguridad social, ssn, ss#”). Si el motor
de detección recibe un mensaje con el patrón numérico 123-45-6789 y la palabra
clave “número de la seguridad social”, y ambos elementos de datos se incluyen
en el componente de archivo adjunto del mensaje, el motor de detección informa
una coincidencia. Sin embargo, si el archivo adjunto contiene el número, pero el
cuerpo contiene el validador de la palabra clave, el motor de detección no considera
esto una coincidencia.
Acerca de la cuenta de coincidencias únicas.

Los identificadores de datos, las palabras claves y las expresiones regulares
admiten recuento de coincidencias únicas. Esta función le deja contar solamente
esas coincidencias del patrón que son únicas.
La cuenta de coincidencias únicas es útil cuando se refiere solamente a detectar
la presencia de patrones únicos y no a detectar cada patrón coincidente. Por
ejemplo, usted podría usar la cuenta de coincidencias únicas para activar un
incidente si un documento contiene 10 o más números de la seguridad social
únicos. En este caso, si un documento contuviera 10 instancias del mismo número
de la seguridad social, la política no activaría un incidente.
Ver "Uso de recuento de coincidencias únicas" en la página 766.
Configurar las condiciones de la política del

Tabla 26-10 enumera y describe las opciones de configuración para las condiciones

Tabla 26-10 Configuración del identificador de datos de instancia de políticas
A elección en el nivel de políticas No configurable
■ Amplitud ■ Patrones
Es posible implementar cualquier amplitud que el No es posible modificar los patrones de la coincidencia
identificador de datos admita en el nivel de la sesión. en el nivel de la sesión.
■ Validadores opcionales ■ Validadores obligatorios
Es posible seleccionar uno o más validadores No es posible modificar, agregar o eliminar validadores
opcionales en el nivel de la sesión. obligatorios en el nivel de la instancia.
Flujo de trabajo para configurar políticas del identificador de datos

Tabla 26-11 describe el flujo de trabajo para implementar identificadores de datos
definidos por el sistema.
Tabla 26-11 Flujo de trabajo para implementar identificadores de datos
1 Decida el tipo de Ver "Presentación de los identificadores de datos" en la página 727.

identificador de datos que
desee implementar.
2 Decida la amplitud de Ver "Acerca de las amplitudes del identificador de datos" en la página 739.
3 Configure el identificador Ver "Cómo configurar la condición El contenido coincide con el identificador
de datos. de datos" en la página 745.
4 Pruebe y ajuste la política Ver "Prácticas recomendadas para usar los identificadores de datos"
del identificador de datos. en la página 805.
Administrar y agregar los identificadores de datos

La pantalla Administrar > Políticas > Identificadores de datos enumera todos
los identificadores de datos, incluso aquellos definidos por sistemas y
personalizaciones. Desde esta pantalla, puede administrar y modificar identificadores
de datos existentes y agregar nuevos.
Tabla 26-12 Administración de identificadores de datos
Editar un identificador Seleccione el identificador de datos de la lista para modificarlo.

de datos.
Ver "Editar identificadores de datos" en la página 744.
Definir un Haga clic en Agregar identificador de datos para crear un identificador de datos
identificador de datos personalizado.
personalizado.
Ver "Flujo de trabajo para crear los identificadores de datos personalizados" en la página 787.
Ordenar y consultar La lista se ordena alfabéticamente por Nombre.

identificadores de
Es posible también ordenar por Categoría.
datos.
Un icono de lápiz ubicado a la izquierda indica que el identificador de datos se modificó
respecto de su estado original o está personalizado.
Eliminar un Haga clic en el icono X ubicado a la derecha para eliminar un identificador de datos.
El sistema no permite eliminar los identificadores de datos del sistema. Es posible eliminar
solamente los identificadores de datos personalizados.
Editar identificadores de datos

Es posible modificar identificadores de datos definidos por el sistema, incluidos los
patrones, los validadores y la entrada de validadores. Las modificaciones se
propagan a cualquier política que declare el identificador de datos. No es posible
cambiar el nombre de un identificador de datos del sistema. Considere crear
manualmente una copia clonada antes de modificar un identificador de datos del
sistema.
Nota: El sistema no exporta los identificadores de datos en una plantilla de políticas.

El sistema exporta una referencia al identificador de datos del sistema. El sistema
de destino donde se importa la plantilla de políticas proporciona el identificador de
datos real. Si modifica un identificador de datos definido por el sistema, las
modificaciones no se exportan a la plantilla.
Tabla 26-13 Flujo de trabajo para editar los identificadores de datos
1 Clone el identificador de datos Clone el identificador de datos del sistema antes de que lo modifique.
del sistema que desee
Ver "Clonación de un identificador de datos del sistema antes de su
modificar.
modificación" en la página 768.
Ver "Clonación de identificadores de datos definidos en el sistema antes de

la modificación para conservar el estado original" en la página 806.
2 Edite el identificador de datos Si modifica un identificador de datos del sistema, haga clic en el signo más
clonado. para mostrar la amplitud y para editar el identificador de datos.
3 Edite uno o más Patrones. Es posible modificar cualquier patrón proporcionado por el identificador de
datos.
Ver "Escritura de patrones del identificador de datos para que coincidan con
los datos" en la página 793.
4 Edite la entrada de datos para Ver "Editar la entrada del validador de patrones" en la página 769.
cualquier validador que acepte
Ver "Lista de validadores de patrones que aceptan datos de entrada"
la entrada.
en la página 770.
5 Opcionalmente, se pueden Ver "Seleccionar validadores de patrones" en la página 802.

agregar o eliminar
Validadores, según sea
necesario.
6 Guarde el identificador de Haga clic en Guardar para guardar las modificaciones.

datos.
Una vez guardados los datos, el icono en la pantalla Identificadores de
datos indica que está personalizado o que el estado original está modificado.
Ver "Administrar y agregar los identificadores de datos" en la página 743.

Nota: Haga clic en Cancelar para no guardar el identificador de datos.
7 Implemente el identificador de Ver "Cómo configurar la condición El contenido coincide con el identificador
datos en una excepción o de datos" en la página 745.
regla de política.
Cómo configurar la condición El contenido coincide con el

Es posible configurar la condición El contenido coincide con el identificador de
datos en reglas de detección de políticas y excepciones.
Tabla 26-14 Cómo configurar la condición El contenido coincide con el

1 Agregue una regla o una Seleccione la condición El contenido coincide con el identificador de datos
excepción del en la pantalla Agregar regla de detección o Agregar excepción.
identificador de datos a
una política o configure
una existente. Ver "Cómo agregar una excepción a una política" en la página 460.
2 Elija un identificador de Elija un identificador de datos de la lista y haga clic en Siguiente.

datos.
Ver "identificadores de datos definidos por el sistema" en la página 728.
3 Seleccione una Amplitud Use la opción de amplitud para limitar el ámbito de la detección.
de la detección.
Ver "Acerca de las amplitudes del identificador de datos" en la página 739.
“Amplio” es la configuración predeterminada y detecta el conjunto más amplio

de coincidencias. Las amplitudes “media” y “baja”, si están disponibles,
comprueban criterios adicionales y detectan menos coincidencias.
4 Seleccione y configure Los validadores opcionales restringen los criterios de coincidencias y reducen
uno o más Validadores falsos positivos.
opcionales.
Ver "Acerca de los validadores opcionales para los identificadores de datos"
en la página 740.
5 Configure Cantidad de Seleccione cómo desea contar coincidencias:

coincidencias.
No cuente varias coincidencias; informe una cantidad de coincidencias de
1 para una o más coincidencias.
Cuente cada coincidencia; especifique el número mínimo de coincidencias
para informar un incidente.
■ Contar todas las coincidencias únicas
Esta es la configuración predeterminada para la versión 11.6 y posterior.
6 Configure los Seleccione uno o más componentes de mensaje para establecer una
componentes de mensaje coincidencia:
en Establecer
En el endpoint, el motor de detección coincide con todo el mensaje, no con
coincidencia.
componentes individuales.

en la página 459.
Si el identificador de datos usa validadores de palabra clave opcionales o

necesarios, la palabra clave debe estar presente en el mismo componente que
el contenido coincidido del identificador de datos.
7 Configure las condiciones Opcionalmente, se pueden Agregar una o más condiciones adicionales que
adicionales en Hacer estén disponibles en la lista de condiciones Hacer también coincidir.
también coincidir.
Todas las condiciones de una regla compuesta o una excepción deben coincidir
para activar o excluir un incidente.
Usar las amplitudes del identificador de datos

Cada identificador de datos del sistema proporciona una o más amplitudes de
detección. Cuando se configura una sesión del identificador de datos del sistema
o cuando se modifica un identificador de datos del sistema, se selecciona la amplitud
a implementar. No todas las opciones de amplitud están disponibles para cada
Tabla 26-15 Amplitudes de regla disponibles para identificadores de datos del

sistema
Amplitud Descripción
Amplia La amplitud amplia define patrones únicos o varios patrones para crear el número más grande
de coincidencias. En general, esta amplitud produce un alto índice de falsos positivos, en
comparación con las amplitudes media y baja.
Media La amplitud media puede perfeccionar los patrones de detección y/o agregar uno o más
validadores de datos para limitar el número de coincidencias.
Baja La amplitud estrecha ofrece los patrones más ajustados y la validación más estricta para
proporcionar las coincidencias positivas más exactas. En general, esta opción necesita la presencia
de la palabra clave o de otra restricción de validación para activar una coincidencia.
Seleccionar una amplitud del identificador de datos

No es posible cambiar el normalizador que un identificador de datos del sistema
implementa. Esta información es útil para saber cuándo se implementa uno o más
validadores opcionales.
Tabla 26-16 Amplitudes y normalizadores del identificador de datos del sistema
Identificador de datos Amplitudes Normalizador
Número de enrutamiento de ABA Alta Dígitos
Ver "Número de enrutamiento de ABA" en la página 938. Media
Baja
Número de identificación del contribuyente de Argentina Alta Dígitos
Ver "Número de identificación del contribuyente de Argentina" Media

en la página 941.
Baja
Número de registro de la empresa australiano Alta Dígitos
Ver "Amplitud alta del número de registro de la empresa Media

australiano" en la página 945.
Baja
Número de Empresa Australiana Alta Dígitos
Ver "Número de Empresa Australiana" en la página 947. Media

Baja
Número de seguro médico de Australia Alta Dígitos
Ver "Número de seguro médico de Australia" en la página 949. Media
Baja
Número de pasaporte australiano Alta Minúsculas
Ver "Número de pasaporte australiano" en la página 952. Baja
Número de archivo fiscal de Australia Alta Dígitos
Ver "Número de archivo fiscal de Australia" en la página 954. Media
Baja
Número de pasaporte de Austria Alta Dígitos y letras
Ver "Número de pasaporte de Austria" en la página 955. Baja

Número de identificación fiscal de Austria Alta Dígitos
Ver "Número de identificación fiscal de Austria" Baja

en la página 957.
Número de la seguridad social de Austria Alta Dígitos
Ver "Número de la seguridad social de Austria" Media

en la página 959.
Baja
Número nacional de Bélgica Alta Dígitos
Ver "Número nacional de Bélgica" en la página 961. Media
Baja
Número de licencia de conducir de Bélgica Alta Dígitos
Ver "Número de licencia de conducir de Bélgica" Baja

en la página 963.
Número de pasaporte de Bélgica Alta Dígitos y letras
Ver "Número de pasaporte de Bélgica" en la página 965. Baja
Número de identificación fiscal de Bélgica Alta Dígitos
Ver "Número de identificación fiscal de Bélgica" Baja

en la página 967.
Número de impuesto sobre el valor añadido (IVA) de Bélgica Alta Dígitos y letras
Ver "Número de impuesto sobre el valor añadido (IVA) de Media
Bélgica" en la página 969.
Baja
Número de cuenta bancaria de Brasil Alta Dígitos
Ver "Número de cuenta bancaria de Brasil" en la página 972. Media
Baja
Número de identificación electoral de Brasil Alta Dígitos
Ver "Número de identificación electoral de Brasil" Media

en la página 974.
Baja
Número de registro nacional de personas jurídicas de Brasil Alta Dígitos
Ver "Número de registro nacional de personas jurídicas de Media

Brasil" en la página 978.
Baja
Número de registro de personas físicas de Brasil Alta Dígitos
Ver "Número de registro de personas físicas de Brasil (CPF)" Media

en la página 981.
Baja
Número personal de asistencia médica de Columbia Británica Alta Dígitos
Ver "Número personal de atención médica de Columbia Media

Británica" en la página 984.
Baja
Número civil uniforme búlgaro: EGN Alta Dígitos
Ver "Número civil uniforme búlgaro: EGN" en la página 986. Media
Baja
Burgerservicenummer Alta Dígitos
Ver "Burgerservicenummer" en la página 989. Baja
Número de seguro social de Canadá Alta Dígitos
Ver "Número de seguro social de Canadá" en la página 991. Media
Baja
Número de identificación nacional de Chile Alta Dígitos y letras
Ver "Número de identificación nacional de Chile" Media

en la página 993.
Baja
Número de pasaporte de China Alta Dígitos y letras
Ver "Número de pasaporte de China" en la página 996. Baja
Codice Fiscale Alta Dígitos y letras
Ver "Codice Fiscale" en la página 998. Baja
Direcciones en Colombia Alta Minúsculas
Ver "Direcciones en Colombia" en la página 999. Baja
Número de teléfono celular de Colombia Alta Dígitos
Ver "Número de teléfono celular de Colombia" en la página 1002. Baja
Número de identificación personal de Colombia Alta Dígitos
Ver "Número de identificación personal de Colombia" Baja

en la página 1005.
Número de identificación del contribuyente de Colombia Alta Dígitos
Ver "Número de identificación del contribuyente de Colombia" Baja

en la página 1007.
Datos de banda magnética de tarjetas de crédito Media Dígitos
Ver "Datos de banda magnética de tarjetas de crédito"

en la página 1009.
Número de tarjeta de crédito Alta Dígitos
Ver "Número de tarjeta de crédito " en la página 1012. Media
Baja
Número de CUSIP Alta Minúsculas
Ver "Número de CUSIP " en la página 1021. Media
Baja
Número de identificación personal de República Checa Alta Dígitos
Ver "Número de identificación personal de República Checa" Media

en la página 1023.
Baja
Número de identificación personal de Dinamarca Alta Dígitos y letras
Ver "Número de identificación personal de Dinamarca" Media

en la página 1027.
Baja
Números de licencia de conducir: estado de California Alta Minúsculas
Ver "Número de licencia de conducir del estado de California Media

Número de licencia de conducir: Estados de Florida, Míchigan Alta Minúsculas

y Minnesota
Media
Ver "Número de licencia de conducir: Estados de Florida,
Míchigan y Minnesota " en la página 1031.
Número de licencia de conducir: estado de Illinois Alta Minúsculas
Ver "Número de licencia de conducir: estado de Illinois" Media

en la página 1033.
Número de licencia de conducir: estado de Nueva Jersey Alta Minúsculas
Ver "Número de licencia de conducir: estado de Nueva Jersey" Media

en la página 1034.
Números de licencia de conducir: estado de Nueva York Alta Minúsculas
Ver "Número de licencia de conducir: estado de Nueva York" Media

en la página 1036.
Número de licencia de conducir: estado de Washington Alta Minúsculas
Ver "Número de licencia de conducir: estado de Washington" Media

en la página 1037.
Baja
Número de licencia de conducir: estado de Wisconsin Alta Dígitos y letras
Ver "Número de licencia de conducir: estado de Wisconsin" Media

en la página 1040.
Baja
Número de la Agencia Antidrogas (DEA) Alta Minúsculas
Ver "Número de la Agencia Antidrogas (DEA)" en la página 1043. Media
Baja
Número de identificación personal de Finlandia Alta Minúsculas
Ver "Número de identificación personal de Finlandia" Media

en la página 1045.
Baja
Número de licencia de conducir de Francia Alta Dígitos
Ver "Número de licencia de conducir de Francia" Baja

en la página 1047.
Número de seguro de salud de Francia Alta Dígitos
Ver "Número de seguro de salud de Francia" en la página 1049. Baja
Número de identificación fiscal de Francia Alta Dígitos
Ver "Número de identificación fiscal de Francia" Baja

en la página 1051.
Número de impuesto sobre el valor añadido (IVA) de Francia Alta Dígitos y letras

Francia" en la página 1052.
Baja
Código del INSEE de Francia Alta Dígitos
Ver "Código del INSEE de Francia" en la página 1055. Baja
Número de pasaporte de Francia Alta Dígitos y letras
Ver "Número de pasaporte de Francia" en la página 1057. Baja

Número de la seguridad social de Francia Alta Dígitos y letras
Ver "Número de la seguridad social de Francia" Media

en la página 1059.
Baja
Número de pasaporte alemán Alta Minúsculas
Ver "Número de pasaporte alemán" en la página 1061. Media
Baja
Número de Id. personal de Alemania Alta Minúsculas
Ver "Número de Id. personal de Alemania" en la página 1063. Media
Baja
Número de licencia de conducir de Alemania Alta Dígitos y letras
Ver "Número de licencia de conducir de Alemania" Baja

en la página 1065.
Número de impuesto sobre el valor añadido (IVA) de Alemania Alta Dígitos y letras

Alemania" en la página 1067.
Baja
Número de identificación del contribuyente de Grecia Alta Dígitos
Ver "Número de identificación del contribuyente de Grecia" Media

en la página 1070.
Baja
Identificación de Hong Kong Alta Minúsculas
Ver "Identificación de Hong Kong" en la página 1072. Baja
Número de la seguridad social de Hungría Alta Dígitos
Ver "Número de la seguridad social de Hungría" Media

en la página 1074.
Baja
Número de identificación del contribuyente de Hungría Alta Dígitos
Ver "Número de identificación del contribuyente de Hungría" Media

en la página 1076.
Baja
Número de IVA húngaro Alta Minúsculas
Ver "Número de IVA húngaro" en la página 1079. Media
Baja
IBAN central Alta No hacer nada
Ver "IBAN central" en la página 1081. Baja
IBAN oriental Alta No hacer nada
Ver "IBAN oriental" en la página 1085. Baja
IBAN occidental Alta No hacer nada
Ver "IBAN occidental" en la página 1092. Baja
Número de tarjeta Aadhaar de India Alta Dígitos
Ver "Número de tarjeta Aadhaar de India" en la página 1096. Media
Baja
Número de cuenta permanente de India Alta Dígitos y letras
Ver "Número de cuenta permanente de India" en la página 1099. Baja
Número de tarjeta de identidad de Indonesia Alta Dígitos
Ver "Número de tarjeta de identidad de Indonesia" Media

en la página 1100.
Baja
Número de identidad internacional del equipo móvil Alta Dígitos
Ver "Número de identidad internacional del equipo móvil" Media

en la página 1103.
Baja
Número de identificación internacional de títulos valores Alta Minúsculas
Ver "Número de identificación internacional de títulos valores" Media

en la página 1105.
Baja
Dirección IP Alta No hacer nada
Ver "Dirección IP" en la página 1107. Media
Baja
Dirección IPv6 Alta No hacer nada
Ver "Dirección IPv6" en la página 1109. Media
Baja
Número personal de servicio público irlandés Alta Minúsculas
Ver "Número personal de servicio público irlandés " Media

en la página 1112.
Baja
Número de identificación personal de Israel Alta Dígitos
Ver "Número de identificación personal de Israel" Media

en la página 1114.
Baja
Número de licencia de conducir de Italia Alta Dígitos y letras
Ver "Número de licencia de conducir de Italia" en la página 1117. Baja
Número de seguro de salud de Italia Alta Dígitos y letras
Ver "Número de seguro de salud de Italia" en la página 1118. Baja
Número de pasaporte de Italia Alta Dígitos y letras
Ver "Número de pasaporte de Italia" en la página 1121. Baja
Número de impuesto sobre el valor añadido (IVA) de Italia Alta Dígitos y letras

Baja
Número de pasaporte de Japón Alta Dígitos y letras
Ver "Número de pasaporte de Japón" en la página 1125. Baja
Número de identificación de Juki-Net de Japón Alta Dígitos
Ver "Número de identificación de Juki-Net de Japón" Media

en la página 1127.
Baja
Mi número japonés: empresarial Alta Dígitos
Ver "Mi número japonés: empresarial" en la página 1129. Baja
Mi número japonés: personal Alta Dígitos
Ver "Mi número japonés: personal" en la página 1131. Media
Baja
Número de pasaporte de Corea Alta Dígitos y letras
Ver "Número de pasaporte de Corea" en la página 1133. Baja
Número de registro de residente de Corea para extranjeros Alta Dígitos
Ver "Número de registro de residente de Corea para Media

Baja
Número de registro de residencia de Corea para coreanos Alta Dígitos
Ver "Número de registro de residencia de Corea para Media

Baja
Número del Registro Nacional de Personas de Luxemburgo Alta Dígitos
Ver "Número del Registro Nacional de Personas de Media

Luxemburgo " en la página 1140.
Baja
Número de Malasia (MyKad) Alta Dígitos
Ver "Número MyKad de Malasia (MyKad) " en la página 1142. Media
Baja
Número de identificación y registro personal de México Alta Dígitos y letras
Ver "Número de identificación y registro personal de México" Media

en la página 1145.
Baja
Número de identificación del contribuyente de México Alta Dígitos y letras
Ver "Número de identificación del contribuyente de México" Media

en la página 1148.
Baja
Código Único de Registro de Población (CURP) de México Alta Minúsculas
Ver "Clave Única de Registro de Población de México" Media

en la página 1150.
Baja
Número de CLABE de México Alta Dígitos
Ver "Número de CLABE de México" en la página 1152. Media
Baja
Código Nacional de Fármacos Alta No hacer nada
Ver "Código Nacional de Fármacos (NDC)" en la página 1155. Media
Baja
Identificador de Proveedor Nacional Alta Dígitos
Ver "Identificador de Proveedor Nacional" en la página 1157. Media
Baja
Número de licencia de conducir de los Países Bajos Alta Dígitos
Ver "Número de licencia de conducir de los Países Bajos" Baja

en la página 1159.
Número de pasaporte de los Países Bajos Alta Dígitos y letras
Ver "Número de pasaporte de los Países Bajos" Baja

en la página 1161.
Número de identificación fiscal de los Países Bajos Alta Dígitos
Ver "Número de identificación fiscal de los Países Bajos" Media

en la página 1162.
Baja
Número de impuesto sobre el valor añadido (IVA) de los Alta Dígitos y letras
Países Bajos
Media
Ver "Número de impuesto sobre el valor añadido (IVA) de los
Baja
Países Bajos" en la página 1166.
Número de Índice de Salud Nacional (NHI) de Nueva Zelanda Alta Minúsculas
Ver "Número de Índice de Salud Nacional (NHI) de Nueva Media

Zelanda" en la página 1168.
Baja
Número de nacimiento noruego Alta Dígitos
Ver "Número de nacimiento noruego " en la página 1170. Media

Baja
Id. de la República Popular China Alta Minúsculas
Ver "Id. de la República Popular China" en la página 1173. Baja
Número de identificación de Polonia Alta Dígitos y letras
Ver "Número de identificación de Polonia" en la página 1175. Media
Baja
Número de REGON de Polonia Alta Dígitos
Ver "Número de REGON de Polonia" en la página 1177. Media
Baja
Número de la seguridad social de Polonia (PESEL) Alta Dígitos
Ver "Número de la seguridad social de Polonia (PESEL)" Media

en la página 1179.
Baja
Número de identificación fiscal de Polonia (NIP) Alta Dígitos
Ver "Número de identificación fiscal de Polonia" Media

en la página 1182.
Baja
Número de la seguridad social (SSN) de los EE. UU. calculado Media Dígitos
de forma aleatoria
Baja
Ver "Número de la seguridad social (SSN) de los EE. UU.
calculado de forma aleatoria" en la página 1185.
Código personal numérico de Rumania Alta Dígitos
Ver "Código personal numérico de Rumania" en la página 1188. Media
Baja
Número de identificación de pasaporte ruso Alta Dígitos
Ver "Número de identificación de pasaporte ruso" Baja

en la página 1190.
Número de identificación del contribuyente ruso Alta Dígitos
Ver "Número de identificación del contribuyente ruso" Media

en la página 1192.
Baja
NRIC de Singapur Alta Minúsculas
Ver "Identificador de datos de la NRIC de Singapur"

en la página 1195.
Número de identificación personal de Sudáfrica Alta Dígitos
Ver "Número de identificación personal de Sudáfrica" Media

en la página 1195.
Baja
Número de licencia de conducir de España Alta Dígitos y letras
Ver "Número de licencia de conducir de España" Baja

en la página 1198.
Número de cuenta de cliente de España Alta Dígitos
Ver "Número de cuenta de cliente español" en la página 1201. Media
Baja
DNI de España Alta Dígitos y letras
Ver "DNI de España" en la página 1204. Baja

Número de la seguridad social de España Alta Dígitos
Ver "Número de la seguridad social de España " Media

en la página 1208.
Baja
Identificación del contribuyente de España (CIF) Alta Dígitos y letras
Ver "Identificación del contribuyente de España (CIF)" Media

en la página 1210.
Baja
Número de pasaporte de Suecia Alta Dígitos y letras
Ver "Número de pasaporte de Suecia" en la página 1213. Baja
Número de identificación personal de Suecia Alta Dígitos
Ver "Número de identificación personal de Suecia" Media

en la página 1215.
Baja
Código SWIFT Alta Swift
Ver "Código SWIFT " en la página 1218. Baja
Número de AHV de Suiza Alta Dígitos
Ver "Número de AHV de Suiza" en la página 1220. Baja
Número de la seguridad social de Suiza (AHV) Alta Dígitos
Ver "Número de la seguridad social de Suiza (AHV)" Media

en la página 1221.
Baja
Id. de la República de China (Taiwán) Alta No hacer nada
Ver "Id. de la República de China (Taiwán)" en la página 1224. Baja
Número de identificación personal de Tailandia Alta Dígitos
Ver "Número de identificación personal de Tailandia" Media

en la página 1226.
Baja
Número de identificación de Turquía Alta Dígitos
Ver "Número de identificación de Turquía" en la página 1228. Media
Baja
Número de licencia de conducir del Reino Unido Alta Dígitos y letras
Ver "Número de licencia de conducir del Reino Unido" Media

en la página 1230.
Baja
Número de registro electoral del Reino Unido Baja Minúsculas
Ver "Número de registro electoral del Reino Unido"

en la página 1233.
Número de Servicio Nacional de Salud (NHS) del Reino Unido Media Dígitos
Ver "Número de Servicio Nacional de Salud (NHS) del Reino Baja

Número de seguro nacional del Reino Unido Alta Minúsculas
Ver "Número de seguro nacional del Reino Unido" Media

en la página 1236.
Baja
Número de pasaporte del Reino Unido Alta No hacer nada
Ver "Número de pasaporte del Reino Unido" en la página 1238. Media
Baja
Número de identificación fiscal del Reino Unido Alta No hacer nada
Ver "Número de identificación fiscal del Reino Unido" Media

en la página 1241.
Baja
Tarjeta de identidad de Ucrania Alta Dígitos
Ver "Tarjeta de identidad de Ucrania" en la página 1244. Media
Baja
Pasaporte de Ucrania (nacional) Alta Dígitos
Ver "Pasaporte de Ucrania (nacional)" en la página 1243. Baja
Pasaporte de Ucrania (internacional) Alta Dígitos y letras
Ver "Pasaporte de Ucrania (internacional)" en la página 1247. Baja
Número personal de los Emiratos Árabes Unidos (EAU) Alta Dígitos
Ver "Número personal de los Emiratos Árabes Unidos (EAU)" Media

en la página 1248.
Baja
Número de identificación personal del contribuyente (ITIN) de Alta Dígitos

los EE. UU.
Media
Ver "Número de identificación personal del contribuyente
Baja
(ITIN) de los EE. UU." en la página 1250.
Número del pasaporte de los EE. UU. Alta Dígitos
Ver "Número del pasaporte de los EE. UU." en la página 1253. Baja
Número de la seguridad social (SSN) de los EE. UU. Alta Dígitos
Ver "Número de la seguridad social (SSN) de los EE. UU." Media

en la página 1255.
Baja
Códigos postales ZIP+4 de los EE. UU. Alta Dígitos y letras
Ver "Códigos postales ZIP+4 de los EE. UU." en la página 1258. Media
Baja
Número de Id. nacional de Venezuela Alta Dígitos y letras
Ver "Número de identificación nacional de Venezuela" Media

en la página 1261.
Baja
Usar validadores opcionales

Tabla 26-17 enumera los validadores opcionales que los autores de políticas pueden
configurar para los identificadores de datos del sistema.
en la página 740.
Tabla 26-17 Validadores opcionales disponibles para sesiones de políticas
Validador opcional Descripción
Requerir caracteres de Haga coincidir los caracteres que comienzan (inicio) el elemento de datos coincidido.
inicio
Por ejemplo, para el identificador de datos de licencias de conducir de California, se podría
necesitar que el carácter inicial sea la letra “C”. En este caso, el motor coincide con un
número de licencia C6457291.
Requerir caracteres de fin Haga coincidir los caracteres que finalizan con el elemento de datos coincidido.
Excluir caracteres de Excluya de los caracteres coincidentes que comienzan (inicio) con los datos coincididos.
inicio
Excluir caracteres de fin Excluir de los caracteres coincidentes que finalizan con el elemento de datos que coincide.

Validador opcional Descripción
Encontrar palabras clave Haga coincidir una o más palabras o frases clave, además del elemento de datos
coincidido. Puede comprobar la proximidad de los datos coincidentes con respecto a una
lista de palabras clave.
Las palabras clave pueden además buscarse con distinción de mayúsculas y minúsculas.
A continuación, una comprobación se realiza para la proximidad de patrones de
identificadores de datos coincidentes con respecto a una lista de palabras clave. Se genera
un incidente cuando todos los patrones de identificadores de datos en la regla coinciden.
Las palabras clave capturadas se resaltan en los incidentes. La proximidad, distinción
entre mayúsculas y minúsculas y el resaltado de validadores están deshabilitados de
forma predeterminada y deben estar habilitados para funcionar.
La palabra clave debe detectarse en el mismo componente de mensaje que el contenido

del identificador de datos para que informe una coincidencia.
Este validador opcional acepta cualquier carácter (números, letras, otros).
Ver "Lista de validadores de patrones que aceptan datos de entrada" en la página 770.
Configuración de validadores opcionales

Puede implementar validadores opcionales para acotar el ámbito de un identificador
de datos definido en una sesión de políticas. Los sistemas y los identificadores de
datos personalizados admiten la configuración de validadores opcionales.
en la página 740.
El tipo de entrada permitido por un validador opcional (números, letras, caracteres)
depende del identificador de datos. Si escribe caracteres de entrada inaceptables
e intenta guardar la configuración, el sistema informa un error.
Por ejemplo, el identificador de datos de número de la seguridad social (SSN) de
los EE. UU. acepta números solamente. Si configura el validador opcional “Requerir
caracteres de fin” y especifica una entrada como letras, recibe el siguiente error
cuando intenta guardar la configuración: La entrada del validador “Requerir
caracteres de fin” es incorrecta: La lista contiene un carácter no numérico.
Para configurar un validador opcional

1 Haga clic en el signo + ubicado al lado de la etiqueta Validadores opcionales
para la sesión del identificador de datos que está configurando.
Ver "Cómo configurar la condición El contenido coincide con el identificador
2 Seleccione uno o más validadores opcionales.
en la página 740.
3 Proporcione la entrada esperada para cada validador opcional que seleccione.
La longitud de cada valor puede variar. Use comas para separar varios valores.
Si el sistema muestra un mensaje de error, asegúrese de que se haya
especificado el tipo correcto de entrada de carácter esperado.
Caracteres aceptables para validadores opcionales

Cada validador opcional requiere que escriba ciertos valores de datos. Es necesario
escribir el tipo apropiado de datos para ese identificador de datos. La Tabla 26-18
enumera el tipo de datos aceptable para cada combinación de identificador de
datos/validador opcional.
en la página 740.
Nota: El validador opcional Encontrar palabras clave acepta cualquier carácter

como valor para todos los identificadores de datos.
El tipo de dato esperado por el validador opcional depende del identificador de

datos. La mayoría de las conexiones de validador opcional/identificador aceptan
números solamente; algunas aceptan valores alfanuméricos y otras aceptan
cualquier carácter. Si escribe una entrada inaceptable e intenta guardar la política,
el sistema informa un error.
Ver "Configuración de validadores opcionales" en la página 762.
Tabla 26-18 Caracteres aceptables para validadores opcionales
Identificador de datos Requerir Excluir Requerir Excluir caracteres

caracteres de caracteres de caracteres de de inicio
fin fin inicio
Número de la seguridad social (SSN) Números solamente

de los EE. UU.
Número de seguro social de Canadá Números solamente
Número de identificación personal Números solamente

del contribuyente (ITIN) de los
EE. UU.
Números de licencia de conducir: Números solamente Cualquier carácter (normalizado en

estado de California minúscula)
Número de licencia de conducir: Números solamente Cualquier carácter (normalizado en

estado de Illinois minúscula)

estado de Nueva Jersey minúscula)
Números de licencia de conducir: Números solamente

estado de Nueva York

Estados de Florida, Míchigan y minúscula)
Minnesota
Número de tarjeta de crédito Números solamente
Número de enrutamiento de ABA Números solamente
Número de CUSIP Números solamente
Código SWIFT Alfanumérico (números o letras)
Datos de banda magnética de Números solamente

tarjetas de crédito
IBAN occidental Alfanumérico (números o letras)
IBAN central Alfanumérico (números o letras)
IBAN oriental Alfanumérico (números o letras)
Código Nacional de Fármacos Números solamente

Identificador de datos Requerir Excluir Requerir Excluir caracteres

caracteres de caracteres de caracteres de de inicio
fin fin inicio
Número de seguro médico de Números solamente

Australia
Dirección IP Cualquier carácter
Codice Fiscale Números solamente
DNI de España Números solamente
Burgerservicenummer Números solamente
Número de licencia de conducir del Alfanumérico (normalizado en minúscula)

Reino Unido
Número de identificación fiscal del Números solamente

Reino Unido
Número de pasaporte del Reino Números solamente

Unido
Número de seguro nacional del Alfanumérico (normalizado en minúscula)

Reino Unido
Número de Servicio Nacional de Números solamente

Salud (NHS) del Reino Unido
Número de registro electoral del Números solamente Cualquier carácter (normalizado en

Reino Unido minúscula)
Código del INSEE de Francia Números solamente
Número de AHV de Suiza Números solamente
Número de archivo fiscal de Australia Números solamente
Id. de la República Popular China Números solamente
Identificación de Hong Kong Números solamente
NRIC de Singapur Números solamente
Id. de Taiwán Números solamente

Uso de recuento de coincidencias únicas

Cuando define una nueva regla de identificador de datos, una nueva regla de
palabras clave o una nueva regla de expresiones regulares, Contar todas las
coincidencias únicas es el método predeterminado para contar coincidencias.
La tabla siguiente describe las características de la cuenta de coincidencias únicas.
Tabla 26-19 Características de la cuenta de coincidencias únicas
Característica de la cuenta de Descripción

coincidencias únicas
La primera coincidencia es única Una coincidencia única es la primera coincidencia encontrada en un componente
del mensaje.
La cuenta de coincidencias se La cuenta de coincidencias es incrementada por 1 para cada coincidencia única
actualiza para cada coincidencia del patrón.
única
Solamente se resaltan las Las coincidencias duplicadas no se cuentan ni se resaltan en la pantalla

coincidencias únicas Instantánea del incidente
La unicidad no divide los Por ejemplo, si el mismo SSN aparece en el cuerpo del mensaje y el archivo
componentes del mensaje adjunto, dos coincidencias únicas serán generadas, no una. Esto es porque
cada instancia se detecta en un componente aparte del mensaje.
Regla compuesta con el identificador En una regla compuesta que combina una condición de identificador de datos
de datos y condiciones de con una condición de palabra clave que especifique la lógica de la proximidad
proximidad de la palabra clave de palabras clave, la coincidencia informada será la primera coincidencia
encontrada
Configurar la cuenta de coincidencias únicas

Contar todas las coincidencias únicas es la selección predeterminada para los
nuevos identificadores de datos que se crean. Una vez que se actualiza Data Loss
Prevention, es posible que sea necesario configurar manualmente las reglas
preexistentes de identificador de datos para usar la cuenta de coincidencias únicas
si esto no se hizo antes de la actualización
Modificar los identificadores de datos de sistema
Para configurar la cuenta de coincidencias únicas

1 Seleccione la política que contiene la regla o las reglas del identificador de
datos que desee actualizar en la pantalla Administrar > Políticas > Lista de
políticas.
2 Seleccione la regla del identificador de datos en la pantalla Configurar política.
3 Seleccione la opción de cuenta de coincidencias Contar todas las
coincidencias únicas.
4 Haga clic en Aceptar para aplicar el cambio de configuración de la cuenta de
coincidencias únicas.
5 Haga clic en Guardar para guardar el cambio de configuración de la política.
6 Pruebe la cuenta de coincidencias únicas.
Cree un incidente con varias instancias de un patrón del identificador de datos,
tales como varias instancias del mismo número de la seguridad social en el
mismo componente del mensaje (por ejemplo, en un archivo adjunto de correo
electrónico).
En Instantánea de incidente verifique que solamente las coincidencias únicas
estén resaltadas y contadas.

El sistema le permite modificar los identificadores de datos definidos en el sistema,
pero no puede eliminarlos. Cualquier modificación realizada a la configuración de
un identificador de datos definido en el sistema surte efecto en todo el sistema.
Esto significa que las modificaciones se aplican a cualquier política que activamente
o posteriormente declare el identificador de datos.
No hay manera de revertir automáticamente un identificador de datos a su
configuración original una vez que se modifica. Antes de que modifique un
identificador de datos de sistema, considere clonarlo.
y cualquier identificador de datos personalizado que se haya creado. Cualquier
modificación que se haga a un identificador de datos surtirá efecto en todo el
sistema. Esto significa que las modificaciones se aplicarán a cualquier política que
declare el identificador de datos modificado.
El sistema no incluye los identificadores de datos modificados en políticas
exportadas como plantillas. Antes de modificar un identificador de datos del sistema,
exporte cualquier política que lo declare.
Ver "Editar la entrada del validador de patrones" en la página 769.
Nota: El sistema exporta los identificadores de datos modificados y personalizados

en una plantilla de políticas. El sistema exporta una referencia al identificador de
datos del sistema. El sistema de destino donde se importa la plantilla de políticas
proporciona el identificador de datos real.Ver "Clonación de identificadores de datos
definidos en el sistema antes de la modificación para conservar el estado original"
en la página 806.
Tabla 26-20 Opciones de modificación del identificador de datos del sistema
Modificable en el nivel de sistema No configurable
■ Patrones ■ Nombre, Descripción y Categoría

Es posible editar uno o más patrones del No es posible modificar el nombre, la descripción o la
identificador de datos en el nivel de sistema. categoría de un identificador de datos del sistema.
■ Validadores activos ■ Amplitud
Es posible agregar o eliminar validadores necesarios No es posible definir una nueva amplitud de detección
en el nivel de sistema. para un identificador de datos del sistema; se puede
■ Introducción de datos modificar solamente una amplitud existente.
Es posible editar la entrada de un validador activo ■ Validadores opcionales
para un identificador de datos del sistema. No es posible definir validadores opcionales en el nivel
de sistema. Es posible configurar solamente validadores
opcionales en el nivel de políticas.
■ Normalizador de datos
No es posible modificar el tipo de normalizador de datos
implementado por un identificador de datos del sistema.
■ Eliminar
No es posible eliminar un identificador de datos del
sistema.
Clonación de un identificador de datos del sistema antes de su

modificación
Enforce Server no proporciona un mecanismo automatizado para clonar un
identificador de datos del sistema.
Antes de modificar un identificador de datos del sistema, considere clonarlo
manualmente para poder restablecerlo a la configuración original en caso de que
sea necesario. Al menos, es necesario exportar una política como plantilla antes
de modificar cualquier identificador de datos del sistema declarado por esa política.
Para clonar manualmente un identificador de datos del sistema

1 Revise la configuración original del identificador de datos que desee modificar.
2 Cree un identificador de datos personalizado.
en la página 787.
3 Copie la configuración del identificador de datos original al identificador de
datos personalizado.
Agregue los patrones, los validadores, cualquier entrada de dato y el
normalizador.
4 Guarde el identificador de datos personalizado.
5 Modifique el identificador de datos personalizado para adaptarlo a sus
necesidades.
Editar la entrada del validador de patrones

En el nivel de sistema puede editar la entrada de datos que acepta un validador
requerido. No todos los validadores aceptan entrada de datos.
Ver "Acerca de los validadores de patrones" en la página 741.
Para editar la entrada de validador requerido
1 Edite el identificador de datos seleccionándolo en la pantalla Administrar >
Políticas > Identificadores de datos.
2 Seleccione la Amplitud de regla que desea modificar.
Generalmente, las opciones de amplitud media y baja incluyen validadores
que aceptan entrada de datos.
3 Seleccione el validador editable de la lista Validadores activos cuya entrada
desea editar.
Por ejemplo, seleccione Encontrar palabras clave.
Ver "Lista de validadores de patrones que aceptan datos de entrada"
en la página 770.
4 Edite la entrada del validador en el campo de Descripción y entrada de datos.
5 Seleccione las cualidades que desee para la palabra clave;
■ Proximidad : para encontrar una palabra clave solamente dentro de la
proximidad establecida de los patrones que coinciden, seleccione esta
casilla y además indique la proximidad o la Distancia entre palabras.
■ Distingue mayúsculas y minúsculas : seleccione esta casilla si desea

buscar una coincidencia con diferenciación entre mayúsculas y minúsculas.
■ Resaltar palabras clave en incidente : seleccione esta casilla si desea
resaltar las palabras clave que coinciden en los incidentes.
6 Haga clic en Actualizar validador para guardar los cambios que se han
realizado en la entrada del validador.
Haga clic en Descartar los cambios para no guardar los cambios.
7 Haga clic en Guardar para guardar el identificador de datos.
Lista de validadores de patrones que aceptan datos de entrada

La tabla siguiente enumera todos los validadores de patrones disponibles que
requieren la entrada de datos. Los datos de entrada son editables en la definición
a nivel sistema del identificador de datos.
Nota: Entrada que se utiliza para los validadores de principio y fin que se refieren
al texto de la coincidencia. Entrada que se utiliza para los validadores del prefijo y
del sufijo que se refieren a los caracteres que están antes y después del texto
coincidente.
Tabla 26-21 Validadores de patrones que aceptan datos de entrada
Validador Descripción
Coincidencia exacta Escriba una lista de valores separados por comas. Si los valores son numéricos,
NO escriba guiones largos ni otros separadores. La longitud de cada valor puede
variar.
Excluir caracteres de inicio Escriba una lista de valores separados por comas. Si los valores son numéricos,
variar.
Excluir caracteres de fin Escriba una lista de valores separados por comas. Si los valores son numéricos,
variar.
Excluir coincidencias exactas Escriba una lista de valores separados por comas. La longitud de cada valor puede
variar.
Excluir prefijo Escriba una lista de valores separados por comas. La longitud de cada valor puede
variar.
Excluir sufijo Escriba una lista de valores separados por comas. La longitud de cada valor puede
variar.
Encontrar palabras clave Escriba una lista de valores separados por comas. La longitud de cada valor puede
variar.
Requerir caracteres de inicio Escriba una lista de valores separados por comas. Si los valores son numéricos,
variar.
Requerir caracteres de fin Escriba una lista de valores separados por comas. Si los valores son numéricos,
variar.
Edición de palabras clave para los identificadores de datos

internacionales de PII
Los identificadores de datos ofrecen una amplia compatibilidad para detectar
contenido internacional.
Algunos identificadores de datos internacionales ofrecen una alta amplitud de
detección solamente. En este caso, se puede implementar el validador opcional
de Encontrar palabras clave para acotar el ámbito de detección. La implementación
de este validador opcional puede ayudarlo a eliminar cualquier falso positivo que
coincida con su política.
Para usar las palabras clave para identificadores de datos internacionales
1 Cree una política usando un identificador de datos internacionales
proporcionado por el sistema que se detalla en la tabla.
Ver "Lista de palabras claves para los identificadores de datos internacionales
de sistema" en la página 772.
2 Seleccione el validador opcional Encontrar palabras clave.
3 Copie las palabras clave apropiadas de la lista y péguelas separadas por
comas en el campo del validador opcional Encontrar palabras clave.
Lista de palabras claves para los identificadores de datos

internacionales de sistema
Tabla 26-22 proporciona palabras claves para varios identificadores de datos
internacionales definidos por el sistema. Es posible modificar el identificador de
datos especificado usando las palabras claves correspondientes.
Tabla 26-22 Lista de palabras clave para los identificadores de datos

internacionales de PII
Identificador de datos Idioma Palabras clave Traducción al español
Número de identificación Español Número de Identificación Fiscal, Número de identificación fiscal,

del contribuyente de número de contribuyente, número del contribuyente,
Argentina Número de identificación fiscal Número de identificación fiscal de
Argentina, Argentina número de Argentina, Número del
contribuyente contribuyente de Argentina
Número de pasaporte de Alemán REISEPASS, ÖSTERREICHISCH Pasaporte, Pasaporte austríaco

Austria REISEPASS, reisepass
Número de identificación Alemán Österreich, Steuernummer Austria, número fiscal

fiscal de Austria
Número de la seguridad Alemán sozialversicherungsnummer, Número de seguro social, número

social de Austria soziale sicherheit de la seguridad social, número de
kein,Versicherungsnummer, seguro, SSN austríaco, Seguro
Österreichischen SSN, social austríaco
Österreichischen
Sozialversicherungs
Número nacional de Francés Numéro national, numéro de Número nacional, número de

Bélgica sécurité, numéro d'assuré, seguridad, número de asegurado,
identifiant national, identificación nacional,
identifiantnational#, identificación nacional #, número
Numéronational# nacional #
Número de licencia de Alemán, francés, Führerschein, Fuhrerschein, Licencia de conducir, número de

conducir de Bélgica frisón Fuehrerschein, licencia de conducir, permiso de
Führerscheinnummer, conducir, número del permiso de
Fuhrerscheinnummer, conducir
Fuehrerscheinnummer,
Führerscheinnummer,
Fuhrerscheinnummer,
Führerschein- Nr, Fuhrerschein-
Nr, Fuehrerschein- Nr, permis de
conduire,
rijbewijs,Rijbewijsnummer,
Numéro permis conduire
Número de pasaporte de Neerlandés, Paspoort, paspoort, Pasaporte, número de pasaporte,

Bélgica alemán, francés paspoortnummer, Reisepass libreta de pasaporte, tarjeta de
kein, Reisepass, Passnummer, pasaporte
Passeport, Passeport livre,
Passeport carte, numéro
passeport
Número de identificación Neerlandés, Numéro de registre national, Número del registro nacional,
fiscal de Bélgica alemán, francés numéro d'identification fiscale, número de identificación fiscal,
belasting aantal,Steuernummer número fiscal
Número de impuesto Alemán, francés Numéro T.V.A, Número de IVA, número de

sobre el valor añadido Umsatzsteuer-Identifikationsnummer, identificación fiscal
(IVA) de Bélgica Umsatzsteuernummer
Número de cuenta Portugués Itauaccountno#, número conta Número de cuenta de Itaú,

bancaria de Brasil brasileño bancária, conta n, número conta, número de cuenta bancaria,
Conta bancária Itaú Número, número de cuenta bancaria de
código de conta bancária, Conta Itaú, código de la cuenta bancaria,
Sem, contan#, númeroconta#, número de cuenta
Conta Sem
Número de identificación Portugués número identificação, Número de identificación,

electoral de Brasil brasileño identificação do eleitor, ID eleitor identificación del votante, número
eleição, número identificação de identificación electoral, número
eleitoral, Número identificação de identificación electoral
eleitoral brasileira, brasileño
IDeleitoreleição#
Número de registro Portugués Brasileira ID Legal, entidades Identificación legal brasileña,

nacional de personas brasileño jurídicas ID,Registro Nacional de identificación de persona jurídica,
jurídicas de Brasil Pessoas Jurídicas n º, n.º de registro nacional de
BrasileiraIDLegal# personas jurídicas
Número de registro de Portugués Cadastro de Pessoas Físicas, Registro de personas, número del
personas físicas de Brasil brasileño Brasileiro Pessoa Natural Número registro de personas físicas
de Registro, pessoa natural brasileño, número del registro de
número de registro, pessoas personas físicas, número de
singulares registro NO registro de personas
Número civil uniforme Búlgaro Униформ граждански номер, Número civil uniforme,
búlgaro: EGN Униформ ID, Униформ identificación uniforme,
граждански ID, Униформ identificación civil uniforme,
граждански не., български número civil uniforme búlgaro
Униформ граждански номер,
УниформгражданскиID#,
Униформгражданскине.#
Burgerservicenummer Neerlandés Persoonsnummer, sofinummer, número de persona, número

(BSN) sociaal-fiscaal nummer, social-fiscal (abreviatura), número
persoonsgebonden social-fiscal, número relacionado
con la persona
Número de identificación Español Chilena número identificación, Número de identificación chileno,

nacional de Chile nacional identidad, número identidad nacional, número de
identificación, número identificación, número de
identificación nacional, identidad identificación nacional, número de
número, identidad, rol único nacional
NúmerodeIdentificación#,
Identidadchilenano#, Rol Único
Nacional, RolÚnicoNacional#,
nacionalidentidad#
Número de pasaporte de Chino 中国护照, 护照, 护照本 Pasaporte chino, pasaporte,

China libreta del pasaporte
Codice Fiscale Italiano codice fiscal, dati anagrafici, código fiscal, datos personales,
partita I.V.A., p. iva número de IVA, número de IVA
Direcciones colombianas Español Calle, Cll, Carrera, Cra, Cr, Calle, Cll, Carrera, Avenida,
Avenida, Av, Dg, Diagonal, Diag, Diagonal, Transversal, Vereda
Tv, Trans, Transversal, vereda
Número de teléfono Español numero celular, número de Número celular, número de

celular de Columbia teléfono, teléfono celular no., teléfono, número del teléfono
numero celular# celular
Número de identificación Español cedula, cédula, c.c., c.c,C.C., C.C, Documento de identificación,
personal de Colombia cc, CC, NIE., NIE, nie., nie, cedula cédula de ciudadanía, documento
de ciudadania, cédula de de identificación
ciudadanía, cc#, CC #, documento
de identificacion, documento de
identificación, Nit.
Número de identificación Español NIT., NIT, nit., nit, Nit. TIN (número de identificación del
del contribuyente de contribuyente)
Colombia
Número de identificación Checo Česká Osobní identifikační číslo, Número de identificación personal
personal de República Osobní identifikační číslo., checo, número de identificación
Checa identifikační číslo, čeština personal, número de identificación
identifikační číslo checo
Número de identificación Danés Nationalt identifikationsnummer, Número de identificación nacional,

personal de Dinamarca personnummer, unikt número personal, número de
identifikationsnummer, identificación único, número de
identifikationsnummer, centrale identificación, registro central de
personregister, personas, número de CPR
cpr,cpr-nummer,cpr#,
cpr-nummer#,
identifikationsnummer#,
personnummer#
Número de identificación Finlandés tunnistenumero, henkilötunnus, Número de identificación, número

personal de Finlandia yksilöllinen henkilökohtainen de identificación personal, número
tunnistenumero, Ainutlaatuinen de identificación personal único,
henkilökohtainen tunnus, número de identidad, número de
identiteetti numero, Suomen identificación personal finlandés,
kansallinen henkilötunnus, número de identificación nacional
henkilötunnusnumero#,
kansallisen tunnistenumero,
tunnusnumero,kansallinen
tunnus numero
Número de licencia de Francés permis de conduire Licencia de conducir

conducir de Francia
Número de seguro de Francés carte vitale, carte d'assuré social Tarjeta de salud, tarjeta del
salud de Francia seguro social
Número de identificación Francés numéro d'identification fiscale Número de identificación fiscal

fiscal de Francia
Número de impuesto Francés Numéro d'identification taxe sur Número de identificación del
sobre el valor añadido valeur ajoutée, Numéro taxe impuesto sobre el valor añadido,
(IVA) de Francia valeur ajoutée, taxe valeur número del impuesto sobre el
ajoutée, Taxe sur la valeur valor añadido, impuesto sobre el
ajoutée, Numéro de TVA valor añadido, número de IVA,
intracommunautaire, n° TVA, número de IVA francés, número
numéro de TVA, Numéro de TVA de identificación SIREN
en France, français numéro de
TVA, Numéro d'identification
SIREN
Código del INSEE de Francés INSEE, numéro de sécu, code INSEE, número de la seguridad
Francia sécu social, código de la seguridad
social
Número de pasaporte de Francés Passeport français, Passeport, Pasaporte francés, pasaporte,

Francia Passeport livre, Passeport carte, libreta de pasaporte, tarjeta de
numéro passeport pasaporte, número de pasaporte
Número de la seguridad Francés sécurité sociale non., sécurité Número de la seguridad social,
social de Francia sociale numéro, code sécurité código de la seguridad social,
sociale, numéro d'assurance, número del seguro
sécuritésocialenon.#,
sécuritésocialeNuméro#
Número de pasaporte Alemán Reisepass kein, Reisepass, Número de pasaporte, pasaporte,

alemán Deutsch Passnummer, número de pasaporte alemán,
Passnummer, Reisepasskein#, número de pasaporte
Passnummer#
Número de Id. personal Alemán persönliche Número de identificación

de Alemania identifikationsnummer, personal, número de ID, número
ID-Nummer, Deutsch de identificación personal alemán,
persönliche-ID-Nummer, número de identificación personal,
persönliche ID Nummer, número de ID en blanco, número
eindeutige ID-Nummer, personal, número de identidad,
persönliche Nummer,identität número de seguro
nummer, Versicherungsnummer,
persönlicheNummer#,
IDNummer#
Número de licencia de Alemán Führerschein, Fuhrerschein, Licencia de conducir, número de

conducir de Alemania Fuehrerschein, licencia de conducir
Fuhrerscheinnummer,
Fuhrerscheinnummer,Fuehrerscheinnummer,
Führerschein- Nr, Fuhrerschein-
Nr, Fuehrerschein- Nr
Número de impuesto Alemán Mehrwertsteuer, MwSt, Impuesto sobre el valor añadido,

sobre el valor añadido Mehrwertsteuer número de identificación del
(IVA) de Alemania Identifikationsnummer, impuesto sobre el valor añadido,
Mehrwertsteuer nummer número del impuesto sobre el
valor añadido
Número de identificación Griego Αριθμός Φορολογικού Μητρώου, Número de identificación del

del contribuyente de AΦΜ, Φορολογικού Μητρώου contribuyente, TIN, número de
Grecia Νο., τον αριθμό φορολογικού registro del contribuyente
μητρώου
Identificación de Hong Chino 身份證 , 三顆星 Tarjeta de identidad, tarjeta de Id.

Kong (tradicional) de residente permanente de Hong
Kong
Número de la seguridad Húngaro Magyar társadalombiztosítási Número de la seguridad social

social de Hungría szám, Társadalombiztosítási húngaro, número de la seguridad
szám, társadalombiztosítási ID, social, Id. de la seguridad social,
szociális biztonsági kódot, código de la seguridad social
szociális biztonság nincs.,
társadalombiztosításiID#
Número de identificación Húngaro Magyar adóazonosító jel no, Número de identificación del
del contribuyente de adóazonosító szám, magyar contribuyente de Hungría, número
Hungría adószám, Magyar adóhatóság de identificación del contribuyente,
no., azonosító szám, número del contribuyente de
adóazonosító no., adóhatóság no Hungría, número de la autoridad
tributaria de Hungría, número del
contribuyente, número de la
autoridad tributaria
Número de IVA húngaro Húngaro Közösségi adószám, Általános Número de identificación del
forgalmi adó szám, impuesto sobre el valor añadido,
hozzáadottérték adó, magyar número del impuesto sobre venta,
Közösségi adószám impuesto sobre el valor añadido,
número del impuesto sobre el
valor añadido húngaro
Número de tarjeta de Indonesio, Kartu Tanda Penduduk nomor, Número de tarjeta de identidad,
identidad de Indonesia portugués número do cartão, Kartu identitas número de tarjeta, número de
Indonesia no, kartu no., Kartu tarjeta de identidad de Indonesia,
identitas Indonesia nomor, Nomor no. de tarjeta, número de tarjeta
Induk Kependudukan, de identidad de Indonesia,
númerodocartão,kartuno., número de Id.
KartuidentitasIndonesiano
Número internacional de Francés Code IBAN, numéro IBAN Código de IBAN, número de IBAN
cuenta bancaria (IBAN)
central
oriental
occidental
Número personal de Gaélico Gaeilge Uimhir Phearsanta Número personal del servicio
servicio público irlandés Seirbhíse Poiblí, PPS Uimh., público irlandés, no. del PPS,
uimhir phearsanta seirbhíse número personal del servicio
poiblí, seirbhíse Uimh, PPS Uimh, público, no. del servicio, no. del
PPS seirbhís aon PPS, servicio uno del PPS
Número de identificación Hebreo, árabe ‫זהות‬,‫מספר זיהוי ישראלי‬,‫מספר זיהוי‬ Número de identidad israelí,
personal de Israel ‫هوية‬,‫هويةاسرائيلية عدد‬,‫ישראלית‬ número de identidad, número
‫عدد هوية فريدة من نوعها‬,‫رقم الهوية‬,‫ إسرائيلية‬único de identidad, identificación
personal, identificación personal
única, Id. único
Número de licencia de Italiano patente guida numero, patente di Número de licencia de

conducir de Italia guida numero, patente di guida, conducción, licencia de conducir
patente guida
Número de seguro de Italiano TESSERA SANITARIA, tessera Tarjeta de seguro médico, tarjeta
salud de Italia sanitaria, tessera sanitaria italiana de seguro médico
italiana
Número de pasaporte Italiano Repubblica Italiana Passaporto, Pasaporte de la república italiana,

italiano Passaporto, Passaporto Italiana, pasaporte, pasaporte italiano,
passport number, Italiana número de pasaporte italiano,
Passaporto numero, Passaporto número de pasaporte
numero, Numéro passeport
italien, numéro passeport
Número de impuesto Italiano IVA, numero partita IVA, IVA#, IVA, número de IVA, IVA#,
sobre el valor añadido numero IVA número de IVA
(IVA) de Italia
Número de Id. de Japonés 住基ネット識別番号, 住基ネット番 Número de identificación de

Juki-Net de Japón 号, 識別番号, 個人識別番号 Juki-red, número de Juki-red,
número de identificación, número
de identificación personal
Mi número japonés: Japonés マイナンバー, 共通番号 Mi número, número común

empresarial
Mi número japonés: Japonés マイナンバー, 個人番号, 共通番号 Mi número, número personal,

personal número común
Número de pasaporte de Japonés 日本国旅券, パスポート, パスポー Pasaporte japonés, pasaporte,

Japón ト数 número de pasaporte
Número de pasaporte de Coreano 한국어 여권, 여권, 여권 번호, 대한 Pasaporte coreano, pasaporte,
Corea 민국 número de pasaporte, República
de Corea
Número de registro de Coreano 외국인 등록 번호, 주민번호 Número de registro del extranjero,
residente de Corea para número de la seguridad social
extranjeros
Número de registro de Coreano 주민등록번호, 주민번호 Número de registro de residencia,

residencia coreana para número de la seguridad social
coreanos
Número del Registro Alemán, francés Eindeutige ID-Nummer, Número de Id. único, Id. único,
Nacional de Personas de Eindeutige ID, ID personnelle, identificación personal, número
Luxemburgo Numéro d'identification de identificación personal
personnel, IDpersonnelle#,
Persönliche
Identifikationsnummer,
EindeutigeID#
Número MyKad de Malayo nombor kad pengenalan, kad Número de tarjeta de identidad,
Malasia (MyKad) pengenalan no, kad pengenalan no. de tarjeta de identidad, tarjeta
Malaysia, bilangan identiti unik, de identidad malasia, número de
nombor peribadi, identidad único, número personal
nomborperibadi#,
kadpengenalanno#
Número de identificación Español Clave de Registro de Identidad Clave de registro de identidad

y registro personal de Personal, Código de personal, Código de identificación
México Identificación Personal mexicana, personal mexicano, Número de
número de identificación identificación personal mexicano
personal mexicana
Número de identificación Español Registro Federal de Registro federal de

del contribuyente de Contribuyentes, número de contribuyentes, número de
México identificación de impuestos, identificación de impuestos,
Código del Registro Federal de número del registro federal de
Contribuyentes, Número RFC, contribuyentes, número de RFC,
Clave del RFC clave del RFC
Clave Única de Registro Español Única de registro de Población, Registro único de la población,
de Población de México clave única, clave única de clave única, clave única de
identidad, clave personal identidad, identidad personal
Identidad, personal Identidad única, clave de identidad personal
Clave, ClaveÚnica#,
clavepersonalIdentidad#
Número de CLABE de Español Clave Bancaria Estandarizada, Código bancario estandarizado,

México Estandarizado Banco número de número de código estandarizado
clave, número de clave, clave de banco, número de código
número, clave#
Número de licencia de Neerlandés RIJMEWIJS, permis de conduire, Licencia de conducir, permiso de

conducir de los Países rijbewijs, Rijbewijsnummer, conducir, número de licencia de
Bajos RIJBEWIJSNUMMER conducir
Número de pasaporte de Neerlandés Nederlanden paspoort nummer, Número de pasaporte de los

los Países Bajos Paspoort, paspoort, Nederlanden Países Bajos, pasaporte, número
paspoortnummer, de pasaporte
paspoortnummer
Número de identificación Neerlandés, Nederlands belasting Número de identificación fiscal de

fiscal de los Países Bajos papiamento, identificatienummer, los Países Bajos, número de
noruego identificatienummer van identificación fiscal, identificación
belasting, identificatienummer fiscal de los Países Bajos, número
belasting, Nederlands belasting fiscal de los Países Bajos, número
identificatie, Nederlands belasting fiscal
id nummer, Nederlands
belastingnummer, btw nummer,
Nederlandse belasting
identificatie, Nederlands
belastingnummer, netherlands
tax identification tal, netherland's
tax identification tal, tax
identification tal, tax tal,
Nederlânske tax identification tal,
Hollânske tax identification,
Nederlânsk tax tal, Hollânske tax
id tal, netherlands impuesto
identification number,
netherland's impuesto
identification number, impuesto
identification number, impuesto
number, hulandes impuesto
identification number, hulandes
impuesto identification, hulandes
impuesto number, hulandes
impuesto id number
Número de impuesto Neerlandés, wearde tafoege tax getal, BTW Número del impuesto sobre el
sobre el valor añadido frisón nûmer, BTW-nummer valor añadido, número de IVA
(IVA) de los Países Bajos
Número de nacimiento Noruego fødsel nummer, Fødsel nr, fødsel Número de nacimiento
noruego nei, fødselnei#, fødselnummer#
Id. de la República Chino 身份证,居民信息,居民身份信息 Tarjeta de identidad, información

Popular China (simplificado) del residente, información de la
identificación de residente
Número de identificación Polaco owód osobisty, Tożsamości Tarjeta de identidad, identidad

de Polonia narodowej, osobisty numer nacional, número de tarjeta de
identyfikacyjny, niepowtarzalny identidad, número único, número
numer, numer
Número de REGON de Polaco numer statystyczny, REGON, Número estadístico, número

Polonia numeru REGON, REGON
numerstatystyczny#,
numeruREGON#
Número de la seguridad Polaco PESEL Liczba, społeczny Número de PESEL, número de la

social de Polonia bezpieczeństwo liczba, społeczny seguridad social, Id. de la
(PESEL) bezpieczeństwo ID, społeczny seguridad social, código de la
bezpieczeństwo kod, seguridad social
PESELliczba#,
społecznybezpieczeństwoliczba#
Número de identificación Polaco Numer Identyfikacji Podatkowej, Número de identificación fiscal,

fiscal de Polonia Polski numer identyfikacji número de identificación fiscal de
podatkowej, Polonia
NumerIdentyfikacjiPodatkowej#
Código personal Rumano Cod Numeric Personal, cod Código personal numérico, código
numérico de Rumania identificare personal, cod unic de identificación personal, código
identificare, număr personal unic, de identificación único, número de
număr identitate, număr identidad, número de
identificare personal, identificación personal
număridentitate#,
CodNumericPersonal#,
numărpersonalunic#
Número de identificación Ruso паспорт нет, паспорт, номер No. de pasaporte, pasaporte,
de pasaporte ruso паспорта, паспорт ID, número de pasaporte, Id. de
Российской паспорт, Русский pasaporte, pasaporte ruso,
номер паспорта, паспорт#, número de pasaporte ruso
паспортID#, номерпаспорта#
Número de identificación Ruso НДС, номер TIN (número de identificación del

del contribuyente ruso налогоплательщика, contribuyente), número del
Налогоплательщика ИД, налог contribuyente, Id. del
число, налогчисло#, ИНН#, contribuyente, número de
НДС# impuesto
Número de identificación Afrikáans nasionale identifikasie nommer, Número de identificación nacional,

personal de Sudáfrica nasionale identiteitsnommer, número de identidad nacional,
versekering aantal, persoonlike número de seguro, número de
identiteitsnommer, unieke identidad personal, número único
identiteitsnommer, de identidad, número de identidad
identiteitsnommer,
identiteitsnommer#,
versekeringaantal#,
nasionaleidentiteitsnommer#
Número de registro de Coreano 주민등록번호, 주민번호 Número de registro de residente,

residente de Corea del número de residente
Sur
Número de licencia de Español permiso de conducción, permiso Licencia de conducir, número de

conducir de España conducción, Número licencia licencia de conducir, licencia de
conducir, Número de carnet de conducir, permiso de conducir,
conducir, Número carnet número de permiso de conducir
conducir, licencia conducir,
Número de permiso de conducir,
Número de permiso conducir,
Número permiso conducir,
permiso conducir, licencia de
manejo, el carnet de conducir,
carnet conducir
Número de cuenta de Español número cuenta cliente, código Número de cuenta de cliente,
cliente de España cuenta, cuenta cliente ID, número código de cuenta, Id. de cuenta
cuenta bancaria cliente, código de cliente, número de cuenta
cuenta bancaria bancaria de cliente, código de
cuenta bancaria
DNI de España Español NIE número, Documento Nacional Número de NIE, documento de
de Identidad, Identidad único, identidad nacional, identidad
Número nacional identidad, DNI única, número de identidad
Número nacional, número de DNI
Número de pasaporte de Español libreta pasaporte, número libreta de pasaporte, número de

España pasaporte, Número Pasaporte, pasaporte, pasaporte español,
España pasaporte, pasaporte pasaporte
Número de la seguridad Español Número de la Seguridad Social, Número de la seguridad social

social de España número de la seguridad social
Id. de contribuyente de Español número de contribuyente, número número de contribuyente, número

España (CIF) de impuesto corporativo, número de impuesto corporativo, número
de Identificación fiscal, CIF de identificación fiscal, número de
número, CIFnúmero# CIF
Número de pasaporte de Sueco Passnummer, pass, sverige pass, Número de pasaporte, pasaporte,
Suecia SVERIGE PASS, sverige pasaporte sueco, número de
Passnummer pasaporte sueco
Número de identificación Sueco personnummer ID, personligt Número de Id., número de

personal de Suecia id-nummer, unikt id-nummer, identificación personal, número
personnummer, de Id. único, personal, número de
identifikationsnumret, identificación
personnummer#,
identifikationsnumret#
Número de AHV de Suiza Francés Numéro AVS, numéro d'assuré, Número de AVS, número de
identifiant national, numéro seguro, identificador nacional,
d'assurance vieillesse, numéro número de seguro nacional,
de sécurité soclale, Numéro AVH número de la seguridad social,
número de AVH
Alemán AHV-Nummer, Matrikelnumme, Número de AHV, número de

Personenidentifikationsnummer registro de Suiza, PIN
Italiano AVS, AVH AVS, AVH
Id. de la República de Chino 中華民國國民身分證 Id. de Taiwán

China (Taiwán) (tradicional)
Número de Id. personal Tailandés ประกันภัยจำนวน, Número de seguro, identificación

de Tailandia หมายเลขประจำตัวส่วนบุคคล, personal, número de identificación
หมายเลขประจำตัวที่ไม่ซ้ำกัน,
ประกันภัยจำนวน#,
หมายเลขประจำตัวส่วนบุคคล#,
หมายเลขประจำตัวที่ไมซ้ำกัน#
Número de identificación Turco Kimlik Numarası, Türkiye Número de identificación, número

de Turquía Cumhuriyeti Kimlik Numarası, de identificación de la república
vatandaş kimliği, kişisel kimlik de Turquía, identidad del
no, kimlik Numarası#, vatandaş ciudadano, número de
kimlik numarası, Kişisel kimlik identificación personal, número
Numarası de identificación del ciudadano
Tarjeta de identidad de Ucraniano посвідчення особи України Tarjeta de identidad de Ucrania

Ucrania
Número de pasaporte Ucraniano паспорт, паспорт України, Pasaporte, pasaporte de Ucrania,

ucraniano (nacional) номер паспорта, персональний número de pasaporte
Número de pasaporte de Ucraniano паспорт, паспорт України, Pasaporte, pasaporte de Ucrania,

Ucrania (internacional) номер паспорта número de pasaporte
Actualizar las políticas para utilizar el identificador de datos del

número de la seguridad social (SSN) de los EE. UU. calculado de
forma aleatoria
El identificador de datos del número de la seguridad social (SSN) de los EE. UU.
calculado de forma aleatoria detecta SSN tradicionales y seleccionados al azar.
Ver "Utilice el identificador de datos SSN de los EE. UU. calculado de forma aleatoria
para detectar SSN" en la página 808.
Todas las plantillas de políticas que utilizaron previamente el identificador de datos
del número de la seguridad social (SSN) de los EE. UU. se actualizan para utilizar
el identificador de datos del número de la seguridad social (SSN) de los EE. UU.
calculado de forma aleatoria. Además, el identificador de datos del número de la
seguridad social (SSN) de los EE. UU. calculado de forma aleatoria está actualizado
para Symantec Data Loss Prevention versión 14.0.
Ver "Actualizar las políticas después de actualizar a la versión más reciente"
en la página 486.
Si tiene políticas existentes que utilizan el identificador de datos del número de la
seguridad social (SSN) de los EE. UU. para detectar SSN, es necesario actualizar
cada política para utilizar el identificador de datos del número de la seguridad social
(SSN) de los EE. UU. calculado de forma aleatoria. Si ha creado políticas usando
calculado de forma aleatoria de la versión 12.5, es necesario actualizar cada una
para utilizar el identificador de datos del número de la seguridad social (SSN) de
los EE. UU. calculado de forma aleatoria versión 14.0.
Para actualizar las políticas para utilizar el identificador de datos del número de la
seguridad social (SSN) de los EE. UU. calculado de forma aleatoria proporciona
los pasos para actualizar sus políticas de SSN.
Crear identificadores de datos personalizados
Para actualizar las políticas para utilizar el identificador de datos del número de
la seguridad social (SSN) de los EE. UU. calculado de forma aleatoria
1 Edite la política que implementa el identificador de datos de SSN de EE. UU.
o el identificador de datos de SSN de EE. UU. calculados de forma aleatoria
12.5.
2 Edite la regla que contiene el identificador de datos de SSN de EE. UU.
3 Quite el identificador de datos de SSN de EE.UU.
4 Agregue el identificador de datos de SSN de EE.UU.
Ver "Administrar y agregar los identificadores de datos" en la página 743.
5 Guarde la política.
6 Pruebe la detección de la política para los SSN tradicionales y aleatorios.
en la página 493.
7 Implemente la política actualizada de SSN en la producción.

Es posible crear y eliminar uno o más identificadores de datos personalizados. Un
identificador de datos personalizado puede ser un identificador de datos de sistema
que se ha clonado y se desea modificar o uno que se crea de cero. Un identificador
de datos personalizado es reutilizable en todas las políticas. Los cambios realizados
a un identificador de datos personalizado en el nivel de sistema afectan cualquier
política que activamente o posteriormente declare el identificador de datos
personalizado.
Tabla 26-23 enumera los componentes de los identificadores de datos
personalizados.
en la página 787.
Tabla 26-23 Componentes personalizados del identificador de datos
Patrones Defina uno o más patrones de expresiones regulares, separados por saltos de línea.
Ver "Acerca de patrones del identificador de datos" en la página 740.
Validadores Agregue o elimine validadores para realizar comprobaciones de validación en los datos
detectados por los patrones.
Introducción de datos Proporcione valores separados por comas para cualquier validador que requiera la
entrada de datos.
Normalizador Seleccione un normalizador para estandarizar los datos antes de establecer

coincidencias.
Flujo de trabajo para crear los identificadores de datos

personalizados
Es posible implementar identificadores de datos personalizados para detectar
contenido único. Para implementar un identificador de datos personalizado, es
necesario definir por lo menos un patrón y seleccionar un normalizador de datos.
Los validadores son opcionales.
Cuando se define un identificador de datos personalizado, el sistema lo asigna a
la amplitud “Alta” de forma predeterminada. Esto no es una limitación, sin embargo,
porque el ámbito real de la detección es determinado por los patrones y los
validadores que se definen.
Tabla 26-24 Implementación de identificadores de datos personalizados
1 Seleccione Administrar > La pantalla Identificadores de datos enumera todos los identificadores de
Políticas > Identificadores datos disponibles en el sistema.
de datos.
2 Seleccione Agregar Escriba un Nombre para el identificador de datos personalizado.

El nombre debe ser único.
Escriba una Descripción para el identificador de datos personalizado.
Un identificador de datos personalizado es asignado a la categoría

Personalizado de forma predeterminada y no se puede cambiar.
El campo de descripción se limita a 255 caracteres por línea.
3 Escriba uno o más Patrones Es necesario especificar por lo menos un patrón para que el identificador
para que coincidan datos. de datos personalizado sea válido.
Separe varios patrones por saltos de línea.
Ver "Escritura de patrones del identificador de datos para que coincidan con
los datos" en la página 793.
4 Seleccione un Normalizador Es necesario seleccionar un normalizador de datos.

de datos.
Los normalizadores siguientes están disponibles:
■ Dígitos
■ Dígitos y letras
■ Minúsculas
■ Códigos Swift
■ No hacer nada
Seleccione esta opción si no desea normalizar los datos.
5 Seleccione cero o más Incluir un validador para comprobar y verificar la correlación de patrones es
Validadores. opcional.
6 Guardar el identificador de Haga clic en Guardar en el extremo superior izquierdo de la pantalla.

datos personalizado.
Una vez que se define y se guarda un identificador de datos personalizado,
aparece alfabéticamente en la lista de identificadores de datos en la pantalla
Identificadores de datos.
Para editar un identificador de datos personalizado, selecciónelo de la lista.

Nota: Haga clic en Cancelar para no guardar el identificador de datos
personalizado.
7 Implemente el identificador El sistema enumera todos los identificadores de datos personalizados debajo
de datos personalizado en de la categoría Personalizado para la condición “El contenido coincide con
una o más políticas. el identificador de datos” en las pantallas Configurar política - Agregar
regla y Configurar política - Agregar excepción.

Es posible configurar validadores opcionales en el nivel de instancia de

políticas para los identificadores de datos personalizados.
Configuración de identificador de datos personalizado

Es posible crear y eliminar uno o más identificadores de datos personalizados. Un
identificador de datos personalizado se puede usar en todas las políticas. Los
cambios realizados a un identificador de datos personalizado en el nivel de sistema
afectan cualquier política que activamente o posteriormente declare el identificador
de datos personalizado.
en la página 787.
Tabla 26-25 Configuración de identificador de datos personalizado
Configurable en el nivel personalizado No configurable
■ Nombre y Descripción ■ Categoría

Es necesario dar a un identificador de datos El sistema asigna un identificador de datos personalizado
personalizado un nombre único. a la categoría Personalizado. No es posible cambiar esta
Es conveniente proporcionar una descripción al configuración.
identificador de datos personalizado. ■ Amplitud
Es posible cambiar el nombre o la descripción de El sistema asigna un identificador de datos personalizado
un identificador de datos personalizado cuando se a la amplitud de regla Amplia. No es posible cambiar esta
modifica. configuración.
■ Patrones ■ Validadores opcionales
Es necesario definir al menos un patrón para que Los identificadores de datos personalizados admiten todos
el identificador de datos personalizado sea válido. los validadores opcionales, pero se configuran en el nivel
■ Validadores activos de políticas.
Es posible agregar uno o más validadores
necesarios a un identificador de datos
personalizado.
■ Introducción de datos
Es posible editar la entrada de un validador activo
que acepte la entrada de datos.
■ Normalizador de datos
Es necesario seleccionar un normalizador de datos
al definir un identificador de datos personalizado.
Usar el lenguaje del patrón del identificador de datos

El lenguaje de patrones del identificador de datos es un subconjunto limitado de
léxico de expresión regular. El lenguaje de patrones del identificador de datos no
admite todos los caracteres ni las construcciones de expresiones regulares. Un
patrón de expresión regular convertido en un patrón del identificador de datos
requerirá algunas modificaciones sintácticas.
Los patrones de identificador de datos se limitan a 100 caracteres por línea. El
patrón mismo puede tener más de 100 caracteres, pero una línea no puede tener
más de 100. Debe dividir el patrón por líneas de no más 100 caracteres de longitud.
Ver "Límite de caracteres de entrada para la configuración de políticas"
en la página 468.
Tabla 26-26 enumera las diferencias conocidas entre las expresiones regulares y
el lenguaje de patrones del identificador de datos. Para obtener información más
detallada sobre el lenguaje de patrones del identificador de datos, consulte
Especificación del idioma del patrón del identificador de datos.
Tabla 26-26 Limitaciones del lenguaje de patrones del identificador de datos
Carácter Descripción
* El asterisco (*), el carácter de canalización (|) y el punto (.) no se admiten en patrones

|
\w La construcción \w no se puede usar para generar coincidencias de carácter subrayado

(_).
\s La construcción \s no se puede usar para generar coincidencias de carácter de espacio

en blanco; en su lugar use un espacio en blanco real.
\d Para los dígitos, use la construcción \d.
Agrupamiento El agrupamiento solo funciona al principio del patrón, por ejemplo:
\d{4} – 2049 no funciona. Use 2049 – \d{4}
\d{2} /19 \d{2} no funciona. Use \d{2} /[1][9] \d{2}
Los agrupamientos se permiten al principio del patrón, como en el identificador de datos

de la tarjeta de crédito.
Especificación del idioma del patrón del identificador de datos

Es posible usar tres tipos de token al definir un patrón del identificador de datos.
Los tokens son secuencias de caracteres que no son espacios en blanco al principio
del archivo, o precedidos por uno o más caracteres de espacios en blanco, seguidos
por caracteres de espacios en blanco o el final del archivo. Los tres tipos de token
que se usan en los patrones del identificador de datos son:
■ literales de caracteres
■ expresiones con corchetes
■ caracteres especiales
Es posible colocar un cuantificador opcional después de cada token.
Ver “Cuantificadores” en la página 793.
Los patrones del identificador de datos coinciden solamente con un token completo
o un conjunto de tokens.
Caracteres literales, metacaracteres y caracteres especiales

La mayoría de los caracteres son coincidencias literales en el idioma del patrón
del identificador de datos. Por ejemplo, el carácter a en el patrón del identificador
de datos coincide con el carácter a en su contenido. El idioma del patrón del
identificador de datos incluye cuatro metacaracteres. Para hacer coincidir estos

metacaracteres como literales de caracteres, use la barra invertida para escapar
los caracteres en el patrón del identificador de datos. Consulte la Tabla 26-27 para
obtener descripciones de estos metacaracteres.
Tabla 26-27 Metacaracteres
[ Este carácter se usa para comenzar una expresión con corchete.
{ Este carácter se usa para cuantificar el token precedente.
? Este carácter se usa para cuantificar el token precedente.
\ Este carácter se usa para escapar el carácter siguiente.
El idioma del patrón del identificador de datos incluye cinco caracteres especiales
predefinidos. Consulte la Tabla 26-28 para obtener descripciones de estos
caracteres especiales.
Tabla 26-28 Caracteres especiales
\l Este carácter especial coincide con cualquier letra ASCII.
\L Este carácter especial coincide con cualquier carácter de letra que

no es ASCII, incluso los caracteres Unicode.
\d Este carácter especial coincide con cualquier dígito ASCII.
\D Este carácter especial coincide con cualquier dígito que no es ASCII,

incluso los caracteres Unicode.
\w Este carácter especial coincide con cualquier carácter sin coincidencia

con \l o \d, incluso los caracteres Unicode.
Expresiones con corchetes

Las expresiones con corchetes comienzan con [ y terminan con ] y contienen por
lo menos un carácter en el cuerpo de la expresión. Por ejemplo, la expresión con
corchetes [abcd] coincide con cualquiera de las letras "a," "b," "c," o "d".
Es posible incluir un rango de caracteres dentro de una expresión con corchetes
separando dos caracteres con un guion: -. Por ejemplo, la expresión con corchetes
[a-z] coincide con las letras minúsculas de "a" a "z". Cualesquiera dos caracteres
separados por - se interpretan como un rango. El orden relativo del rango no
importa: [a-z] y [z-a] coinciden con los mismos caracteres.
Es posible incluir los caracteres "]" y "-" en la expresión con corchetes si se siguen
estas reglas:
■ El carácter “]” debe aparecer como el primer carácter en su expresión con
corchetes. Por ejemplo: []a-z] coincide con el carácter "]” o cualquier letra
minúscula entre "a" y "z".
■ El carácter “-” debe aparecer como el primer o el último carácter en la expresión
con corchetes. Si la expresión con corchetes contiene los caracteres "]" y “-”,
"]" debe ser el primer carácter y "-" debe ser el último carácter. Por ejemplo:
[]-] coincide con "]" o "-".
Orden de interpretación
Los patrones del identificador de datos se interpretan de izquierda a derecha. Por
ejemplo, la expresión con corchetes [a-d-z] se interpreta como el rango a-d y, a
continuación, como los literales - y z.
Cuantificadores
Es posible colocar un cuantificador después de cualquier token en el patrón del
identificador de datos. El cuantificador especifica cuántas incidencias del patrón
deben coincidir. Consulte la Tabla 26-29 para obtener una descripción de los
cuantificadores disponibles en el idioma del patrón del identificador de datos.
Tabla 26-29 Cuantificadores
Cuantificador Descripción
? Este cuantificador especifica que la expresión debe coincidir con cero

o una incidencia del token precedente.
{n} Este cuantificador especifica que la expresión debe coincidir

exactamente con las incidencias de n del token precedente.
{n, m} Este cuantificador especifica que la expresión debe coincidir entre

las incidencias de n y m del token precedente (inclusivo).
Escritura de patrones del identificador de datos para que coincidan

con los datos
Si modifica un identificador de datos existente, puede editar los patrones. Si crea
un identificador de datos personalizado, deberá implementar por lo menos un
patrón. Los modelos de identificador de datos se implementan con una sintaxis
similar al idioma de la expresión regular, con limitaciones. Además, el sistema
permite solamente el uso de los caracteres ASCII para los patrones del identificador
de datos.
Ver "Acerca de patrones del identificador de datos" en la página 740.

Para editar o implementar un patrón
1 Revise los patrones para el identificador de datos que desee modificar.
2 Considere clonar el identificador de datos, si está modificando un identificador
de datos del sistema.
Ver "Clonación de un identificador de datos del sistema antes de su
3 Seleccione Administrar > Políticas > Identificadores de datos en la consola
4 Seleccione el identificador de datos que desee modificar.
5 Seleccione la amplitud para el identificador de datos que desee modificar.
Generalmente, los patrones varían entre amplitudes de detección.
6 En el campo Patrones, modifique un patrón existente o escriba uno o más
nuevos patrones, separados por saltos de línea.
Los modelos del identificador de datos se implementan como expresiones
regulares. Sin embargo, gran parte de la sintaxis de expresiones regulares no
se admite.
7 Haga clic en Guardar para guardar el identificador de datos.
Uso de validadores de patrones

La tabla siguiente enumera todos los validadores de patrones disponibles. Los
validadores marcados con un asterisco (*) junto al nombre en la siguiente tabla
requieren entrada de datos.
Tabla 26-30 Validadores disponibles para identificadores de datos

personalizados y del sistema
Suma de comprobación de ABA Todos los números de ABA deben comenzar con los siguientes dos dígitos: 00-15,
21-32, 61-72, 80 y deben aprobar una suma de comprobación específica y de peso
posicional de ABA.
Validación avanzada de KRRN Valida que el tercer y cuarto dígito sean meses válidos, que el quinto y sexto dígito
sean días válidos y que la suma de comprobación coincida con el dígito de
comprobación.
SSN avanzado El validador comprueba si el SSN contiene ceros en algún grupo, si el número de
área (primer grupo) es menor que 773 y no es 666, si el delimitador entre los grupos
es el mismo, si el número no es una repetición del mismo dígito y si el número no
está reservado para publicidad (123-45-6789, 987-65-432x).
Comprobación de validación del Computa la suma de comprobación y valida el patrón en función del resultado.
número de identificación del
contribuyente de Argentina
Número de Empresa Australiana
número de seguro médico de
Australia
archivo fiscal de Australia
número de la seguridad social
de Austria
SSN básico Realiza una validación mínima del SSN.
número nacional de Bélgica
Comprobación de validación de Computa la suma de comprobación y valida el patrón en función del resultado.
números de IVA de Bélgica
número de identificación
electoral de Brasil
número de cuenta bancaria de
Brasil
número de registro nacional de
personas jurídicas de Brasil
número de registro de personas
físicas de Brasil
número personal de asistencia
médica de Columbia Británica
número civil uniforme búlgaro
Comprobación de Realiza una comprobación de la existencia de Burgerservicenummer.

Burgerservicenummer
nacional de Chile
Validador de suma de Computa la suma de comprobación y valida el patrón en función del resultado.
comprobación de identidad de
China
Comprobar clave de control de Computa la clave de control y comprueba si es válida.

Codice Fiscale
Validación de CUSIP El validador comprueba los rangos no válidos de CUSIP y computa la suma de
comprobación de CUSIP (módulo 10, algoritmo de Luhn).
Script personalizado* Escriba un script personalizado para validar coincidencias de patrones para esta
amplitud de identificador de datos.
Ver "Creación de validadores de script personalizados" en la página 804.
número de identidad personal
de República Checa
personal de Dinamarca
Comprobación de clave de Computa la clave de control y comprueba si es válida.

control del DNI
número de licencia de conducir
del Estado de Washington
número de licencia de conducir
del Estado de Wisconsin
número de la Agencia
Antidrogas de los Estados
Unidos
Dígitos duplicados Controla que una cadena de dígitos no sea toda igual.
números de identificación fiscal
de Holanda
Coincidencia exacta* Escriba una lista de valores separados por comas. Si los valores son numéricos,
variar.
Excluir caracteres de inicio* Escriba una lista de valores separados por comas. Si los valores son numéricos,
variar.
Nota: Los validadores de principio y fin se refieren al texto de la coincidencia. Los
validadores del prefijo y del sufijo se refieren a los caracteres que están antes y
después del texto coincidente.
Excluir caracteres de fin* Escriba una lista de valores separados por comas. Si los valores son numéricos,
variar.
Excluir coincidencias exactas* Escriba una lista de valores separados por comas. La longitud de cada valor puede
variar.
Excluir prefijo* Escriba una lista de valores separados por comas. La longitud de cada valor puede
variar.
Nota: Los validadores del prefijo y del sufijo se refieren a los caracteres que están
antes y después del texto coincidente. Los validadores de principio y fin se refieren
al texto de la coincidencia.
Excluir sufijo* Escriba una lista de valores separados por comas. La longitud de cada valor puede
variar.
Encontrar palabras clave* Escriba una lista de valores separados por comas. La longitud de cada valor puede
variar.
personal de Finlandia
números de IVA de Francia
francés
número de Id. personal de
Alemania
número de pasaporte alemán
números de IVA de Alemania
contribuyente de Grecia
Identificación de Hong Kong Computa la suma de comprobación y valida el patrón en función del resultado.
húngaro
contribuyente de Hungría
número de IVA húngaro
Kartu Tanda Penduduk de
Indonesia
Clave de control de INSEE El validador computa la clave de control del INSEE y la compara con los dos últimos
dígitos del patrón.
Comprobación básica de IP Cada dirección IP debe coincidir con el formato x.x.x.x, y cada número debe ser
menor que 256.
Comprobación de octeto de IP Cada dirección IP debe coincidir con el formato x.x.x.x, y cada número debe ser
menor que 256. Ninguna dirección IP puede contener solo números de un dígito
(1.1.1.2).
Comprobar rango reservado de Comprueba si las direcciones IP se incluyen dentro de los rangos de "bogon". En
IP caso de ser así, la coincidencia no es válida.
Comprobación de validación Cada dirección IPv6 debe coincidir con el formato

básica de la dirección IPv6 xxxx.xxxx.xxxx.xxxx.xxxx.xxxx.xxxx.xxxx, y cada número debe ser menor que ffff.

media de la dirección IPv6 xxxx.xxxx.xxxx.xxxx.xxxx.xxxx.xxxx.xxxx, y cada número debe ser menor que ffff.
La dirección IPv6 no puede comenzar con 0.

reservada de la dirección IPv6 xxxx.xxxx.xxxx.xxxx.xxxx.xxxx.xxxx.xxxx, y cada número debe ser menor que ffff.
La dirección IPv6 no puede comenzar con 0. Cada dirección IPv6 debe estar
comprimida completamente.
número personal de servicio
público irlandés
personal de Israel
números de IVA de Italia
número de Id. de Juki-Net de
Japón
Mi número japonés
Comprobación de Luhn El validador computa la suma de comprobación de Luhn que debe aprobar cada
número de seguro de Canadá.
número del Registro Nacional
de Personas de Luxemburgo
número MyKad de Malasia
(MyKad)
Código Único de Registro de
Población de México
número de CLABE de México
Validador del módulo 97 Computa la suma de comprobación del módulo 97 base 10 del estándar ISO 7064
de coincidencia completa.
identificador del proveedor
nacional
nacional de títulos valores
números de IVA de los Países
Bajos
número de Índice de Salud
Nacional de Nueva Zelanda
Sin validación No realiza validación
número de nacimiento noruego
Delimitador numérico Valida una coincidencia comprobando los dígitos circundantes.
número de Id. de Polonia
número de REGON de Polonia
de Polonia
número de Id. fiscal de Polonia
Requerir caracteres de inicio* Escriba una lista de valores separados por comas. Si los valores son numéricos,
variar.
Requerir caracteres de fin* Escriba una lista de valores separados por comas. Si los valores son numéricos,
variar.
Comprobación del código Computa la suma de comprobación y valida el patrón en función del resultado.
personal numérico de Rumania
contribuyente ruso
NRIC de Singapur Computa la suma de comprobación de la NRIC de Singapur y valida el patrón en

función del resultado.
personal de Sudáfrica
número de cuenta de cliente
español
número SSN de España
número de Id. del contribuyente
de España
Número de área-grupo del SSN Para un número de área determinado (primer grupo), es posible que no todos los
números de grupo (segundo grupo) hayan sido asignados por la SSA. El validador
elimina los SSN con números de grupo no válidos.
personal de Suecia
AHV de Suiza Suma de comprobación del módulo 11 de AHV de Suiza.
de Suiza
Id. de Taiwán Suma de comprobación del Id. de Taiwán.
personal de Tailandia
número de identificación de
Turquía
Licencia de conducir del Reino Cada licencia de conducir del Reino Unido debe tener 16 caracteres, y los números
Unido ubicados en la octava y la novena posición deben ser mayores que 00 y menores
que 32.
NHS del Reino Unido Suma de comprobación del NHS del Reino Unido.
número de identificación de
Venezuela
Verhoeff
Comprobación de tarjeta de Computa la suma de comprobación y valida el patrón en función del resultado.
identidad de Ucrania
Seleccionar validadores de patrones

Symantec Data Loss Prevention proporciona un conjunto completo de validadores
para facilitar la exactitud de la coincidencia de patrones.
Cuando se modifica un identificador de datos, el sistema expone los validadores
activos usados por el identificador de datos. Cuando se modifica o se crea un
identificador de datos, el sistema muestra todos los validadores de datos definidos
en sistema de los cuales se puede elegir.
Nota: Los validadores activos que tienen en cuenta y definen la entrada no deben
ser confundidos con los “validadores opcionales” que se pueden configurar para
cualquier instancia en tiempo de ejecución de un identificador de datos determinado.
Los validadores opcionales son siempre configurables en el nivel de la instancia.
Los validadores activos son solamente configurables en el nivel de sistema.
Seleccione un validador de la lista “Comprobaciones de validación” a la izquierda;

después, haga clic en Agregar validador a la derecha. Si el validador necesita la
entrada, proporcione los datos necesarios usando una lista separada por comas
y, después, haga clic en Agregar validador.
Para seleccionar un validador de patrones

1 Cree un identificador de datos personalizado.
en la página 787.
2 En la sección Validadores, seleccione el validador deseado.
3 Si el validador no necesita la entrada de datos, haga clic en Agregar validador.
El validador se agrega a la lista Validadores activos.
4 Si el validador necesita la entrada de datos, escriba los valores de datos en
el campo Descripción y entrada de datos.
5 Edite la entrada del validador en el campo de Descripción y entrada de datos.
Si está utilizando el validador Buscar palabras clave, edite la entrada para
el validador en el campo Descripción y entrada de datos. A continuación,
seleccione las cualidades que desee para la palabra clave:
■ Proximidad : encuentra una palabra clave solamente dentro de la
proximidad determinada de los patrones que coinciden. Seleccione esta
casilla y además indique Distancia entre palabras.
■ Distingue mayúsculas y minúsculas : seleccione esta casilla si desea
buscar una coincidencia con diferenciación entre mayúsculas y minúsculas.
■ Resaltar palabras clave en incidente : seleccione esta casilla si desea
resaltar las palabras clave que coinciden en los incidentes.
6 Haga clic en Agregar validador cuando haya terminado de escribir los valores.
El validador se agrega a la lista Validadores activos.
7 Para eliminar un validador, selecciónelo en la lista Validadores activos y haga
clic en el icono de la X roja.
8 Haga clic en Guardar para guardar la configuración del identificador de datos.
Seleccionar un normalizador de datos

Cuando se crea un identificador de datos personalizado, es necesario seleccionar
un normalizador para conciliar los datos detectados por el patrón con el formato
esperado por los validadores.
en la página 787.
La Tabla 26-31 enumera y describe los normalizadores que se pueden implementar
para los identificadores de datos personalizados.
Nota: No es posible modificar el normalizador de un identificador de datos definido

por el sistema.
Tabla 26-31 Normalizadores de datos disponibles
Normalizador Descripción
Dígitos Solamente se permiten caracteres numéricos.
Dígitos y letras Se permiten caracteres alfanuméricos
Minúsculas Solamente se permiten letras, normalizado en minúscula.
Códigos Swift El código debe cumplir con los requisitos de SWIFT.
No hacer nada Los datos no están normalizados, se evalúan como los especificó el
usuario.
Creación de validadores de script personalizados

La comprobación personalizada de la validación de scripts le permite introducir un
script personalizado para validar coincidencias de patrones. Para implementar un
validador personalizado, se usa el lenguaje de programación de scripts de Symantec
Es posible implementar un validador personalizado de scripts en un identificador
de datos del sistema que se modifica o en un identificador de datos personalizado.
Nota: Consulte la Guía de personalización de la detección de Symantec Data Loss

Prevention para obtener información sobre el uso del lenguaje de programación
de scripts de Symantec Data Loss Prevention.
Para implementar un validador personalizado de scripts

1 Modifique un identificador de datos existente o cree un identificador de datos
personalizado.
en la página 787.
2 Seleccione el validador Script personalizado de la lista Comprobaciones
de validación.
3 Introduzca su script personalizado en el campo Descripción y entrada de
datos.
Prácticas recomendadas para usar los identificadores de datos
4 Haga clic en Agregar validador para agregar el validador personalizado a la

lista Validadores activos.
5 Haga clic en Guardar para guardar la configuración del identificador de datos.
Prácticas recomendadas para usar los identificadores

de datos
Los identificadores de datos son los algoritmos que combinan coincidencia de
patrones con validadores de datos para detectar contenido. Symantec Data Loss
Prevention proporciona varios identificadores de datos definidos por el sistema
para los patrones de datos comunes, como SSN, identificación fiscal y más.
Además, puede definir sus propios identificadores de datos personalizados para
que coincidan con cualquier dato que se pueda describir usando el lenguaje del
patrón del identificador de datos. Los identificadores de datos se usan habitualmente
para detectar la información de identificación personal (PII).
Esta sección proporciona las prácticas recomendadas para implementar las políticas
de identificadores de datos.
La Tabla 26-32 resume las prácticas recomendadas en esta sección.
Tabla 26-32 Resumen de las prácticas recomendadas de identificadores de datos
Utilice los identificadores de datos en vez de las Ver "Use identificadores de datos en vez de expresiones
expresiones regulares cuando es posible. regulares para mejorar la exactitud" en la página 806.
Modifique las definiciones del identificador de datos Ver "Modifique las definiciones del identificador de datos
cuando se desea que los ajustes se apliquen globalmente. cuando se desea que los ajustes se apliquen globalmente"
en la página 807.
Cierre los identificadores de datos definidos por el sistema Ver "Clonación de identificadores de datos definidos en
antes de modificarlos. el sistema antes de la modificación para conservar el
estado original" en la página 806.
Considere usar varias amplitudes de identificador de datos Ver "Use amplitudes varias paralelamente para detectar
paralelamente diversos niveles de gravedad de datos confidenciales"
en la página 807.
Evite coincidencias con Sobre mediante HTTP Ver "Evite coincidencias con Sobre mediante HTTP para
reducir los falsos positivos" en la página 808.
Utilice el identificador de datos SSN de los EE. UU. Ver "Utilice el identificador de datos SSN de los EE. UU.
calculado de forma aleatoria para detectar SSN calculado de forma aleatoria para detectar SSN"
tradicionales y calculados de forma aleatoria en la página 808.
Use la cuenta de coincidencias únicas para mejorar la Ver "Use la cuenta de coincidencias únicas para mejorar
exactitud y para aliviar la reparación la exactitud y para aliviar la reparación" en la página 809.
Use identificadores de datos en vez de expresiones regulares para

mejorar la exactitud
Los identificadores de datos se diseñan para proteger la información de identificación
personal (PII) con mucha exactitud (<10% de índice de falsos positivos). Si un
identificador de datos está disponible para el tipo de contenido que desea proteger,
es necesario usar el identificador de datos en vez de una expresión regular porque
los identificadores de datos son más eficientes que las expresiones regulares. Los
patrones de identificadores de datos iniciales están ajustados para brindar exactitud,
incluyendo detalles de la región, la industria y del país. Además, los identificadores
de datos incluyen los análisis de validación para verificar los datos coincidentes
con el patrón. Esta capa adicional de inteligencia defiende los datos de prueba y
otras activaciones de incidentes de falsos positivos. Las expresiones regulares,
por otra parte, pueden ser informáticamente costosas y pueden llevar a falsos
positivos crecientes.
Por ejemplo, si desea detectar los números de la seguridad social (SSN), usted
usaría el identificador de datos SSN de los EE. UU. calculado de forma aleatoria
en vez de un patrón de expresión regular. El identificador de datos SSN de los EE.
UU. calculado de forma aleatoria es más exacto que cualquier expresión regular
que usted podría escribir y mucho más fácil y más rápido implementar.
Nota: El lenguaje de patrones del identificador de datos es un subconjunto limitado

del lenguaje de expresión regular. No todas las construcciones o caracteres de
expresiones regulares se admiten para los patrones de identificador de datos. Ver
"Usar el lenguaje del patrón del identificador de datos" en la página 790.
Clonación de identificadores de datos definidos en el sistema antes

de la modificación para conservar el estado original
Antes de modificar un sistema identificador de datos o crear un identificador de
datos personalizado, considere lo siguiente:
■ Si desea modificar un identificador de datos del sistema, clónelo manualmente
como un identificador de datos personalizado y, luego, modifique la copia
clonada. Desde este modo, conserva al estado del identificador de datos definido
por el sistema original.
■ Los identificadores de datos no se exportan como parte de una plantilla de

políticas. Como tal, es necesario agregar el identificador de datos a una política
y exportar la política como plantilla antes de modificar el identificador de datos.
Una plantilla exportada contiene una referencia a cada identificador de datos
implementado en esa política. En la importación a un sistema de destino, la
plantilla usa la referencia para seleccionar el identificador de datos local. Si se
modifica el identificador de datos del sistema, el sistema de destino no lo
reconoce durante el proceso de importación.
Ver "Clonación de un identificador de datos del sistema antes de su modificación"
en la página 768.
Modifique las definiciones del identificador de datos cuando se desea

que los ajustes se apliquen globalmente
Los identificadores de datos ofrecen dos niveles de configuración:
■ Definiciones
■ Instancias
Las definiciones del identificador de datos se configuran en el nivel del sistema de
Enforce Server. En el nivel de la definición se pueden ajustar los datos
proporcionados por cualquier validador necesario que la definición declare en este
nivel, así como los validadores que se deben usar.
Las instancias del identificador de datos pueden configurarse solamente en el nivel
de la regla de la política. Cualquier configuración hecha en el nivel de la regla es
de alcance local y aplicable solamente en esa política. En el nivel de la regla se
usan los validadores opcionales, por ejemplo, requerir o excluir caracteres del
principio o del final, para ajustar la instancia de la regla del identificador de datos.
La recomendación general es configurar las definiciones del identificador de datos
de modo que los cambios se apliquen globalmente a cualquier instancia de esa
definición del identificador de datos. Tales configuración son reutilizables en todas
las políticas. Los validadores opcionales del nivel de la regla, por ejemplo, se deben
usar para las políticas únicas.
Use amplitudes varias paralelamente para detectar diversos niveles

de gravedad de datos confidenciales
Los identificadores de datos de coincidencia frente al contenido suelen requerir un
ajuste de la configuración para mantener los falsos positivos y falsos negativos en
un mínimo. Una vez que configura una instancia de la condición El contenido
coincide con el identificador de datos, analice las coincidencias y ajuste la
configuración para garantizar la coincidencia correcta y óptima de datos.
Considere ajustar la amplitud del identificador de datos que usted está utilizando
si el identificador de datos genera demasiados falsos positivos o negativos. Por
ejemplo, si usted está utilizando una amplitud alta y está recibiendo muchos falsos
positivos, considere usar una amplitud media o baja.
Como un enfoque alternativo, considere usar amplitudes varias del identificador
de datos paralelamente en la misma regla con diversos niveles de gravedad para
cada regla. Por ejemplo, en una única política diseñada para detectar números de
tarjetas de crédito, usted podría agregar tres reglas a la política, cada una usando
una amplitud diferente (alta, media, baja). Entonces configuraría la gravedad para
que los incidentes de gravedad baja sean de gravedad alta y los incidentes de
gravedad alta sean de gravedad baja. Usar este enfoque en capas le permite
examinar los datos que fluyen en la empresa usando una política que cubre ambos
extremos del espectro. Es posible usar este enfoque basado en muestras para
centrar sus esfuerzos de reparación en los incidentes de prioridad más alta mientras
aún se detectan y se pueden revisar los incidentes de gravedad baja.
Evite coincidencias con Sobre mediante HTTP para reducir los falsos
positivos
Las transmisiones HTTP contienen a veces los Id. de sesión en el encabezado
que pueden activar falsos positivos para identificadores de datos numéricos. Por
ejemplo, algunos sitios de medios sociales, tales como Facebook y LinkedIn,
contienen un Id. de sesión que puede coincidir a veces con los identificadores de
datos CCN y SSN exactamente, causando falsos positivos.
Para reducir los falsos positivos con respecto a los Id. de sesión de HTTP en el
encabezado de mensaje, la práctica recomendada es no coincidir con el componente
del mensaje "Sobre" al implementar identificadores de datos numéricos,
específicamente los identificadores de datos CCN o SSN.
Utilice el identificador de datos SSN de los EE. UU. calculado de

forma aleatoria para detectar SSN
En 2011, la Administración de Seguridad Social (SSA) de Estados Unidos comenzó
a publicar SSN seleccionado calculados de forma aleatoria. Con este esquema, el
alto número de grupo (segunda parte del SSN) dejará de corresponder con el
número de área (primera parte del SSN). Asimismo, el rango de número de área
podrá aumentar a 899, en lugar de 773. El cálculo aleatorio se aplica a SSN
publicados el 25 de junio de 2011 o después. No se aplica a SSN publicados antes
de esa fecha.
Para admitir el nuevo esquema de selección al azar de SSN, Symantec Data Loss
Prevention proporciona el identificador de datos definido por el sistema Número
de la seguridad social (SSN) de los EE. UU. calculado de forma aleatoria.
Ver "Número de la seguridad social (SSN) de los EE. UU. calculado de forma
aleatoria" en la página 1185.
El identificador de datos SSN de los EE. UU. calculado de forma aleatoria detecta
SSN tradicionales y calculados de forma aleatoria. El identificador de datos SSN
de los EE. UU. calculado de forma aleatoria substituye el identificador de datos
SSN de los EE. UU., que detecta solamente SSN tradicionales. Además, los
patrones para el identificador de datos SSN de los EE. UU. calculado de forma
aleatoria están actualizados para la versión 14.0.
Symantec recomienda que se utilice el identificador de datos SSN de los EE. UU.
calculado de forma aleatoria para todas las nuevas políticas que se desee utilizar
para detectar SSN y que actualice sus políticas existentes de SSN para utilizar el
identificador de datos SSN de los EE. UU. calculado de forma aleatoria. Para sus
políticas existentes que ya implementan el identificador de datos SSN tradicionales
de los EE. UU., se puede agregar el identificador de datos SSN de los EE. UU.
calculado de forma aleatoria como regla de OR de modo que ambos sean
ejecutados paralelamente mientras se prueba la política para asegurar que detecte
exactamente ambos estilos de SSN.
Use la cuenta de coincidencias únicas para mejorar la exactitud y

para aliviar la reparación
La configuración de la regla de identificador de datos contiene una opción de contar
solamente las coincidencias únicas. Con esta opción seleccionada (en comparación
con la configuración predeterminada que cuenta todas las coincidencias), solamente
las coincidencias únicas serán informadas como la primera coincidencia encontrada
en el mensaje o el componente de mensaje. Solamente se cuentan y se resaltan
las coincidencias únicas.
Las prácticas recomendadas son usar la cuenta de coincidencias únicas cuando
solamente interesan las coincidencias únicas y no las coincidencias duplicadas.
Por ejemplo, si está utilizando el identificador de datos de números de tarjeta de
crédito para proteger los números de tarjetas de crédito y solamente le importa si
un documento contiene 25 números únicos o más, tendría que usar la opción de
contar todas las coincidencias únicas en vez de la opción de contar todas las
coincidencias. Si se contaran todas las coincidencias, un documento que contiene
los mismos CCN 25 veces activaría la política, y ese no es el objetivo de la política.

Capítulo 27
usando coincidencia de
palabras clave
■ Presentación de coincidencia de palabras clave
■ Configurar la coincidencia de palabras clave
■ Prácticas recomendadas para usar coincidencia de palabras clave
Presentación de coincidencia de palabras clave

Symantec Data Loss Prevention proporciona la condición de la política El contenido
coincide con la palabra clave para la detección de palabras clave.
Para detectar la pérdida de datos usando la coincidencia de palabras clave, el
motor de detección compara un mensaje o un componente de mensaje entrante
en función de cada palabra clave en una lista de una o más palabras claves o
frases de palabra clave. La coincidencia de palabras clave admite la coincidencia
de palabras enteras y de palabras parciales, así como proximidad a la palabra. La
coincidencia de palabras clave se admiten en el servidor y en el endpoint. El
recuento de coincidencias únicas se admite para palabras claves.
Tabla 27-1 enumera casos de uso típicos de la coincidencia de palabras clave.
Cómo detectar el contenido usando coincidencia de palabras clave 812
Tabla 27-1 Casos de uso de la coincidencia de palabras clave
Configuración Uso típico
Coincidencia de palabras Idiomas basados en el alfabeto latino

enteras
Caracteres UTF-8
Idiomas chino, japonés y coreano (CJK) con la verificación de tokens habilitada para el
servidor
Palabras claves en CJK en el endpoint
Ver "Acerca de la coincidencia de palabra clave en idioma chino, japonés y coreano

(CJK)" en la página 812.
Coincidencia de palabras Idiomas basados en el alfabeto latino

parciales
Idiomas combinados
Ver "Ejemplos de coincidencia de palabras clave" en la página 815.
Acerca de la coincidencia de palabra clave en idioma chino, japonés

y coreano (CJK)
Los servidores de detección de Symantec Data Loss Prevention versión 14.0 y
posterior admiten el procesamiento de idioma natural para palabras clave en idioma
chino, japonés y coreano (CJK). Cuando el procesamiento de idioma natural para
chino, japonés y coreano está habilitado, el servidor de detección valida los tokens
de CJK antes de informar una coincidencia. Para los idiomas CJK, un token es un
solo carácter que constituye una palabra. Así, la coincidencia de palabras parciales
no se aplica a los idiomas CJK.
La validación de tokens de palabras clave en CJK se utiliza solamente para los
servidores de detección de servidores y se deshabilita de forma predeterminada.
Es necesario habilitar la validación de tokens para cada servidor de detección.
Además es necesario establecer coincidencias con palabras enteras para que la
validación de tokens se aplique.
En el endpoint, se puede utilizar la coincidencia de palabras enteras para palabras
clave en CJK.
Tabla 27-2 resume los casos del uso de la coincidencia de palabras clave para los
idiomas CJK.
Tabla 27-2 Casos del uso de la coincidencia de palabras clave para los idiomas
CJK
Componente de Caso de uso

detección
Servidor Habilite la verificación de tokens en el servidor de detección y utilice la coincidencia de

palabras clave
Ver "Habilitar y usar la verificación de tokens en CJK para la coincidencia de palabras

clave del servidor" en la página 822.
Endpoint Utilice la coincidencia de palabras clave
Ver "Ejemplos de coincidencia de palabras clave para idiomas CJK" en la página 816.
Acerca de la proximidad a la palabra clave

Usando la proximidad a la palabra clave, un autor de políticas puede definir un par
de palabras clave y especificar un intervalo de palabras entre ellas. Si las palabras
aparecen dentro de ese intervalo, se activa una coincidencia. Por ejemplo, una
instancia de la condición El contenido coincide con la palabra clave puede
necesitar que cualquier instancia de las palabras “confidencial” e “información” que
aparezca en un intervalo de 10 palabras entre una y otra active una coincidencia.
Alternativamente, se puede usar la proximidad a la palabra clave para excluir las
palabras coincidentes a una distancia especificada usando la condición “El
contenido coincide con la palabra clave” como excepción de la detección. En
este caso cualquier incidencia de las palabras “confidencial” e “información” dentro
del intervalo de 10 palabras entre cada una se exceptúa de la coincidencia.
Para los idiomas chino, japonés y coreano (CJK), un solo carácter CJK se considera
una palabra.
Ver "Sintaxis de coincidencia de palabra clave" en la página 813.
en la página 819.
Sintaxis de coincidencia de palabra clave

Cuando se define una regla de palabra clave, el sistema evalúa cada palabra clave
de la lista de condiciones frente a cada componente de mensaje (encabezado,
asunto, cuerpo, archivo adjunto).
Tenga en cuenta las instrucciones sintácticas siguientes al crear la lista de palabras
clave.
Tabla 27-3 Sintaxis de coincidencia de palabra clave
Comportamiento Descripción
Coincidencia de Con la coincidencia de palabras enteras, las palabras clave coinciden en los límites de palabra
palabras enteras solamente (\W en el léxico de expresiones regulares). Cualquier carácter, a excepción de A-Z,
a-z y 0-9, se interpreta como límite de palabra.
Con la coincidencia de palabras enteras, las palabras clave deben tener por lo menos un
carácter alfanumérico (una letra o un número). Una palabra clave que incluye solamente
caracteres de espacio en blanco (por ejemplo, “..”) se omite.
Comillas No use comillas cuando especifica palabras claves o frases porque las comillas se interpretan
literalmente y se requerirán para generar coincidencias.
Espacio en blanco Los sistemas eliminan el espacio en blanco antes y después de las palabras claves o las
frases claves. Cada espacio en blanco dentro de una frase clave se tiene en cuenta. Además
de los espacios reales, todos los caracteres con excepción de A-Z, a-z y 0-9 se interpretan
como espacios en blanco.
Distinción de La opción de distinción entre mayúsculas y minúsculas que elija se aplicará a todas las palabras
mayúsculas y clave de la lista de esa condición.
minúsculas
Plurales e inflexiones Todos los plurales y las inflexiones verbales se deben detallar específicamente. Si la cantidad
verbales de enumeraciones se complica, use el carácter comodín (asterisco [*]) para detectar un sufijo
de palabra clave (en modo de palabra completa solamente).
Frases de palabra Es posible especificar frases de palabra clave, como número de la seguridad social (sin
clave comillas). El sistema busca la frase entera sin devolver coincidencias sobre palabras
constitutivas individuales (como social o seguridad).
Variantes de palabras El sistema detecta solamente la palabra clave o la frase clave exacta, no variantes. Por ejemplo,
clave si especifica la frase clave número de la seguridad social, el motor de detección no genera
coincidencia con una frase que contiene dos espacios entre las palabras.
Varias palabras El sistema implica una O entre las palabras clave. Es decir, un componente del mensaje
claves coincidentes coincide si contiene cualquiera de las palabras clave, no necesariamente todas ellas. Para
generar una coincidencia de palabras cave ALL (todos) o (AND [y]), combine varias condiciones
de palabras clave en una excepción o una regla compuesta.
Comportamiento Descripción
Caracteres Durante la coincidencia de palabras clave, solamente una letra o un dígito se considera una
alfanuméricos posición válida de inicio de la palabra clave. Los caracteres especiales (no alfanuméricos) se
tratan como delimitadores (omitidos). Por ejemplo, el carácter del signo "&" y el carácter de
subrayado ("_") son caracteres especiales y no se consideran para la posición de inicio de la
palabra clave.
Por ejemplo, considere lo siguiente:
____keyword__
Keyword
&&akeyword&&
123Keyword__
Para estos ejemplos, las posiciones válidas de inicio de la palabra clave son las siguientes:
k, K, a y 1.
Nota: Este mismo comportamiento se aplica a los validadores de la palabra clave
implementados en los identificadores de datos.
Proximidad La distancia entre palabras (valor de proximidad) es exclusiva de las palabras clave detectadas.
Así, una distancia entre palabras de 10 permite una ventana de proximidad de 12 palabras.
Ejemplos de coincidencia de palabras clave

Para implementar la coincidencia de palabras clave, se pueden escribir una o más
palabras clave o frases, cada una separada por una coma o carácter de línea
nueva. Es posible establecer coincidencia con palabras enteras o parciales, y
especificar si se deben distinguir mayúsculas y minúsculas. Es posible usar el
carácter comodín del asterisco (*) para detectar un sufijo de la palabra clave (en
modo de palabras completas solamente).
Tabla 27-4 Ejemplos de coincidencia de palabras clave
Tipo de palabra Palabra(s) clave(s) Coincidencias No coincide

clave
palabra clave confidencial confidencial confidencialmente

(en modo de
-confidencial;
palabras completas
®"confidencial” solamente; de otro
modo, no coincidiría)
®Confidencial
®CONFIDENCIAL
Tipo de palabra Palabra(s) clave(s) Coincidencias No coincide

clave
frase clave uso interno solamente uso interno solamente uso interno
uso interno SOLAMENTE (si
se selecciona No distingue
mayúsculas y minúsculas)
lista de palabras Delimitado por Delimitado por hackeos hackers

clave nueva línea: comas:
hackear shack
hackear hackear, hacker, hacker
hackea
hacker
hackeos
palabra clave con el priv* privado premio

comodín
privilegio prevenir
privado
privacidad
privs
priv
diccionario de número de cuenta, cuenta ps, american Si cualquier palabra o frase amx
palabras clave express, americanexpress, amex, tarjeta clave está presente, se hacen
tarjeta de crédito
bancaria, tarjetabancaria, núm tarjeta, coincidir los datos:
número de tarjeta, # tc, #tc, ntc, tarjeta master card
de débito, tarjeta débito, tarjeta de amex
tar
crédito, # tarjeta de crédito, número de tarjeta de crédito
tarjeta de crédito, # tarjeta crédito, tarjeta
de débito, tarjeta débito, diners club, mastercard
dinersclub, discover, enrutamiento,
japanese card bureau, jcb, mastercard,
mc, visa (etc.)
Ejemplos de coincidencia de palabras clave para idiomas CJK

Tabla 27-5 proporciona ejemplos de coincidencia de palabras clave en los idiomas
chino, japonés y coreano. Todos los ejemplos asumen que la coincidencia de
palabras clave está configurada para coincidir con palabras enteras solamente.
Si se habilita la verificación de tokens, el tamaño del mensaje debe ser suficiente
para que el validador de tokens reconozca el idioma. Por ejemplo: el mensaje “東
京都市部の人口” es demasiado pequeño para que el proceso de validación de
tokens reconozca el idioma del mensaje. El siguiente mensaje tiene suficiente

tamaño para el proceso de validación de tokens:
今朝のニュースによると東京都市部の人口は増加傾向にあるとのことでした。全
国的な人口減少の傾向の中、東京への一極集中を表しています。
La validación de tokens para las palabras claves de idiomas CJK no está disponible
en el endpoint. Para coincidir con idiomas CJK en el endpoint, se configura la
condición para buscar coincidencias con palabras enteras solamente.
Tabla 27-5 Ejemplos de coincidencia de palabras clave para CJK
Idioma Palabra clave Coincidencias en el Coincidencias en el Coincidencias en

servidor con la servidor con la endpoints
validación de tokens validación de tokens
ACTIVADA DESACTIVADA
Chino 通信数字无线通信数字无线通信交通信息数字无线通信交通信息网

网站站
Japonés 京都市京都府京都市左京区京都府京都市左京区東京都府京都市左京区東京

京都市部の人口都市部の人
Coreano 정부 정부의 방침 정부의 방침 의정부 경전 정부의 방침 의정부 경전

철 철
Acerca de las actualizaciones de listas de palabras clave

relacionadas con medicamentos, tratamientos y enfermedades
Las listas de palabras clave relacionadas con medicamentos, tratamientos y
enfermedades se actualizaron con terminología actual basada en la información
de la Administración de Alimentos y Fármacos (FDA) de los EE. UU. y otras fuentes.
enfermedades se utilizan en las plantillas de políticas de HIPAA e HITECH (incluida
PHI [del inglés Protected Health Information: Información Protegida sobre la
Salud]) y del Informe de Caldicott.
Cuando actualiza su sistema de Data Loss Prevention, las plantillas de políticas
genéricas de HIPAA y Caldicott definidas por el sistema se actualizan con las listas
de palabras clave relacionadas con medicamentos, tratamientos y enfermedades.
Sin embargo, las políticas que se han creado sobre la base de las plantillas de
política de HIPAA o Caldicott no se actualizan automáticamente. Se espera este
comportamiento de modo que las actualizaciones a las plantillas definidas por el
sistema no sobrescriban ningún cambio o personalización que haya hecho en sus
Configurar la coincidencia de palabras clave
plantillas de políticas de HIPAA o Caldicott. Actualizar las listas de palabras clave

relacionadas con medicamentos, tratamientos y enfermedades es un proceso
manual que debe realizar para asegurarse de que políticas de HIPAA o de Caldicott
estén actualizadas.
Ver "Mantenga las listas de palabras clave para sus políticas de HIPAA y Caldicott
actualizadas" en la página 825.
Ver "Plantilla de la política HIPAA e HITECH (incluida PHI [del inglés Protected
Health Information: Información Protegida sobre la Salud]) " en la página 1349.

Tabla 27-6 describe los componentes para implementar la coincidencia de palabras
clave.
Tabla 27-6 Implementación de coincidencia de palabra clave
Función de coincidencia de Descripción

palabra clave
Establezca coincidencias con Separe cada palabra clave o frase con una nueva línea o una coma.
palabras clave y frases clave
completas o parciales.
Establezca coincidencias con el Establezca coincidencias con el comodín al final de una palabra clave, solo
carácter de comodín asterisco (*). en modo de palabra completa.
Coincidencia por proximidad a la Establezca coincidencias con un amplio rango de palabras clave.
palabra clave
Ver "Acerca de la proximidad a la palabra clave" en la página 813.
Encontrar palabras clave Implemente una o más palabras clave en identificadores de datos para acotar
el ámbito de detección.
Reglas y excepciones de políticas Es posible implementar condiciones de coincidencia de palabras clave en

reglas y excepciones de políticas.

en la página 819.
Función de coincidencia de Descripción

palabra clave
Coincidencia entre componentes La coincidencia de palabras clave detecta en uno o más componentes de
mensaje.
Diccionario de palabras clave Si tiene un diccionario de palabras claves muy extenso, puede indizar la lista
de palabras clave.
Ver "Utilice VML para generar y para mantener los diccionarios grandes de
palabras clave" en la página 827.
Verificación de token de chino, Habilite el servidor de detección para los idiomas CJK y establezca
japonés y coreano (CJK) coincidencias con palabras enteras solamente.
Cómo configurar la condición El contenido coincide con la palabra

clave
La condición El contenido coincide con la palabra clave le permite hacer coincidir
contenido usando palabras y frases clave.
Es posible implementar condiciones de coincidencia de palabras clave en reglas
y excepciones de políticas.
Para configurar la condición El contenido coincide con la palabra clave
1 Agregue una nueva condición de palabra clave a una regla o a una excepción
de políticas, o modifique una existente.
2 Configure los parámetros de coincidencia de la palabra clave.
3 Guarde la política.
Tabla 27-7 Configure la condición El contenido coincide con la palabra clave
Introduzca el tipo de Seleccione si desea que la coincidencia de palabras clave sea:

coincidencia.
Distingue mayúsculas y minúsculas o No distingue mayúsculas y minúsculas.
No distingue mayúsculas y minúsculas es la opción predeterminada.
Elija el separador de Seleccione el separador de la palabra clave para delimitar varias palabras clave:
la palabra clave.
Nueva línea o Coma.
Nueva línea es la opción predeterminada.
Coincidir con alguna Introduzca las palabras o las frases clave que desee hacer coincidir. Use el separador que se
palabra clave. ha seleccionado (nueva línea o coma) para delimitar varias entradas de palabra o frase clave.
Es posible usar el carácter comodín asterisco (*) al finalizar cualquier palabra clave para que
coincida con uno o más caracteres de sufijo en esa palabra clave. Si usa el carácter comodín
asterisco, deberá coincidir con palabras enteras solamente. Por ejemplo, una entrada de
palabra clave confid* coincidiría con “confidencial” y “confíe”, pero no con “encierro”. Mientras
el prefijo de la palabra clave coincida, el motor de detección coincide con los caracteres
restantes usando el comodín.
Configure la La coincidencia por proximidad a la palabra clave le permite especificar un intervalo de detección
coincidencia por entre pares de palabra clave.
proximidad a la
Ver "Acerca de la proximidad a la palabra clave" en la página 813.
palabra clave
(opcional). Para implementar la coincidencia por proximidad a la palabra clave:
■ Seleccione la opción Coincidencia por proximidad a la palabra clave en la sección

“Condiciones” de la interfaz del creador de reglas.
■ Haga clic en Agregar par de palabras clave.
■ Introduzca un par de palabras clave.
■ Especifique la Distancia entre palabras.
La distancia máxima entre las palabras clave es 999, según lo limitado por la longitud
tridigital del campo “Distancia entre palabras”. La distancia entre palabras es exclusiva de
las palabras clave detectadas. Por ejemplo, una distancia entre palabras de 10 permite un
intervalo de 12 palabras, incluidas las dos palabras que comprenden los pares de palabra
clave.
■ Repita el proceso para agregar pares adicionales de palabra clave.
El sistema conecta varias entradas de pares de palabra clave mediante el operador booleano
O, lo que significa que el motor de detección evalúa cada par de palabra clave
independientemente.
Establecer Seleccione la opción Solo palabras completas para que coincidan con palabras claves enteras
coincidencia con solamente (de forma predeterminada esta opción se selecciona).
palabras clave
Es necesario hacer coincidir con palabras enteras solamente si se usa el carácter comodín
completas o
asterisco (*) en cualquier palabra clave que se escriba en la lista.
parciales.
Es necesario hacer coincidir con palabras enteras solamente si ha habilitado la validación de

token para el servidor.
Configure las La coincidencia de palabras clave le permite especificar cómo desea contar coincidencias de
condiciones de la condición.
coincidencia. Seleccione una de las siguientes opciones:
El sistema informa un incidente para todas las coincidencias.
■ Contar todas las coincidencias y solo informar incidentes con al menos 1 coincidencia
(valor predeterminado)
Con la configuración predeterminada, el sistema informa un incidente para cada coincidencia.
Alternativamente, se puede configurar el umbral de la coincidencia cambiando el valor
predeterminado de 1 a otro valor.
Seleccione La detección de coincidencias de palabras clave admite la coincidencia en varios componentes

componentes para de mensaje.
establecer una
coincidencia.
Seleccione uno o más componentes de mensaje para establecer una coincidencia:
■ Sobre : metadatos del encabezado usados para transportar el mensaje

■ Asunto : asunto del correo electrónico del mensaje (se aplica solamente al SMTP)
■ Cuerpo : el contenido del mensaje
Nota: En el endpoint, el Agente DLP coincide con el mensaje entero, no con componentes
individuales.
También hacer Seleccione esta opción para crear una condición compuesta. Todas las condiciones se deben
coincidir una o más cumplir para informar una coincidencia.
condiciones
adicionales.
Habilitar y usar la verificación de tokens en CJK para la coincidencia

de palabras clave del servidor
Para utilizar la verificación de tokens para chino, japonés y coreano (CJK), debe
habilitarla en el servidor y es necesario utilizar la coincidencia de palabras enteras
para la condición de palabra clave. Además, debe haber una cantidad suficiente
de texto de mensaje para que el sistema reconozca el idioma.
Tabla 27-8 enumera y describe el parámetro del servidor de detección que le deja
habilitar la verificación de tokens para idiomas CJK.
Tabla 27-8 Parámetro de verificación de tokens de palabras clave

predeterminada
Keyword.TokenVerifierEnabled false De forma predeterminada, está deshabilitado ("false").
Si está habilitado ("true"), el servidor valida los tokens

para palabras claves en chino, japonés y coreano.
Habilitar la verificación de tokens de palabras clave para CJK describe cómo habilitar
y utilizar la verificación de tokens para las palabras claves en CJK.
Habilitar la verificación de tokens de palabras clave para CJK
1 Inicie sesión en Enforce Server como usuario administrativo.
2 Vaya a la pantalla Sistema > Servidores y detectores > Descripción general
> Detalles del servidor/detector: opciones avanzadas para el servidor de
detección o el detector que desea configurar.
3 Localice el parámetro Keyword.TokenVerifierEnabled.
4 Cambie el valor de false (opción predeterminada) a true.
Configurar el parámetro del servidor Keyword.TokenVerifierEnabled en true
habilita la validación de tokens para la detección de palabras clave en CJK.
5 Guarde la configuración del servidor de detección.
6 Recicle el servidor de detección.

7 Configure una condición de palabra clave usando la coincidencia de palabras
enteras.
En la condición, se selecciona la opción Coincidir solo palabras completas.
en la página 819.
Actualización de listas de palabras clave de medicamentos,

enfermedades y tratamientos para sus políticas de HIPAA y Caldicott
Si ha creado una política derivada de la política de HIPAA o de Caldicott y no ha
hecho ningún cambio o personalización en la política derivada, después de la
actualización puede crear una nueva política a partir de la plantilla apropiada y
quitar la vieja política de la producción. Si ha realizado cambios en una política
derivada de la plantilla de la política de HIPAA o de Caldicott y quiere preservar
estos cambios, puede copiar las listas de palabras clave actualizadas de la plantilla
de la política de HIPAA o Caldicott y utilizar las listas copiadas de palabras clave
para actualizar sus políticas de HIPAA o de Caldicott.
Ver "Acerca de las actualizaciones de listas de palabras clave relacionadas con
medicamentos, tratamientos y enfermedades" en la página 817.
Para actualizar listas de palabras clave de medicamentos, enfermedades y
tratamientos para políticas de HIPAA y Caldicott proporciona instrucciones para
actualizar las listas de palabras clave para sus políticas de HIPAA y de Caldicot.
Para actualizar listas de palabras clave de medicamentos, enfermedades y
tratamientos para políticas de HIPAA y Caldicott
1 Cree una nueva política a partir de una plantilla y elija la plantilla de HIPAA o
Caldicott.
2 Edite las reglas de detección para la política.
3 Seleccione la regla Palabras clave relacionadas con fármaco y datos del
paciente (coincidencia de palabras clave).
4 Seleccione la condición El contenido coincide con la palabra clave.
5 Seleccione todas las palabras claves en el campo de datos Hacer coincidir
alguna palabra clave y cópielas al portapapeles.
Prácticas recomendadas para usar coincidencia de palabras clave
6 Pegue las palabras claves copiadas en un archivo de texto denominado Drug

Keywords.txt.
7 Cancele la operación de edición de reglas para volver a la ficha Detección de

la política.
8 Repite el mismo proceso para la regla Palabras clave relacionadas con
tratamientos y datos del paciente (coincidencia de palabras clave).
9 Copie y pegue las palabras clave de la condición en un archivo de texto
denominado Treatment Keywords.txt.
10 Repite el mismo proceso para la regla Palabras clave relacionadas con
enfermedades y datos del paciente (coincidencia de palabras clave).
11 Copie y pegue las palabras clave de la condición en un archivo de texto
denominado Disease Keywords.txt.
12 Actualice sus políticas de HIPAA y de Caldicott derivadas de las plantillas de
HIPAA o Caldicott usando los archivos *.txt de palabras clave que usted
creó.
13 Pruebe sus políticas actualizadas de HIPAA y de Caldicott.
Prácticas recomendadas para usar coincidencia de

palabras clave
La condición El contenido coincide con la palabra clave le permite hacer coincidir
contenido usando palabras y frases clave y las listas o los diccionarios de palabras
clave. En el servidor, la regla de palabra clave coincide en los componentes de
mensaje (encabezado, asunto, cuerpo y archivo adjunto) y admite la coincidencia
de componentes. En el endpoint, la condición de palabras clave coincide con el
mensaje entero.
La Tabla 27-9 resume las prácticas recomendadas de coincidencia de palabras
clave de esta sección.
Tabla 27-9 Resumen de las prácticas recomendadas de coincidencia de palabras

clave
Prácticas recomendadas Más información
Habilite la validación lingüística para la detección Ver "Habilite la verificación de tokens en el servidor para reducir
de palabras clave de CJK en el servidor. los falsos positivos para la detección de palabras clave en CJK"
en la página 825.
Actualice las listas de palabras clave para sus Ver "Mantenga las listas de palabras clave para sus políticas de
políticas de Caldicott y de HIPAA. HIPAA y Caldicott actualizadas" en la página 825.
Prácticas recomendadas Más información
Optimice los validadores de palabras clave para Ver "Adapte las listas de las palabras claves para que los
mejorar la exactitud del identificador de datos. identificadores de datos mejoren la exactitud de la coincidencia"
en la página 826.
Utilice VML para perfilar las listas y los diccionarios Ver "Utilice VML para generar y para mantener los diccionarios
largos de palabras clave grandes de palabras clave" en la página 827.
Utilice la coincidencia de palabras clave para la Ver "Usar la coincidencia de palabras clave para detectar
detección de los metadatos. metadatos del documento" en la página 826.
Habilite la verificación de tokens en el servidor para reducir los falsos

positivos para la detección de palabras clave en CJK
Symantec Data Loss Prevention proporciona validación de tokens para chino,
japonés y coreano (CJK). La validación de tokens se admite para los servidores
de detección y se debe habilitar.
La validación de tokens le permite buscar coincidencias con palabras clave en CJK
usando la coincidencia de palabras enteras y mejora la exactitud total de la
coincidencia para los idiomas CJK. Aunque pueda afectar levemente el rendimiento,
es necesario habilitar la verificación de tokens para cada servidor de detección
donde se implementen condiciones de palabra clave en CJK. Una vez habilitada,
puede utilizar la coincidencia de palabras enteras para palabras clave en CJK.
Ver "Habilitar y usar la verificación de tokens en CJK para la coincidencia de
palabras clave del servidor" en la página 822.
Mantenga las listas de palabras clave para sus políticas de HIPAA

y Caldicott actualizadas
Para cada versión de Symantec Data Loss Prevention, las listas de palabras clave
de medicamentos, tratamientos y enfermedades se actualizan basadas en la
información de la Administración de Alimentos y Fármacos (FDA) de EE. UU. y
otras fuentes. Estas listas de palabras clave se utilizan en las plantillas de políticas
de HIPAA e HITECH (incluida PHI [del inglés Protected Health Information:
Información Protegida sobre la Salud]) y del Informe de Caldicott.
Ver "Acerca de las actualizaciones de listas de palabras clave relacionadas con
medicamentos, tratamientos y enfermedades" en la página 817.
Si ha actualizado a la versión más reciente de Data Loss Prevention y tiene políticas

existentes derivadas de la plantilla de la política de HIPAA o Caldicott, considere
actualizar sus políticas de HIPAA y Caldicott para utilizar las listas de palabras
clave de medicamentos, tratamientos y enfermedades proporcionadas con esta
versión de Data Loss Prevention.
Adapte las listas de las palabras claves para que los identificadores
de datos mejoren la exactitud de la coincidencia
Muchas definiciones de identificador de datos contienen validadores de palabras
clave necesarios con las listas de palabras clave previamente confeccionadas.
Además, se puede agregar su propia lista de palabras clave a una regla de
identificador de datos. Se recomienda ajustar la lista de palabras clave usando una
condición de coincidencia con palabras clave antes de que agregue la lista de
palabras clave a la condición del identificador de datos como validador requerido
u opcional.
Ver "Uso de validadores de patrones" en la página 794.
Para adaptar la lista de palabras clave, tome las palabras clave que desee utilizar
para el validador y póngalas en una política y una condición de regla de coincidencia
de palabras clave separadas. A continuación pruebe la política usando los datos
que deben y no deben coincidir con las palabras clave. La regla de la palabra clave
le permitirá ver las coincidencias resaltadas y ajustar la lista de palabras claves.
Una vez aprobadas, se pueden agregar las palabras clave al identificador de datos
y después probar la política de identificador de datos para garantizar la exactitud.
Usar la coincidencia de palabras clave para detectar metadatos del

documento
Symantec Data Loss Prevention admite la detección de metadatos para ciertos
formatos de documento, como DOCX y PDF. Los servidores de detección y los
agentes DLP admiten la detección de metadatos.
Si desea detectar metadatos del documento, la recomendación es habilitar la
detección para el servidor o el endpoint y utilizar la condición El contenido coincide
con la palabra clave para buscar coincidencias con etiquetas de metadatos.
Ver "Detección de las clasificaciones de Symantec Information Centric Tagging
(ICT) " en la página 408.
Utilice VML para generar y para mantener los diccionarios grandes

de palabras clave
A veces, se puede proteger una larga lista o un diccionario de palabras clave. Un
ejemplo puede ser una lista de nombres de código de proyecto. Es posible utilizar
el aprendizaje de máquina vectorial (VML) para automatizar la detección de listas
largas de palabras clave que sean difíciles de generar, de optimizar y de mantener.
Por ejemplo, usted podría generar un perfil de VML basado en una recopilación
de documentos que contengan las palabras clave que desee detectar. Si desea
detectar las palabras comunes, elimínelas del archivo de palabras vacías de VML.
Ver "Prácticas recomendadas para usar VML" en la página 697.
Capítulo 28
usando expresiones
regulares
■ Presentación de la coincidencia de la expresión regular
■ Acerca del motor actualizado de expresiones regulares
■ Acerca de la escritura de expresiones regulares
■ Cómo configurar la condición El contenido coincide con la expresión regular
■ Prácticas recomendadas para usar la coincidencia de expresiones regulares
Presentación de la coincidencia de la expresión

regular
Data Loss Prevention proporciona la condición de coincidencia de política El
contenido coincide con la expresión regular para coincidir el contenido del
mensaje con el idioma del patrón de expresión regular.
Las expresiones regulares proporcionan un mecanismo para identificar cadenas
de texto, como caracteres, palabras o patrones de caracteres determinados. Puede
usar la condición de expresión regular para que coincida (o excluir de la
coincidencia) caracteres, patrones y cadenas. El recuento de coincidencias únicas
se admite para expresiones regulares.
Cómo detectar el contenido usando expresiones regulares 829
Acerca del motor actualizado de expresiones regulares

en la página 830.
Ver "Prácticas recomendadas para usar la coincidencia de expresiones regulares"
en la página 832.
Acerca del motor actualizado de expresiones

regulares
Los servidores de detección y los agentes endpoint usan un motor común de
expresiones regulares. Este motor común realiza la evaluación de expresiones
regulares a un ritmo más rápido que los motores anteriores. Además, notará las
mejoras del rendimiento cuando tiene conjuntos de políticas de DLP con muchas
reglas de expresiones regulares, ya que la adición de más reglas no genera un
costo en el rendimiento.
Acerca de la escritura de expresiones regulares

Symantec Data Loss Prevention implementa la sintaxis de expresión regular
compatible con PCRE para la coincidencia de condición de política. Tabla 28-1
proporciona algunas construcciones de referencia para escribir expresiones que
coincidan o para excluir caracteres en los mensajes o los componentes de mensaje.
Nota: La coincidencia de patrones del identificador de datos se basa en la sintaxis

de expresión regular. Sin embargo, no todas las construcciones de expresión
regular detalladas en la tabla siguiente son compatibles con los patrones del
identificador de datos. Ver "Acerca de patrones del identificador de datos"
en la página 740.
Tabla 28-1 Construcciones de expresión regular
Construcción de Descripción
expresión regular
. Cualquier carácter único (a excepción de caracteres en una línea nueva)

Nota: El uso del carácter de punto (.) no se admite para los patrones del identificador de
datos.
\d Cualquier dígito (0-9)

Cómo configurar la condición El contenido coincide con la expresión regular
Construcción de Descripción
expresión regular
\s Cualquier espacio en blanco
\w Cualquier carácter de letra (a-z, A-Z, 0-9, _)

Nota: El uso de la construcción \w no coincide con el carácter de subrayado (_) cuando
está implementado en un patrón de identificador de datos.
\D Cualquier carácter a excepción de un dígito
\S Cualquier carácter a excepción de espacios en blanco
[] Los elementos dentro de los corchetes son una clase de carácter (por ejemplo, [abc]
coincide 1 carácter: a, b o c).
^ Al principio de una clase de carácter, lo niega (por ejemplo, [^abc] coincide cualquier
carácter a excepción de a, b o c).
+ Después de una expresión regular significa 1 o más (por ejemplo, \d+ significa 1 o más
dígitos).
? Después de una expresión regular significa 0 o 1 (por ejemplo, \d? significa 1 o ningún
dígito).
* Después de una expresión regular significa cualquier número (por ejemplo, \d* significa 0,
1 o más dígitos).
(?i) Al principio de una expresión regular, la expresión no diferencia entre mayúsculas y minúsculas
(las expresiones regulares distinguen entre mayúsculas y minúsculas de forma
predeterminada).
(?: ) Agrupas las expresiones regulares (?: es una leve mejora del rendimiento).
(?u) Hace que un punto (.) coincida incluso con los caracteres de nueva línea
| Significa O (por ejemplo, A|B significa expresión regular A o expresión regular B).
Cómo configurar la condición El contenido coincide

con la expresión regular
Use la condición El contenido coincide con la expresión regular para coincidir
(o excluir de la coincidencia) caracteres, patrones y cadenas usando expresiones
regulares.
Cómo configurar la condición El contenido coincide con la expresión regular
Para configurar la condición El contenido coincide con la expresión regular

1 Agregue la condición El contenido coincide con la expresión regular a una
política o edite una existente.
2 Configure los parámetros de la condición El contenido coincide con la
expresión regular.
3 Guardar la configuración de políticas.
Tabla 28-2 Parámetros de El contenido coincide con la expresión regular
Coincidir con regex. Especifique una expresión regular que se coincidirá.
Ver "Acerca de la escritura de expresiones regulares" en la página 829.
Configure la cantidad Configure cómo desea contar las coincidencias.

de coincidencias.
Comprobar si existe informa una cantidad de coincidencias de 1 si hay una o más

coincidencias. Para las reglas compuestas o las excepciones, todas las condiciones se
deben configurar de esta manera.
Contar todas las coincidencias informa la suma de todas las coincidencias; se aplica si
cualquier condición usa este parámetro.
Establecer coincidencia Configure la coincidencia en varios componentes seleccionando uno o más componentes
con uno o más del mensaje para que coincida.
componentes del
■ Sobre : el encabezado del mensaje, metadatos de transporte.
mensaje.
■ Asunto : el asunto del correo electrónico (se aplica solamente a los mensajes de correo
electrónico).
■ Archivos adjuntos : el contenido de cualquier archivo adjunto o transportado por el
mensaje.
También hacer coincidir Seleccione esta opción para crear una condición compuesta. Todas las condiciones deben
una o más condiciones coincidir para activar o excluir un incidente.
adicionales.

Prácticas recomendadas para usar la coincidencia de expresiones regulares
Prácticas recomendadas para usar la coincidencia de

expresiones regulares
Esta sección proporciona las consideraciones para implementar la condición de
coincidencia El contenido coincide con la expresión regular en sus políticas de
La Tabla 28-3 resume las prácticas recomendadas de coincidencia de expresiones
regulares de esta sección.
Tabla 28-3 Prácticas recomendadas de expresiones regulares
Utilice los identificadores de datos en vez de las Ver "Use expresiones regulares con moderación para
expresiones regulares en lo posible. lograr un rendimiento eficiente" en la página 833.
Utilice las expresiones regulares escasamente para Ver "Pruebe las expresiones regulares antes de la
permitir el rendimiento eficiente de la política. implementación para mejorar la exactitud" en la página 833.
Use los caracteres de búsqueda anticipada y búsqueda Ver "Uso de los caracteres de búsqueda anticipada y
posterior para mejorar la exactitud de las expresiones búsqueda posterior para mejorar la exactitud de
regulares. expresiones regulares" en la página 833.
Pruebe las expresiones regulares para comprobar la Ver "Pruebe las expresiones regulares antes de la
exactitud y el rendimiento. implementación para mejorar la exactitud" en la página 833.
Cuándo usar la coincidencia de expresiones regulares

Los identificadores de datos son más eficientes que las expresiones regulares
porque los patrones del identificador de datos están ajustados para obtener exactitud
y se validan los datos. Por ejemplo, si desea buscar los números de la seguridad
social, use el identificador de datos del número de la seguridad social (SSN) de
los EE. UU. en vez de una expresión regular.
La condición de expresión regular es útil para hacer coincidir o excluir tipos de
datos únicos para los cuales no hay datos proporcionados por el sistema. Algunos
ejemplos incluyen tipos de datos y números de cuenta internos que pueden variar
enormemente en tamaño, por ejemplo, direcciones de correo electrónico.
Prácticas recomendadas para usar la coincidencia de expresiones regulares
Uso de los caracteres de búsqueda anticipada y búsqueda posterior

para mejorar la exactitud de expresiones regulares
Symantec Data Loss Prevention implementa una mejora significativa para mejorar
el rendimiento de expresiones regulares. Para alcanzar el rendimiento mejorado
de las expresiones regulares, las secciones de búsqueda anticipada y búsqueda
posterior deben coincidir exactamente con una de las secciones estándares
admitidas.
Tabla 28-4 enumera las secciones estándares de búsqueda anticipada y búsqueda
posterior que admite esta mejora del rendimiento. Si cualquier sección se diferencia
incluso levemente, esa sección se ejecuta como parte de la expresión regular sin
la mejora del rendimiento.
Tabla 28-4 Secciones estándar de búsqueda anticipada y búsqueda posterior
Operación Construcción
Búsqueda anticipada (?=(?:[^-\w])|$)
Búsqueda posterior (?<=(^|(?:[^)+\d][^-\w+])))
(?<=(^|(?:[^)+\d][^-\w+])|\t))
Use expresiones regulares con moderación para lograr un

rendimiento eficiente
Las expresiones regulares pueden ser costosas informáticamente hablando. Si
agrega una condición de expresión regular, observe el sistema durante una hora.
Asegúrese de que el sistema no se ralentice y que no haya ningún falso positivo.
Pruebe las expresiones regulares antes de la implementación para

Si implementa la coincidencia de la expresión regular, considere usar una
herramienta de otro fabricante para probar las expresiones regulares antes de
implementar las reglas de políticas en producción. La herramienta recomendada
es RegexBuddy. Otra buena herramienta para probar sus expresiones regulares
es RegExr.
Capítulo 29
Detectar el contenido en
idiomas internacionales
■ Detectar contenido en un idioma que no sea inglés
■ Prácticas recomendadas para detectar el contenido en un idioma que no sea

inglés
Detectar contenido en un idioma que no sea inglés

Las funciones de detección de Symantec Data Loss Prevention admiten muchas
versiones localizadas de los sistemas operativos Microsoft Windows. Para usar
conjuntos de caracteres internacionales, el sistema de Windows en el que ve la
consola de administración de Enforce Server debe contar con las funcionalidades
apropiadas.
Ver "Utilización de caracteres internacionales" en la página 93.
Es posible crear políticas y detectar infracciones usando cualquier idioma admitido.
Es posible usar palabras clave, expresiones regulares y perfiles de datos localizados
para detectar pérdidas de datos. Además, Symantec Data Loss Prevention ofrece
varios identificadores de datos y plantillas de políticas internacionales para proteger
los datos confidenciales.
Ver "Utilice plantillas de políticas internacionales para la creación de políticas"
en la página 835.
Detectar el contenido en idiomas internacionales 835
Prácticas recomendadas para detectar el contenido en un idioma que no sea inglés
Ver "Utilice palabras claves personalizadas para identificadores de datos del

Prácticas recomendadas para detectar el contenido

en un idioma que no sea inglés
Esta sección proporciona algunas prácticas recomendadas para implementar la
detección de contenido en un idioma que no sea inglés.
Actualización a la versión más reciente de Data Loss Prevention

Symantec Data Loss Prevention versión 14.0 incluye varias mejoras para la
detección de idiomas asiáticos, incluyendo EDM de varios tokens y validación
lingüística para palabras claves en chino, japonés y coreano (CJK). Para aprovechar
estas mejoras, actualice sus servidores a la última versión y actualice sus perfiles
de datos exactos.
Ver "Habilite la validación de tokens para establecer coincidencias con palabras
claves en chino, japonés y coreano en el servidor" en la página 839.
Utilice plantillas de políticas internacionales para la creación de

políticas
Symantec Data Loss Prevention proporciona varias plantillas de políticas
internacionales que se pueden implementar rápidamente en la empresa.
Tabla 29-1 Plantillas de políticas internacionales
Números de seguro social de Canadá Esta política detecta los patrones que indican números de seguro social
canadienses.
Ver "Plantilla de políticas de los números de seguro social de Canadá"

en la página 1270.
Informe de Caldicott Esta política protege la información de pacientes del Reino Unido.

Ley de Protección de Datos del año Esta política protege información de identificación personal.
1998
en la página 1278.
Políticas de protección de datos de la Esta política detecta datos personales específicos de las políticas de la UE.
UE
Ley de derechos humanos del Reino Esta política impone el artículo 8 de la ley para los ciudadanos del Reino
Unido (1998) Unido.

en la página 1355.
PIPEDA (Canadá) Esta política detecta datos de cliente de ciudadanos canadienses.
Códigos SWIFT (operaciones bancarias Esta política detecta el uso de códigos bancarios para transferir dinero a
internacionales) través de fronteras internacionales.
Ver "Plantilla de políticas Códigos SWIFT" en la página 1391.
Números de licencias de conducir del Esta política detecta números de licencias de conducir del Reino Unido.
Reino Unido
Ver "Plantilla de políticas de números de licencia de conducir del Reino
Números de registro electoral del Reino Esta política detecta los números de registro electoral del Reino Unido.
Unido
Ver "Plantilla de políticas Números de registro electoral del Reino Unido"
en la página 1393.
Números de seguro nacional del Reino Esta política detecta los números de seguro nacional del Reino Unido.
Unido
Ver "Plantilla de políticas Números de seguro nacional del Reino Unido"
en la página 1394.
Número de Servicio Nacional de Salud Esta política detecta números de identificación personal emitidos por el
del Reino Unido Servicio Nacional de Salud (NHS).
Ver "Plantilla de políticas de número de servicio nacional de salud (NHS)

del Reino Unido" en la página 1393.
Números de pasaporte del Reino Unido Esta política detecta pasaportes válidos del Reino Unido.
Ver "Plantilla de políticas Números de pasaporte del Reino Unido"

en la página 1394.
Números de identificación fiscal del Esta política detecta los números de identificación fiscal del Reino Unido.
Reino Unido
Ver "Plantilla de políticas Números de identificación fiscal del Reino Unido"
en la página 1395.
Utilice palabras claves personalizadas para identificadores de datos

del sistema
Los identificadores de datos ofrecen amplio soporte para detectar contenido
internacional.
Algunos identificadores de datos internacionales ofrecen una alta amplitud de
detección solamente. En este caso, se puede implementar el validador opcional
de Encontrar palabras clave para acotar el ámbito de detección. La implementación
de este validador opcional puede ayudarlo a eliminar cualquier falso positivo que
coincida con su política.
La tabla siguiente proporciona palabras clave para varios identificadores de datos
internacionales.
Para utilizar las palabras claves internacionales para los identificadores de datos
de sistema
1 Cree una política usando un identificador de datos internacionales
proporcionado por el sistema que se detalla en la tabla.
Tabla 29-2
2 Seleccione el validador opcional Encontrar palabras clave.
3 Copie las palabras clave apropiadas de la lista y péguelas separadas por
comas en el campo del validador opcional Encontrar palabras clave.
Tabla 29-2 Listas de palabras clave e identificadores de datos internacionales
Identificador de datos Idioma Palabras clave Traducción al inglés
Burgerservicenummer Neerlandés Persoonsnummer, sofinummer, número de persona, número

(BSN) sociaal-fiscaal nummer, social-fiscal (abreviatura), número
persoonsgebonden social-fiscal, número relacionado
con la persona
Codice Fiscale Italiano codice fiscal, dati anagrafici, partita código fiscal, datos personales,
I.V.A., p. iva número de IVA, número de IVA
Código del INSEE de Francés INSEE, numéro de sécu, code sécu INSEE, número de la seguridad
Francia social, código de la seguridad
social
Identificación de Hong Chino 身份證 , 三顆星 Tarjeta de identidad, tarjeta de Id.

Kong (tradicional) de residente permanente de Hong
Kong
central
oriental
occidental
Id. de la República Chino 身份证,居民信息,居民身份信息 Tarjeta de identidad, información

Popular China (simplificado) del residente, información de la
identificación de residente
Número de registro de Coreano 주민등록번호, 주민번호 Número de registro de residente,

residente de Corea del número de residente
Sur
DNI de España Español DNI DNI

Identificador de datos Idioma Palabras clave Traducción al inglés
Número de AHV de Suiza Francés Numéro AVS, numéro d'assuré, Número de AVS, número de
identifiant national, numéro seguro, identificador nacional,
d'assurance vieillesse, numéro de número de seguro nacional,
sécurité sociale, Numéro AVH número de la seguridad social,
número de AVH
Alemán AHV-Nummer, Matrikelnumme, Número de AHV, número de

Personenidentifikationsnummer registro de Suiza, PIN
Italiano AVS, AVH AVS, AVH
Id. de Taiwán Chino 中華民國國民身分證 Id. de Taiwán

(tradicional)
Habilite la validación de tokens para establecer coincidencias con

palabras claves en chino, japonés y coreano en el servidor
La condición El contenido coincide con la palabra clave admite la coincidencia
de palabras enteras y parciales.
Los servidores de detección de Symantec Data Loss Prevention admiten el
procesamiento de idioma natural para palabras claves en idioma chino, japonés y
coreano (CJK). Si desea detectar las palabras claves en chino, japonés y coreano
(CJK), la recomendación es habilitar la validación de tokens en el servidor de
detección y utilizar la condición de coincidencia de palabras completas para la
palabra clave.
El agente DLP no admite la validación de tokens para CJK. En el endpoint, para
la coincidencia de palabras clave en chino, japonés y coreano (CJK) y de idiomas
combinados, considere usar la coincidencia de palabras parciales.
Con la coincidencia de palabras enteras, las palabras clave coinciden en los límites
de palabra solamente (\W en el léxico de expresiones regulares). Cualquier carácter,
a excepción de A-Z, a-z y 0-9, se interpreta como límite de palabra. Con la
coincidencia de palabras enteras, las palabras clave deben tener por lo menos un
carácter alfanumérico (una letra o un número). Una palabra clave que incluye
solamente caracteres de espacio en blanco (por ejemplo, “..”) se omite.
Capítulo 30
Cómo detectar propiedades
de archivo
■ Presentación de la detección de las propiedades de archivo
■ Configuración de las coincidencias de propiedades del archivo
■ Prácticas recomendadas para usar las coincidencias de las propiedades de

archivo
Presentación de la detección de las propiedades de

archivo
Symantec Data Loss Prevention proporciona diversos métodos para detectar el
contexto de mensajes, archivos y archivos adjuntos. Es posible detectar el tipo, el
tamaño y el nombre de archivos y de archivos adjuntos. Puede también usar estas
condiciones para excluir la coincidencia de archivos y archivos adjuntos.
Ver "Configuración de las coincidencias de propiedades del archivo" en la página 844.
Acerca de la coincidencia de tipo de archivo

Se usa la condición Coincidencia de archivo adjunto del mensaje o tipo de
archivo para que coincida el tipo de archivo de un archivo adjunto de mensaje.
Cómo detectar propiedades de archivo 841
Presentación de la detección de las propiedades de archivo
Symantec Data Loss Prevention admite la identificación de más de 300 tipos de

archivo.
Ver "Formatos compatibles para la identificación de tipo de archivo" en la página 899.
Los siguientes son usos de ejemplo de la coincidencia de archivos adjuntos y de
tipos de archivos del mensaje:
■ Cierto tipo de documento nunca debe salir de la organización (por ejemplo, un
documento PGP o un archivo AutoCAD).
■ Es posible que cierto tipo de coincidencia se produzca solamente en un
documento de cierto tipo, como un documento de Word.
El motor de detección no se basa en la extensión del nombre de archivo para que
coincida el tipo de formato de archivo. Por ejemplo, si un usuario cambia la extensión
del nombre del archivo .mp3 a .doc y envía por correo electrónico el archivo, el
motor de detección puede registrar una coincidencia porque comprueba la firma
binaria del archivo para detectarlo como archivo MP3.
Nota: La coincidencia de tipo de archivo no detecta el contenido del archivo; sino

que detecta solamente el tipo de archivo en función de su firma binaria. Para
detectar contenido, use una condición de coincidencia de contenido.
Ver "Configuración de la condición Coincidencia de archivo adjunto del mensaje o

tipo de archivo" en la página 845.
Acerca del soporte de formatos de archivos para la coincidencia de

tipo de archivo
Symantec Data Loss Prevention admite más de 300 formatos de archivo para la
identificación de tipo de archivo usando la condición de la política Coincidencia
de archivo adjunto del mensaje o tipo de archivo.
Consulte el siguiente vínculo para acceder a una lista completa de formatos de
archivo que esta condición de la política puede reconocer.
Acerca de la identificación de tipos de archivos personalizados

Si el tipo de archivo que desea detectar no se admite como tipo de archivo
predeterminado del sistema, Symantec Data Loss Prevention proporciona la
capacidad de identificar tipos de archivos personalizados con scripts.
Para detectar un tipo de archivo personalizado, use el lenguaje de programación

de scripts de Symantec Data Loss Prevention para escribir un script personalizado
que detecte la firma binaria del formato de archivo que desea proteger. Para
implementar esta condición de coincidencia, debe habilitarla en Enforce Server.
en la página 850.
Ver "Cómo configurar la condición Firma de tipo de archivo personalizado"
en la página 850.
Consulte la Guía de personalización de detección de Symantec Data Loss
Prevention para ver ejemplos y la sintaxis del lenguaje.
Nota: El lenguaje de programación de scripts de Symantec Data Loss Prevention

solamente identifica formatos de archivo personalizados; no extrae contenido de
tipos de archivo personalizados.
Acerca de la coincidencia de tamaño de archivo

Use Coincidencia de archivo adjunto del mensaje o tamaño de archivo para
detectar el contenido en función del tamaño de los componentes determinados del
mensaje de correo electrónico.
Es posible también detectar las coincidencias de la cantidad de archivos adjuntos
al correo electrónico para SMTP.
La condición que se elige cuando se configura esta regla determina cómo se detecta
una coincidencia. Se elige de estas opciones:
■ Único : esta condición detecta una coincidencia cuando el cuerpo de un mensaje
de correo electrónico o de un archivo adjunto de correo electrónico alcanza o
excede el tamaño del archivo que se especifica. La detección se basa en cada
componente individualmente.
Por ejemplo, usted podría especificar una condición donde el tamaño de un
solo archivo sea más de 50 KB (kylobytes). Un mensaje de correo electrónico
con un cuerpo de 20 KB y un archivo adjunto de correo electrónico de 51 KB
coincide porque el archivo adjunto detectado excede los 50 KB. Sin embargo,
un mensaje de correo electrónico con un cuerpo de 20 KB y dos archivos
adjuntos de correo electrónico de 20 KB no coinciden. Aunque el mensaje entero
es de más de 50 KB, cada componente es de menos de 50 KB. Esta regla no
combina el tamaño total del cuerpo o de los archivos adjuntados al correo
electrónico.
■ Tamaño total del archivo adjunto : esta condición para SMTP solamente
detecta una coincidencia cuando el tamaño de un archivo adjunto de correo
electrónico único o de archivos adjuntos combinados alcanza o excede los
criterios del tamaño del archivo que se especifican. La detección se basa
solamente en los archivos adjuntos de correo electrónico y no en el cuerpo del
mensaje de correo electrónico.
Por ejemplo, usted podría especificar una condición donde el tamaño total del
archivo sea más de 50 KB (kylobytes). Un mensaje de correo electrónico con
un cuerpo de 20 KB y un único archivo adjunto de correo electrónico de 40 KB
no coincide porque mientras el correo electrónico total excede los 50 KB, la
condición no se aplica en el cuerpo del mensaje de correo electrónico. Sin
embargo, un mensaje de correo electrónico con un cuerpo de 20 KB y dos
archivos adjuntos de correo electrónico de 30 KB coincide, porque los dos
archivos adjuntos exceden los 50 KB. Además, un correo electrónico con un
archivo ZIP de 40 KB adjuntado no coincidiría, incluso si el tamaño de los
archivos extraídos de ese archivo de almacenamiento excedieran los 50 KB.
El valor predeterminado para la condición Tamaño total del archivo adjunto
es cero. Esta condición tiene un límite de caracteres de cuatro dígitos. Usted
encontrará los errores de validación si se incluyen comas u otros caracteres al
especificar este valor.
■ Cantidad total de archivos adjuntos : esta condición para SMTP solamente
detecta una coincidencia cuando la cantidad de archivos adjuntos de correo
electrónico combinados alcanza o excede los criterios de cantidad de archivos
que se especifican. La detección se basa solamente en la cantidad de archivos
adjuntos de correo electrónico directos combinados. Por ejemplo, usted podría
especificar una condición donde más de cinco archivos sea la cantidad total de
archivos. Un correo electrónico con seis archivos adjuntados coincidiría con
esta condición, pero un correo electrónico con un único archivo de
almacenamiento ZIP adjunto no coincidiría, incluso si el archivo de
almacenamiento ZIP contuviera 20 archivos.
El valor predeterminado para la condición Cantidad total de archivos adjuntos
es cero. Esta condición tiene un límite de caracteres de siete dígitos. Usted
encontrará los errores de validación si se incluyen comas u otros caracteres al
especificar este valor.
Nota: Si las condiciones Tamaño total del archivo adjunto y Cantidad total de
archivos adjuntos se combinan con AND junto con una regla de coincidencia de
contenido, las reglas serán aplicadas a todos los componentes del mensaje. Los
componentes coincidirán solamente con una condición en un incidente, incluso si
infringen más de una de las condiciones.
Configuración de las coincidencias de propiedades del archivo
Las reglas Tamaño total del archivo adjunto y Cantidad total de archivos
adjuntos están disponibles en los endpoint de Windows y de Mac. En Windows,
se aplican a los eventos de Microsoft Outlook e IBM (Lotus) Notes. En Mac, se
aplican a los eventos de Outlook para Mac.
Acerca de la coincidencia de nombres de archivo

Se usa la condición Coincidencia de archivo adjunto del mensaje o nombre
de archivo para detectar los nombres de los archivos y los archivos adjuntos.
Ver "Sintaxis de coincidencias con nombres de archivo" en la página 849.
Ver "Ejemplos de coincidencias con nombres de archivo" en la página 849.
Configuración de las coincidencias de propiedades

del archivo
Tabla 30-1 enumera las condiciones disponibles para implementar las coincidencias
de las propiedades de archivo.
Tabla 30-1 Condiciones de la coincidencia de propiedades del archivo
Coincidencia de archivo Detecte o exceptúe archivos y archivos adjuntos específicos por tipo.
adjunto del mensaje o tipo de
archivo
Ver "Configuración de la condición Coincidencia de archivo adjunto del mensaje o tipo
de archivo" en la página 845.
Coincidencia de archivo Detecte o exceptúe archivos y archivos adjuntos específicos por tamaño.
adjunto del mensaje o
tamaño de archivo
Coincidencia de archivo Detecte o exceptúe archivos y archivos adjuntos específicos por nombre.
adjunto del mensaje o
nombre de archivo
Firma de tipo de archivo Detecte o exceptúe tipos de archivos personalizados.

predeterminado
Configuración de la condición Coincidencia de archivo adjunto del

mensaje o tipo de archivo
La condición Coincidencia de archivo adjunto del mensaje o tipo de archivo
coincide con el tipo de archivo de un componente de mensaje de archivo adjunto.
Es posible configurar una sesión de esta condición en reglas de políticas y
excepciones.
Para configurar la condición de coincidencia de archivo adjunto del mensaje o tipo
de archivo
1 Agregue una condición Coincidencia de archivo adjunto del mensaje o tipo
de archivo a una excepción o regla de política o edite una existente.
2 Configure los parámetros de la condición Coincidencia de archivo adjunto
del mensaje o tipo de archivo.
3 Haga clic en Guardar para guardar la política.
Tabla 30-2 Parámetros de la condición Coincidencia de archivo adjunto del

mensaje o tipo de archivo
Seleccione los tipos de Seleccione todos los formatos que desee hacer coincidir.
archivo que desea que
coincidan.
Haga clic en Seleccionar todo o Anular la selección de todo para seleccionar o para
anular la selección de todos los formatos.
Para seleccionar todos los formatos dentro de cierta categoría (por ejemplo, todos los
formatos de procesamiento de textos), haga clic en el título de la sección.
El sistema implica un operador O entre todos los tipos de archivos que seleccione. Por
ejemplo, si selecciona archivos adjuntos de tipo de archivo Microsoft Word y Microsoft
Excel, el sistema detecta todos los mensajes con documentos adjuntos Word o Excel,
no mensajes con ambos tipos de archivos adjuntos
Establecer coincidencia Esta condición coincide solamente en el componente Archivos adjuntos del mensaje.
solamente con los archivos
adjuntos.
También establecer Seleccione esta opción para crear una condición compuesta. Todas las condiciones
coincidencia con una o más deben coincidir para activar o excluir un incidente.
condiciones adicionales.

mensaje o tamaño de archivo
La condición Coincidencia de archivo adjunto del mensaje o tamaño de archivo
coincide o excluye archivos coincidentes de un tamaño especificado. Es posible
configurar una sesión de esta condición en reglas de políticas y excepciones.
Para configurar la condición de coincidencia de archivo adjunto del mensaje o

tamaño de archivo
1 Agregue Coincidencia de archivo adjunto del mensaje o tamaño de archivo
a una política o edite una política que contenga ya esta regla.
2 Seleccione condición Coincidencia de archivo adjunto del mensaje o tipo
de archivo :
Tabla 30-3 Parámetros de la coincidencia de archivo adjunto del mensaje o

tamaño de archivo
Tamaño de archivo único Seleccione Más de para especificar el tamaño del archivo mínimo para que coincida o
Menos de para especificar el tamaño del archivo máximo para calificar una coincidencia.
Escriba un número y seleccione la unidad de medida: bytes, kilobytes ( KB ), megabytes

( MB ), o gigabytes ( GB ).
Tamaño total del archivo Escriba un número y seleccione la unidad de medida: bytes, kilobytes ( KB ), megabytes
adjunto ( MB ), o gigabytes ( GB ) para calificar una coincidencia.
Cantidad total de archivos Escriba un número para especificar la cantidad de archivos para calificar una coincidencia.
adjuntos
Establecer coincidencia: Seleccione uno o ambos componentes de mensaje en los cuales basar la coincidencia:
■ Sobre : la opción no es aplicable para estas opciones.

■ Asunto : la opción no es aplicable para estas opciones.
■ Cuerpo : el contenido del mensaje (esta opción se aplica solamente al Tamaño de
archivo único).
adicionales.


mensaje o nombre de archivo
La condición Coincidencia de archivo adjunto del mensaje o nombre de
archivo coincide en función del nombre de un archivo adjunto al mensaje. Es
posible configurar una sesión de esta condición en reglas de políticas y excepciones.
Para configurar la condición de coincidencia de archivo adjunto del mensaje o
nombre de archivo
1 Agregue una condición de coincidencia de archivo adjunto del mensaje o
nombre de archivo a una política o edite una existente.
2 Configure los parámetros de la condición Coincidencia de archivo adjunto del
mensaje o tipo de archivo.
Tabla 30-4 Parámetros de la coincidencia de archivo adjunto del mensaje o

nombre de archivo
Especifique el nombre Especifique el nombre del archivo para que coincida, usando el lenguaje de correlación
del archivo. de patrones de DOS para representar patrones en el nombre del archivo.
Separe varios patrones de coincidencia con comas o colocándolos en líneas aparte.
Ver "Sintaxis de coincidencias con nombres de archivo" en la página 849.
Ver "Ejemplos de coincidencias con nombres de archivo" en la página 849.
con los archivos
adjuntos.
una o más condiciones coincidir para activar o exceptuar un incidente.
adicionales.

Sintaxis de coincidencias con nombres de archivo

Para buscar coincidencias con los nombres de archivo, el sistema admite la sintaxis
de coincidencia de patrones del DOS que detecte los nombres de archivo,
incluyendo los comodines.
Cualquier carácter que especifica (con excepción de los operadores del DOS)
coincide exactamente. Para escribir varios nombres de archivo, escríbalos como
valores separados por comas o por espacios de línea.
Tabla 30-5 describe la sintaxis para la condición de Coincidencia de archivo
adjunto del mensaje o nombre de archivo.
Tabla 30-5 Operadores de DOS para la detección del nombre del archivo
Operador Descripción
. Use un punto para separar el nombre del archivo y la extensión.
* Use un asterisco como comodín para que coincida con cualquier número de caracteres (incluido
ninguno).
? Use un signo de interrogación para que coincida con un único carácter.
Ejemplos de coincidencias con nombres de archivo

Tabla 30-6 enumera algunos ejemplos que coinciden con los nombres de archivo
usando la condición Archivo adjunto del mensaje o nombre de archivo.
Tabla 30-6 Ejemplos de coincidencias con nombres de archivo
Objetivo de coincidencia Ejemplo
Para hacer coincidir un nombre de archivo Word que ENG-????????.doc

comienza con ENG, seguido por ocho caracteres
cualesquiera:
Si no está seguro de que es un documento de Word: ENG-????????.*
Si no está seguro de cuántos caracteres hay en el ENG-*.*

nombre:
Objetivo de coincidencia Ejemplo
Para hacer coincidir todos los nombres de archivo que Escríbalos como valores separados por comas:
comienzan con ENG- y todos los que comienzan con
ENG-*.*,ITA-*
ITA-:
O separe los nombres de archivo por espacio de línea:
ENG-*.*
ITA-*
Activar la Firma de tipo de archivo predeterminado en la consola de

políticas
De forma predeterminada, la condición de política Firma de tipo de archivo
predeterminado no se habilita. Para implementar la condición Firma de tipo de
archivo predeterminado, debe habilitarla primero.
Para habilitar la regla de firma de tipo de archivo personalizado
1 Usando un programa de edición de texto, abra el archivo
\SymantecDLP\Protect\config\Manager.properties.
2 Configure el valor del parámetro siguiente en "true":

com.vontu.manager.policy.showcustomscriptrule=true
3 Detenga y reinicie el servicio de Vontu Manager.

4 Vuelva a iniciar sesión en la Consola de administración de Enforce Server y
agregue una nueva política en blanco.
5 Agregue una nueva excepción o regla de detección y, debajo del encabezado
Propiedades del archivo, aparecerá la condición Firma de tipo de archivo
predeterminado.
6 Configure la condición con el script personalizado.
Ver "Cómo configurar la condición Firma de tipo de archivo personalizado"
en la página 850.
Cómo configurar la condición Firma de tipo de archivo personalizado

La condición Firma de tipo de archivo predeterminado coincide con los tipos de
archivos personalizados incluidos en el script. Es posible implementar la condición
Firma de tipo de archivo predeterminado en reglas de políticas y excepciones.
Prácticas recomendadas para usar las coincidencias de las propiedades de archivo

en la página 850.
Para configurar una condición Firma de tipo de archivo personalizado
1 Agregue una condición Firma de tipo de archivo predeterminado a una
regla o una excepción de política, o edite una existente.
2 Configure los parámetros de la condición de firma de tipo de archivo
personalizado.
Tabla 30-7 Parámetros de firma de tipo de archivo personalizado
Escriba el nombre del Especifique el nombre del script. El nombre debe ser único en todas las políticas.
script.
Especifique el script de Escriba el script El tipo de archivo coincide con la firma para detectar la firma binaria del
tipo de archivo tipo de archivo personalizado.
personalizado.
Consulte la Guía de personalización de detección de Symantec Data Loss Prevention para
obtener detalles sobre los scripts personalizados de escritura.
solamente con los
archivos adjuntos.
adicionales.
Prácticas recomendadas para usar las coincidencias

de las propiedades de archivo
Esta sección proporciona las prácticas recomendadas para usar condiciones de
coincidencia de propiedades de archivo para buscar coincidencias de formato de
archivo, tamaño del archivo y nombre de archivo.
Utilice las reglas compuestas de propiedades de archivo para

proteger los archivos de diseño y multimedia
Es posible usar IDM para proteger los archivos o también las reglas de propiedades
de archivo. A menos que se deba proteger un archivo exacto, la recomendación
general es usar las reglas de propiedades de archivo porque hay menos sobrecarga
en la configuración de las reglas.
Por ejemplo, si desea detectar los archivos CAD que contienen diagramas IP, usted
podría indizar estos archivos y aplicar las reglas de IDM para detectarlos.
Alternativamente, usted podría crear una política que contenga una regla de tipo
de archivo que detecte el formato de archivo CAD más una regla de tamaño del
archivo que especifique un umbral de tamaño. El enfoque de las propiedades de
archivo se prefiere en esta situación porque todo lo que realmente importa es
proteger los archivos grandes CAD que potencialmente salen de la compañía. No
hay necesidad de recopilar y de indizar estos archivos para IDM si se puede crear
simplemente las reglas que detectarán el tipo de archivo y el tamaño.
No utilice la coincidencia de tipo de archivo para detectar el contenido

El reconocimiento de tipo de archivo no abre el archivo ni detecta el contenido;
detecta solamente el tipo de archivo basado en la firma binaria del archivo. Para
detectar el contenido, utilice una regla de detección de contenido tal como la
coincidencia de EDM, de IDM, de los identificadores de datos o de la palabra clave.
Para la detección de tipos de archivos personalizados, utilice el lenguaje de
programación de scripts de DLP. Consulte la Guía de personalización de detección
Calcule el tamaño del archivo correctamente para mejorar la

exactitud de la coincidencia
El método del tamaño del archivo cuenta el cuerpo y cualquier archivo adjunto en
el tamaño del archivo que se especifica.
Uso de patrones de expresión para hacer coincidir nombres de

archivos
Las expresiones siguientes de coincidencia de patrones de DOS se proporcionan
como ejemplos para configurar la condición de coincidencia de archivo adjunto del
mensaje o nombre de archivo.
Tabla 30-8 Ejemplos de detección de nombre de archivo
Ejemplo
Cualquier carácter que especifica (con excepción de los operadores del DOS) coincide exactamente.
Por ejemplo, para hacer coincidir un nombre de archivo Word que comienza con ENG, seguido por ocho caracteres
cualesquiera, escriba lo siguiente: ENG-????????.doc,
Si no está seguro de que sea un documento de Word, introduzca: ENG-????????.*.
Si no está seguro de cuántos caracteres siguen a ENG-, escriba lo siguiente: ENG-*.*
Para hacer coincidir todos los nombres de archivo que comienzan con ENG y todos los que comienzan con ITA,
escriba lo siguiente: ENG-*.*, ITA-* (separados por comas) o puede separar los nombres de archivo por espacios de
línea.
Utilice los scripts y los complementos para detectar los tipos de

archivo personalizados
Symantec Data Loss Prevention proporciona dos mecanismos para detectar los
tipos de archivo personalizados: el lenguaje de programación de scripts de DLP y
la SPI de extracción de contenido. Si el único requisito es reconocimiento del tipo
de archivo, puede ser más fácil escribir un script que un complemento de SPI. Pero
puede haber ocasiones donde es inadecuado usar un script.
El lenguaje de programación de scripts no admite los bucles; no se pueden iterar
los bytes del tipo de archivo y hacer un cierto procesamiento. El lenguaje de
programación de scripts se diseña para detectar una firma conocida con un
desplazamiento relativamente conocido. No es posible utilizar el lenguaje de
programación de scripts para detectar los subtipos del mismo tipo de documento.
Por ejemplo, si usted quisiera detectar los archivos protegidos por contraseña pdf,
usted no podría utilizar el lenguaje de programación de scripts. O, si se quisieran
detectar solamente los documentos de Word con seguimiento de cambios activado,
usted tendría que escribir un complemento. Por otra parte, se puede implementar
un script en el endpoint; actualmente los complementos se basan en el servidor
solamente.
Para más información, consulte Guía para desarrolladores de complementos
de extracción de contenido de Symantec Data Loss Prevention y Guía de
personalización de detección de Symantec Data Loss Prevention para
obtener información sobre la escritura de complementos y scripts personalizados,
respectivamente.
Capítulo 31
Cómo detectar incidentes
de red
■ Presentación de la supervisión del protocolo de red
■ Configuración de la condición Supervisión de protocolo para la detección de

red
■ Prácticas recomendadas para usar las coincidencias de protocolo de red
Presentación de la supervisión del protocolo de red

Symantec Data Loss Prevention proporciona la condición Supervisión de protocolo
que permite detectar mensajes de red basados en el método de transporte de
comunicaciones.
Tabla 31-1 enumera los protocolos que Data Loss Prevention admite para la
detección de red.
Tabla 31-1 Protocolos compatibles para la supervisión de red
Protocolo Descripción
Correo El Protocolo simple de transferencia de correo (SMTP) es un protocolo para enviar mensajes
electrónico/SMTP de correo electrónico entre los servidores.
FTP El protocolo de transferencia de archivos (FTP) se usa en Internet para transferir archivos de
un equipo a otro.
HTTP El Protocolo de transferencia de hipertexto (HTTP) es el protocolo subyacente que admite la

Web. HTTP define cómo se formatean y se transmiten los mensajes, y las acciones que los
servidores web y los navegadores deben realizar en respuesta a los diversos comandos.
Cómo detectar incidentes de red 855
Configuración de la condición Supervisión de protocolo para la detección de red
HTTP/SSL El protocolo de transferencia de hipertexto sobre capa de sockets seguros (HTTP) es un protocolo
para enviar datos con seguridad entre un cliente y un servidor.
MI: MSN La mensajería instantánea es un tipo de servicio de comunicaciones que permite crear una sala
de chat privada con otro individuo.
MI: AIM
Data Loss Prevention admite la detección en los siguientes canales de MI.:
MI: AIM
■ Mensajería instantánea AIM
■ Mensajería instantánea MSN
■ Yahoo! Mensajería instantánea
NNTP El protocolo de transporte de noticias en red (NTTP) se usa para enviar, distribuir y recuperar
mensajes de USENET.
TCP: El Protocolo de control de transmisión (TCP) se usa para intercambiar de forma confiable datos
protocolo_personalizado entre equipos por medio de Internet. Esta opción está solamente disponible si definió un puerto
TCP personalizado.

Configuración de la condición Supervisión de

protocolo para la detección de red
Se usa la condición Supervisión de protocolo para detectar incidentes de red. Es
posible implementar una instancia de la condición Supervisión de protocolo en una
o más excepciones y reglas de detección de políticas.
Tabla 31-2 Parámetros de condición Supervisión de protocolo para red
Agregue o modifique la Agregue una nueva condición Supervisión de endpoint o protocolo a una excepción
condición de supervisión o a una regla de políticas, o modifique una condición existente de regla o excepción.
de endpoint o protocolo.

Prácticas recomendadas para usar las coincidencias de protocolo de red
Seleccione uno o más Para detectar Incidentes de Network, seleccione uno o más Protocolos.
protocolos para que
coincida.
■ FTP
■ HTTP
■ HTTPS/SSL
■ MI:AIM
■ MI:MSN
■ MI:Yahoo!
■ NNTP
Configure un protocolo de Seleccione uno o más protocolos personalizados: TCP: custom_protocol.

red personalizado.
Configure la supervisión Ver "Configuración de la condición de supervisión de endpoints" en la página 861.

de endpoint.
Establecer coincidencia La condición de supervisión de protocolo coincide en todo el mensaje, no en componentes

con todo el mensaje. individuales del mensaje.
La opción Sobre se selecciona de forma predeterminada. No es posible seleccionar

componentes individuales del mensaje.
adicionales.
Prácticas recomendadas para usar las coincidencias

de protocolo de red
Esta sección proporciona las prácticas recomendadas para usar condiciones de
coincidencia de propiedades de archivo para buscar coincidencias de formato de
archivo, tamaño del archivo y nombre de archivo.
Utilice políticas separadas para protocolos específicos

Puede usar la detección de coincidencias del protocolo para detectar tráfico de
red, como correo web, red social y protocolos específicos. Para supervisar el
protocolo, considere implementar diversas políticas para cada tipo de protocolo,
Prácticas recomendadas para usar las coincidencias de protocolo de red
como SMTP, TCP, HTTP, FTP, etc. La creación de políticas separadas para
protocolos específicos puede aliviar la reparación y ayudarle a ajustar las políticas.
Considere la colocación en la red del servidor de detección para

admitir la coincidencia de direcciones IP
Puede detectar remitentes/usuarios y destinatarios basados en una o más
direcciones IP. Sin embargo, para lograr esto debe considerar cuidadosamente la
ubicación del servidor de detección en su red.
Si el servidor de detección está instalado entre el proxy web e Internet, la dirección
IP de todo el tráfico web de los individuos de su organización parece provenir del
proxy web. Si el servidor de detección está instalado entre el proxy web y la red
corporativa interna, la dirección IP de todo el tráfico web externo a la organización
parece dirigirse al proxy web.
La práctica recomendada consiste en establecer coincidencias con los nombres
de dominio en lugar de las direcciones IP.
Capítulo 32
Cómo detectar eventos de
endpoint
■ Presentación de la detección de eventos de endpoint
■ Configurar las condiciones de detección de eventos de endpoint
■ Prácticas recomendadas para usar la detección de endpoint
Presentación de la detección de eventos de endpoint

La detección de endpoint hace coincidir los eventos en los endpoints donde el
Agente Symantec DLP está instalado.
Ver "Acerca de la supervisión de Endpoint Prevent" en la página 2031.
Symantec Data Loss Prevention proporciona varios métodos para detectar y excluir
eventos de endpoint y una recopilación de reglas de respuesta para responder a
ellos.
Ver "Acciones de la regla de respuesta para la detección de endpoints"
en la página 1408.
Acerca de la supervisión del protocolo de endpoints

En el endpoint, se puede detectar la pérdida de datos según el protocolo de
transporte, como correo electrónico (SMTP), Web (HTTP) y transferencia de
archivos (FTP).
Cómo detectar eventos de endpoint 859
Tabla 32-1 Protocolos compatibles para la supervisión de endpoints
Correo El Protocolo simple de transferencia de correo (SMTP) es un protocolo para enviar mensajes
electrónico/SMTP de correo electrónico entre los servidores.
FTP El protocolo de transferencia de archivos (FTP) se usa en Internet para transferir archivos de
un equipo a otro.
HTTP El Protocolo de transferencia de hipertexto (HTTP) es el protocolo subyacente que admite la

Web. HTTP define cómo se formatean y se transmiten los mensajes, y las acciones que los
servidores web y los navegadores deben realizar en respuesta a los diversos comandos.
HTTP/SSL El protocolo de transferencia de hipertexto sobre capa de sockets seguros (HTTP) es un protocolo
para enviar datos con seguridad entre un cliente y un servidor.
Acerca de la supervisión de destinos de endpoint

Es posible también detectar pérdidas de datos de endpoint en el destino donde los
datos se copian o se mueven, por ejemplo, la unidad de CD/DVD, el dispositivo
USB o el portapapeles.
Tabla 32-2 Destinos admitidos para la supervisión de endpoint
Destino Descripción
Unidad local Supervise el disco local.
CD/DVD La grabadora de CD/DVD en el equipo de endpoint. Este destino puede ser cualquier
tipo de software de grabación de CD/DVD de otro fabricante.
Dispositivo de almacenamiento Detecte los datos que se transfieren a cualquier eSATA, FireWire o dispositivo de
extraíble almacenamiento con conexión USB.
Copiar a recurso compartido Detecte los datos que se transfieren a cualquier acceso de recurso compartido de
de red red o de archivo remoto.
Impresora/fax Detecte los datos que se transfieren a una impresora o a un fax conectados al equipo
de endpoint. Este destino también puede ser documentos de impresión en archivo.
Portapapeles E portapapeles de Windows usado para copiar y pegar datos entre las aplicaciones
Windows.
Acerca de la supervisión de aplicaciones de endpoint

Es posible crear excepciones para situaciones de uso permisibles.
El Agente DLP supervisa cualquier aplicación de otro fabricante que se agregue y

que configura en la pantalla Sistema > Agentes > Supervisión de aplicaciones.
El Agente DLP supervisa las aplicaciones cuando acceden a archivos confidenciales.
Ver "Adición de una aplicación Windows" en la página 2231.
Acerca de la detección de ubicación de endpoint

Es posible detectar o exceptuar eventos según la ubicación de endpoint.
Usando el método de detección de ubicación de endpoint, se puede elegir detectar
incidentes solamente cuando el endpoint está dentro o fuera de la red.
Por ejemplo, es posible configurar esta condición para que coincida solamente
cuando los usuarios están fuera de la red corporativa porque tiene otras reglas
para detectar incidentes de red. En este caso, implementar el método de detección
de ubicación de endpoint alcanzaría este resultado.
Acerca de la detección de dispositivos endpoint

Symantec Data Loss Prevention le permite detectar o exceptuar los dispositivos
endpoint específicos basados en metadatos descritos del dispositivo. Es posible
configurar una condición para permitir que los usuarios de endpoint copien los
archivos a una clase de dispositivo específica, como unidades USB de un único
fabricante.
Por ejemplo, un autor de políticas tiene un conjunto de unidades flash USB con
números de serie que van de 001 a 010. Estas son las únicas unidades flash a las
que se debe permitir el acceso a los endpoints de la compañía. El administrador
de políticas agrega los metadatos del número de serie en una excepción de una
política de modo que la política se aplique a todas las unidades flash USB, a
excepción de las unidades con el número de serie que cae en los metadatos
001-010. Desde este modo, los metadatos del dispositivo permiten que solamente
los “dispositivos de confianza” puedan llevar datos de la empresa.
Ver "Creación y modificación de configuración de dispositivo endpoint"
en la página 866.
La condición de Id. o clase de dispositivo endpoint detecta los dispositivos de
almacenamiento extraíble específicos basados en sus definiciones. Los parámetros
del destino de endpoint en la condición de la supervisión de endpoint detectan
cualquier dispositivo de almacenamiento extraíble en el endpoint,
Configurar las condiciones de detección de eventos de endpoint

en la página 864.
Configurar las condiciones de detección de eventos

de endpoint
Tabla 32-3 describe los diversos métodos para implementar la supervisión de
eventos de endpoint.
Tabla 32-3 Cómo detectar eventos de endpoint
Condiciones de Detalles
coincidencias de endpoint
Supervisión de protocolos de Detecte los datos de endpoint basados en el protocolo.

endpoint
Ver "Acerca de la supervisión del protocolo de endpoints" en la página 858.
Supervisión de destinos de Detecte los datos de endpoint basados en el destino.

endpoint
Supervisión de aplicaciones de Detecte los datos de endpoint basados en la aplicación.

endpoint
Dispositivo o Id. de clase de Detecte cuando los usuarios mueven datos de endpoint a un dispositivo específico.
Endpoint

en la página 864.
Ubicación del endpoint Detecte cuando endpoint está activado o desactivado en la red corporativa.
Ver "Acerca de la detección de ubicación de endpoint" en la página 860.
Configuración de la condición de supervisión de endpoints

La condición de supervisión de endpoint coincide con protocolos, destinos y
aplicaciones del mensaje de endpoint.
Es posible implementar una instancia de la condición de supervisión de endpoint

en una o más reglas de detección de políticas y excepciones.
Nota: Este tema no abarca la configuración de la supervisión de protocolos de red.

Tabla 32-4 Configure la condición de supervisión de endpoint
Agregue o modifique Agregue una nueva condición Supervisión de endpoint o protocolo

la condición de a una excepción o a una regla de políticas, o modifique una condición
supervisión de existente de regla o excepción.
endpoint.
Seleccione uno o Para detectar incidentes de endpoint, seleccione uno o más Protocolos
más protocolos de de endpoint :
endpoint para que
coincida.
■ HTTP
■ HTTPS/SSL
■ MI: MSN
■ MI: AIM
■ MI: Yahoo
■ FTP
Ver "Acerca de la supervisión del protocolo de endpoints"

en la página 858.
Seleccione uno o Para detectar cuándo los usuarios mueven datos en el endpoint,
más destinos de seleccione uno o más Destinos del endpoint :
endpoint.
■ Unidad local
■ CD/DVD
■ Dispositivo de almacenamiento extraíble
■ Copiar a recurso compartido de red
■ Impresora/fax
■ Portapapeles
Ver "Acerca de la supervisión del protocolo de endpoints"

en la página 858.
Supervise Para detectar cuándo las aplicaciones de endpoint acceden a archivos,

aplicaciones de seleccione la opción de Acceso a archivo por aplicación.
endpoint.
Ver "Acerca de la supervisión de aplicaciones" en la página 2224.
Establecer El agente DLP evalúa todo el mensaje, en lugar de los componentes

coincidencia con de mensaje individuales.
todo el mensaje.
La opción Sobre se selecciona de forma predeterminada. No es
posible seleccionar otros componentes de mensaje.

en la página 423.
También hacer Seleccione esta opción para crear una condición compuesta. Todas
coincidir una o más las condiciones deben coincidir para activar o excluir un incidente.
condiciones
adicionales.
en la página 466.
Cómo configurar la condición de ubicación de endpoint

La condición de ubicación de endpoint coincide con los eventos de endpoint basado
en la ubicación del equipo de endpoint en donde el Agente DLP está instalado.
Es posible implementar una sesión de la condición de ubicación de endpoint en
una o más reglas de detección de políticas y excepciones.
Tabla 32-5 Configure la condición de detección de ubicación de endpoint
Agregue o Agregue una nueva condición de detección de Ubicación de endpoint

modifique la a una regla o una excepción de políticas o modifique una regla o una
condición de excepción de política existente.
ubicación de
endpoint.
Seleccione la Seleccione una de las siguientes ubicaciones de endpoint para

ubicación para supervisar:
supervisar.
■ Fuera de la red corporativa
Seleccione esta opción para detectar o exceptuar eventos cuando
el equipo de endpoint está fuera de la red corporativa.
■ En la red corporativa
Seleccione esta opción para detectar o exceptuar eventos cuando
el equipo de endpoint está dentro de la red corporativa.
Esta opción es la selección predeterminada.
Establecer El Agente DLP evalúa todo el mensaje, en lugar de los componentes

todo el mensaje.
La opción Sobre se selecciona de forma predeterminada. Los otros
componentes de mensaje no están disponibles para la selección.

en la página 423.
También hacer Seleccione esta opción para crear una condición compuesta. Todas
coincidir una o más las condiciones deben coincidir para activar o exceptuar un incidente.
condiciones
adicionales.
en la página 466.

Cómo configurar la condición de Id. o clase de dispositivo endpoint

La condición de Id. o clase de dispositivo endpoint le permite detectar cuándo los
usuarios mueven datos de endpoint a dispositivos específicos.
Es posible implementar la condición de Id. o clase de dispositivo endpoint en una
o más reglas de detección o excepciones de políticas.
Tabla 32-6 Cómo configurar la condición de Id. o clase de dispositivo endpoint
Agregue o Agregue una nueva condición ID o clase de dispositivo endpoint a una

modifique una regla o a una excepción de política o modifique una existente.
condición de
dispositivo
endpoint. Ver "Cómo configurar excepciones de políticas" en la página 463.
Seleccione uno La condición coincide cuando los usuarios mueven datos desde un equipo
o más de endpoint a los dispositivos seleccionados.
dispositivos.
Haga clic en Crear un dispositivo de endpoint para definir uno o más
dispositivos.

en la página 866.
Establecer El Agente DLP coincide con todo el mensaje, en lugar de los componentes
todo el mensaje.
La opción Sobre se selecciona de forma predeterminada. No es posible
seleccionar otros componentes.
También hacer Seleccione esta opción para crear una condición compuesta. Todas las
coincidir una o condiciones deben coincidir para activar o exceptuar un incidente.
más condiciones
Es posible Agregar cualquier condición disponible del menú desplegable.
adicionales.
en la página 466.
Recopilando Id. de dispositivo endpoint para los dispositivos

extraíbles
Agregue la información de los metadatos del dispositivo a Enforce Server y cree
uno o más métodos de detección de políticas que detecten o exceptúen la sesión
del dispositivo o la clase de dispositivo específico. El sistema admite la sintaxis de
la expresión regular para definir los metadatos. El sistema muestra los metadatos
del dispositivo en la pantalla Instantánea de incidente durante la reparación.
en la página 866.
Los metadatos que el sistema necesita para definir la sesión del dispositivo o la
clase de dispositivo es el Id. de sesión de dispositivo. En Windows, se puede
obtener el “Id. de sesión de dispositivo” del administrador de dispositivos.
Además, Symantec Data Loss Prevention proporciona DeviceID.exe para los
dispositivos conectados a los endpoints de Windows y DeviceID para los
dispositivos conectados a los endpoints de Mac. Es posible usar estas utilidades
para extraer la información de expresión regular del dispositivo y de las cadenas
la instancia de Id. del dispositivo. Estas utilidades además informan qué dispositivos
puede reconocer el sistema para la detección. Estas utilidades están disponibles
con los archivos de instalación de Enforce Server.
Ver "Acerca de las utilidades del Id. del dispositivo" en la página 2265.
Nota: El Id. de instancia de dispositivo también es usado por Symantec Endpoint

Protection.
Para obtener el Id. de sesión de dispositivo (en Windows)

1 Haga clic con el botón derecho en Mi PC.
2 Seleccione Administrar.
3 Seleccione el Administrador de dispositivos.
4 Haga clic en el signo más, al lado de cualquier dispositivo, para expandir su
lista de sesiones de dispositivo.
5 Haga doble clic en la sesión del dispositivo. O haga clic con el botón derecho
en la sesión del dispositivo y seleccione Propiedades.
6 Busque en la ficha Detalles para el Id. de sesión de dispositivo.
7 Use el Id. para crear expresiones de metadatos del dispositivo.
en la página 866.
Creación y modificación de configuración de dispositivo endpoint

Es posible configurar uno o más dispositivos para la detección específica de
endpoint. Una vez configuradas las expresiones del dispositivo, se implementa la
condición de Id. o clase de dispositivo endpoint en una o más reglas o excepciones
de políticas para denegar o para permitir el uso de los dispositivos específicos.
Es posible que tenga que denegar o permitir el uso de los dispositivos si los usuarios
del endpoint deben copiar la información confidencial en las unidades USB o las
tarjetas SD proporcionadas por la empresa.
Ver "Recopilando Id. de dispositivo endpoint para los dispositivos extraíbles"
en la página 865.
Nota: Es posible usar la utilidad DeviceID para que los endpoint de Windows y de
Mac generen la información del dispositivo de almacenamiento extraíble. Ver
"Acerca de las utilidades del Id. del dispositivo" en la página 2265.
Para crear y modificar expresiones del Id. del dispositivo endpoint

1 Vaya a la pantalla Sistema > Agente > Dispositivos endpoint.
2 Haga clic en Agregar dispositivo.
3 Escriba el Nombre del dispositivo.
4 Escriba una Descripción del dispositivo.
5 Escriba la expresión de Definición del dispositivo.
La definición del dispositivo debe ajustarse a la sintaxis de la expresión regular.
6 Haga clic en Guardar para guardar la configuración del dispositivo.
7 Implemente la condición de ID o clase de dispositivo endpoint en una regla
de detección o una excepción.
en la página 864.
Tabla 32-7 Expresiones regulares del dispositivo del endpoint de Windows de

ejemplo
Clase de dispositivo Ejemplo de expresión

de ejemplo
Dispositivo USB USBSTOR\\DISK&VEN_SANDISK&PROD_ULTRA_BACKUP&REV_8\.32\\3485731392112B52

genérico
iPod genérico USBSTOR\\DISK&VEN_APPLE&PROD_IPOD&.*
Lexar genérico USBSTOR\\DISK&VEN_LEXAR.*
Unidad de CD IDE\\DISKST9160412ASG__________________0002SDM1\\4&F4ACADA&0&0\.0\.0
Prácticas recomendadas para usar la detección de endpoint
Clase de dispositivo Ejemplo de expresión

de ejemplo
Disco duro USBSTOR\\DISK&VEN_MAXTOR&PROD_ONETOUCH_II&REV_023D\\B60899082H____&0
Blackberry genérico USBSTOR\\DISK&VEN_RIM&PROD_BLACKBERRY...&REV.*
Teléfono celular USBSTOR\\DISK&VEN_PALM&PROD_PRE&REV_000\\FBB4B8FF4CAEFEC11

24DED689&0
Tabla 32-8 Información de expresión regular del endpoint de Mac de ejemplo
Clase de Ejemplo de la información de la expresión regular

dispositivo de
ejemplo
USB SanDisk SanDisk&Cruzer Blade&20051535820CF1302C2E
Tarjeta SD SDC&346128262
Unidad de disco External&RAID&0000000000702293

duro externa
Prácticas recomendadas para usar la detección de

endpoint
Cuando implemente las condiciones de coincidencia de endpoint, tenga presentes
las consideraciones siguientes:
■ Cualquier método de detección que ejecute en endpoint debe coincidir con el
mensaje entero, no con componentes individuales del mensaje.
■ Los métodos Destino del endpoint y Ubicación del endpoint son específicos
para el equipo de endpoint y no se basan en el usuario.
Ver "Distinción entre DGM sincronizada y otros tipos de detección de endpoint"
en la página 889.
■ Es posible que tenga que combinar a menudo métodos de detección y grupos
en endpoint. Tenga presente que el lenguaje de políticas agrega comandos
AND para los métodos de grupo y detección, mientras que en métodos del
mismo tipo, dos reglas por ejemplo, agrega el comando OR.
Capítulo 33
Cómo detectar identidades
descritas
■ Presentación de la coincidencia de identidad descrita
■ Ejemplos de coincidencias de identidad descritas
■ Configurar las condiciones de la política de coincidencia de identidad descrita
■ Prácticas recomendadas para usar la coincidencia de identidad descrita
Presentación de la coincidencia de identidad descrita

La detección de identidad descrita coincide con patrones de remitentes y
destinatarios de correo electrónico, usuarios de Windows, usuarios de MI, dominios
de URL y direcciones IP.
Ver "Configurar las condiciones de la política de coincidencia de identidad descrita"
en la página 871.
Ver "Cómo configurar la condición El remitente/usuario coincide con el patrón"
en la página 871.
en la página 875.
Ejemplos de coincidencias de identidad descritas

Tabla 33-1 enumera y describe algunos ejemplos de coincidencias de contenido
descritas.
Cómo detectar identidades descritas 870
Ejemplos de coincidencias de identidad descritas
Tabla 33-1 Ejemplos a coincidencia de identidad de patrones
Patrón de ejemplo Coincidencias No coincide
fr, cu Todo el correo electrónico SMTP Cualquier correo electrónico

dirigido a una dirección .fr dirigido a una compañía francesa
(Francia) o .cu (Cuba). con la extensión .com en lugar de
.fr.
Cualquier publicación HTTP en

una dirección .fr mediante una
aplicación de correo basada en
Web (como correo de Yahoo).
compañía.com Todo el correo electrónico SMTP Cualquier correo electrónico

dirigido a una URL de dominio SMTP no dirigido a la URL de
específica, como symantec.com. dominio específica.
3rdlevel.compañía.com Todo el correo electrónico SMTP Cualquier correo electrónico

dirigido a un dominio de 3er nivel SMTP no dirigido a un dominio de
específico, como 3er nivel específico.
dlp.symantec.com.
bob@compañía.com Todo el correo electrónico SMTP Cualquier correo electrónico no

dirigido a bob@compañía.com. dirigido específicamente a
bob@compañía.com, por ejemplo:
Todo el correo electrónico SMTP
dirigido a BOB@COMPAÑÍA.COM ■ sally@compañía.com
(el patrón no distingue entre ■ robert.bob@compañía.com
mayúsculas y minúsculas). ■ bob@3ernivel.compañía.com
192.168.0.* Todo el tráfico de correo

Nota: Si la dirección IP no
electrónico, web o URL dirigido
coincide, use una o más URL de
específicamente a 192.168.0.
dominio.
[[0-255].
El resultado asume que la

dirección IP se asigna al dominio
deseado, por ejemplo,
web.compañía.com.
*/local/dom1/dom/dom2/Sym Estas son direcciones de correo

electrónico de ejemplo de Lotus
*/Sym*
Notes.
*/dlp/qa/test/local/Sym*
Configurar las condiciones de la política de coincidencia de identidad descrita
Configurar las condiciones de la política de

coincidencia de identidad descrita
Tabla 33-2 enumera y describe las dos condiciones que Symantec Data Loss
Prevention proporciona para hacer coincidir las identidades descritas.
Ver "Ejemplos de coincidencias de identidad descritas" en la página 869.
Tabla 33-2 Implementación de coincidencia de identidad descrita
El remitente/usuario coincide con el Coincide con una dirección de correo electrónico, una dirección de dominio,
patrón una dirección IP, un nombre de usuario de Windows o un nombre o control
de pantalla de MI.
Ver "Cómo configurar la condición El remitente/usuario coincide con el

patrón" en la página 871.
El destinatario coincide con el patrón Coincide con una dirección de correo electrónico, una dirección del
dominio, una dirección IP o un grupo de noticias.

en la página 875.
Acerca de patrones de remitentes/destinatarios reutilizables

Es posible crear patrones de destinatario y patrones de remitente/usuario
reutilizables para utilizar en las políticas. Los patrones de remitente/destinatario
reutilizables simplifican la creación y la administración de políticas para las políticas
usando tales patrones. Para obtener más información acerca de cómo crear y usar
patrones reutilizables de remitentes/destinatarios, consulte los temas siguientes.
Ver "Configurar un patrón de remitente reutilizable" en la página 874.
Ver "Configurar un patrón de destinatario reutilizable" en la página 877.
Cómo configurar la condición El remitente/usuario coincide con el

patrón
La condición El remitente/usuario coincide con el patrón coincide con las
identidades descritas del remitente del mensaje y del usuario. Es posible usar esta
condición en una regla de detección o una excepción de políticas.
Ver "Prácticas recomendadas para usar la coincidencia de identidad descrita"
en la página 878.
Cómo configurar la condición El remitente/usuario coincide con el patrón describe

el proceso de configuración de la condición El remitente/usuario coincide con
el patrón.
Tabla 33-3 Cómo configurar la condición El remitente/usuario coincide con el

patrón
Escriba uno o más Patrones Patrón de dirección de correo electrónico:

de remitente para establecer
■ Para establecer coincidencias con una dirección de correo electrónico específica,
coincidencias con uno o más
escriba la dirección completa de correo electrónico:
remitentes de mensajes.
sales@symantec.com
Nota: El campo Patrón ■ Para establecer coincidencias con varias direcciones exactas de correo electrónico,
permite datos ilimitados escriba una lista separada por comas:
(limitados solamente por el
john.smith@company.com, johnsmith@company.com,
navegador).
jsmith@company.com
■ Para establecer coincidencias con direcciones parciales de correo electrónico,
escriba uno o más patrones de dominio:
■ Escriba una o más extensiones de dominio de nivel superior, por ejemplo:
.fr, .cu, .in, .jp
■ Escriba uno o más nombres de dominio, por ejemplo:
company.com, symantec.com
■ Escriba uno o más nombres de dominio de tercer nivel (o inferior):
web.company.com, mail.yahoo.com, smtp.gmail.com,
dlp.security.symantec.com
Nombres de usuario de Windows
Escriba los nombres de uno o más usuarios de Windows, por ejemplo:
john.smith, jsmith
Nombre para mostrar de MI
Escriba uno o más nombres de pantalla de MI que se usen en sistemas de mensajería

instantánea, por ejemplo:
john_smith, jsmith
Dirección IP
Escriba una o más direcciones IP que se asignen al dominio con el que desea
establecer coincidencias, por ejemplo:
■ Establecer coincidencia con dirección IP exacta, por ejemplo:

192.168.1.1 o para IPv6 fdda:c450:e808:3020:abcd:abcd:0000:5000
■ Establecer coincidencia con comodín: el carácter asterisco (*) puede sustituir uno
o más campos, por ejemplo:
192.168.1.* o 192.*.168.* o para IPv6 fdda:c450:e808:3:*:*:*:*
Nota: Para IPv6, utilice solamente las direcciones de formato largo.

Seleccione un patrón de Es posible seleccionar un patrón de remitente que se ha guardado para la reutilización
remitente reutilizable en sus políticas. Seleccione Patrón de remitente reutilizable y elija el patrón que
desee de la lista desplegable.
Establecer coincidencia con Esta condición coincide con todo el mensaje. La opción Sobre se selecciona de forma
todo el mensaje. predeterminada. No es posible seleccionar ningún componente de mensaje.
Tampoco hacer coincidir Seleccione esta opción para crear una condición compuesta. Todas las condiciones
condiciones adicionales. deben coincidir para activar un incidente.
Configurar un patrón de remitente reutilizable

Si desea utilizar un patrón de remitente en varias políticas, configure un patrón de
remitente reutilizable. Los patrones de remitente reutilizables se pueden seleccionar
para usar en sus políticas desde la página Configurar política - Editar regla. Es
posible crear, editar y administrar sus patrones de remitente reutilizables desde la
página Patrones de remitente o destinatario. Por ejemplo, si utiliza un patrón de
remitente en 50 políticas, usar un patrón de remitente reutilizable le deja escribir
el patrón de remitentes una sola vez y luego seleccionarlo para cada política.
Además, si es necesario actualizar el patrón de remitente para esas 50 políticas,
se puede editar desde la página Configurar patrón de remitente reutilizable y
los cambios serán aplicados automáticamente a cada política que utilice ese patrón.
Para configurar un patrón de remitente reutilizable
■ Si está configurando una política con una regla El remitente/usuario
coincide con el patrón, en la página Administrar > Políticas > Lista de
políticas > Configurar política - Editar regla, haga clic en Crear patrón
de remitente reutilizable.
■ En la consola de administración de Enforce Server, navegue a Administrar
> Políticas > Patrones de remitente o destinatario y después haga clic
en Agregar > Patrón de remitente.
2 En la sección General de la página Configurar patrón de remitente

reutilizable, escriba un Nombre y una Descripción para su patrón de
remitente reutilizable.
3 En la sección Patrón de remitente, escriba los Patrones de usuario y las

Direcciones IP como se describe en el "tabla de la condición Configurar la
condición El remitente/usuario coincide con el patrón".
5 Para editar un patrón de remitente reutilizable guardado, en la página
Administrar > Políticas > Patrones de remitente o destinatario, haga clic
en la flecha desplegable situada junto al nombre del patrón que desee editar
y después seleccione Editar.
6 Para eliminar un patrón de remitente reutilizable guardado, en la página
en la flecha desplegable situada junto al nombre del patrón que desee eliminar
y después seleccione Eliminar.
Nota: No es posible eliminar un modelo de remitente reutilizable que se esté

utilizando actualmente en alguna política.
Cómo configurar la condición El destinatario coincide con el patrón

La condición El destinatario coincide con el patrón coincide con la identidad
descrita de los destinatarios del mensaje. Es posible usar esta condición en una
regla de detección o una excepción de políticas.
Ver "Definición de patrones de identidad precisos para que coincidan con los
usuarios" en la página 878.
Cómo configurar la condición El destinatario coincide con el patrón define el proceso
para configurar la condición El destinatario coincide con el patrón.
Tabla 33-4 Parámetros de la condición El destinatario coincide con el patrón
Escriba uno o más Patrones Patrón de la dirección de correo electrónico/del grupo de noticias
de destinatario para establecer
Escriba una o más direcciones de correo electrónico o grupo de noticias para
coincidencias con uno o más
establecer coincidencias con los destinatarios deseados.
destinatarios de mensajes.
Separe varias entradas con Para establecer coincidencias con direcciones de correo electrónico específicas,
comas. escriba la dirección completa, como sales@symantec.com. Para establecer
coincidencias con direcciones de correo electrónico de un dominio específico, escriba
Nota: El campo Patrón
el nombre del dominio solamente, por ejemplo, symantec.com.
permite datos ilimitados
(limitados solamente por el Dirección IP
navegador).
Escriba uno o más patrones de dirección IP de resolución para el dominio con el que
desea establecer coincidencias. Puede usar el carácter comodín asterisco (*) para
uno o más campos. Es posible escribir direcciones IPv4 e IPv6 separadas por comas.
Dominio de URL
Escriba uno o más dominios de URL para que coincida con el tráfico basado en Web,
incluyendo el correo electrónico basado en Web y las publicaciones de un sitio web.
Por ejemplo, si desea prohibir la recepción de ciertos tipos de datos mediante Hotmail,
escriba hotmail.com.
Seleccione un patrón de Es posible seleccionar un patrón de destinatario que se ha guardado para la

destinatario reutilizable reutilización en sus políticas. Seleccione Patrón de destinatario reutilizable y elija
el patrón que desee de la lista desplegable.
Configure la cantidad de Seleccione una de las siguientes opciones para especificar el número de destinatarios
coincidencias. del correo electrónico que deben coincidir:
■ Todos los destinatarios deben coincidir (sólo correo electrónico) no cuenta

una coincidencia, a menos que TODOS los destinatarios del mensaje de correo
electrónico coincidan con el patrón especificado.
■ Al menos _ destinatarios deben coincidir (correo electrónico solamente) le
permite especificar el número mínimo de destinatarios del mensaje de correo
electrónico que deban coincidir para ser contado.
Seleccione una de las siguientes opciones para especificar cómo desea contar las
coincidencias:
Informa una cantidad de coincidencias de 1 si hay una o más coincidencias.
Informa la suma de todas las coincidencias.

Establecer coincidencia con Esta condición coincide con todo el mensaje. La opción Sobre se selecciona de forma
todo el mensaje. predeterminada. No es posible seleccionar ningún componente de mensaje.
Tampoco hacer coincidir Seleccione esta opción para crear una condición compuesta. Todas las condiciones
condiciones adicionales. de una regla o una excepción deben coincidir para activar un incidente.
Configurar un patrón de destinatario reutilizable

Si desea utilizar un patrón de destinatario en varias políticas, configure un patrón
de destinatario reutilizable. Los patrones de destinatario reutilizables se pueden
seleccionar para usar en sus políticas desde la página Configurar política - Editar
regla. Es posible crear, editar y administrar sus patrones de destinatario reutilizables
desde la página Patrones de remitente o destinatario. Por ejemplo, si utiliza un
patrón de destinatario en 50 políticas, usar un patrón de destinatario reutilizable le
deja escribir el patrón de destinatario una sola vez y luego seleccionarlo para cada
política. Además, si es necesario actualizar el patrón de destinatario para esas 50
políticas, se puede editar desde la página Configurar patrón de destinatario
reutilizable y los cambios serán aplicados automáticamente a cada política que
utilice ese patrón.
Para configurar un patrón de destinatario reutilizable
■ Si está configurando una política con una regla El destinatario coincide
con el patrón, en la página Administrar > Políticas > Lista de políticas
> Configurar política - Editar regla, haga clic en Crear patrón de
destinatario reutilizable.
■ En la consola de administración de Enforce Server, navegue a Administrar
> Políticas > Patrones de remitente o destinatario y después haga clic
en Agregar > Patrón de destinatario.
2 En la sección General de la página Configurar patrón de destinatario

reutilizable, escriba un Nombre y una Descripción para su patrón de
destinatario reutilizable.
Prácticas recomendadas para usar la coincidencia de identidad descrita
3 En la sección Patrón de destinatario, escriba las Direcciones de correo

electrónico, las Direcciones IP y los Dominios de URL como se describe
en la "tabla de la condición Configurar la condición El destinatario coincide
con el patrón".
5 Para editar un patrón de destinatario reutilizable guardado, en la página
en la flecha desplegable situada junto al nombre del patrón que desee editar
y después seleccione Editar.
6 Para eliminar un patrón de destinatario reutilizable guardado, en la página
en la flecha desplegable situada junto al nombre del patrón que desee eliminar
y después seleccione Eliminar.
Nota: No es posible eliminar un modelo de destinatario reutilizable que se esté

utilizando actualmente en alguna política.
Prácticas recomendadas para usar la coincidencia de

identidad descrita
Esta sección proporciona las consideraciones para implementar las condiciones
El remitente/usuario o El destinatario coincide con el patrón en las reglas o las
excepciones de detección de políticas. Tenga presente estas consideraciones
cuando se implementan estas condiciones.
Definición de patrones de identidad precisos para que coincidan con

los usuarios
Las condiciones de remitente/usuario o destinatario coinciden con todo el mensaje,
no con componentes del mensaje individuales. Si la condición se usa como una
excepción, una coincidencia excluye todo el mensaje, no sólo el encabezado.
Para ambas reglas de coincidencia de identidad descriptas, el sistema denota una
O entre todos los elementos de la lista separados por comas y entre todos los
campos. Por ejemplo, si coincide alguna dirección de correo electrónico de una
lista de direcciones de correo electrónico, la condición informa (o exceptúa) un
incidente. O bien, si coincide una dirección de correo electrónico, un nombre de

dominio o una dirección IP, la condición informa (o exceptúa) un incidente.
Tabla 33-5 describe los tipos de patrones que puede usar para que coincida la
identidad descrita.
Tabla 33-5 Patrones de coincidencia de identidad
Patrón El remitente/usuario coincide con El destinatario coincide con el

el patrón patrón
Dirección de correo electrónico: coincide coincide

completa y parcial
Dirección del dominio: nivel superior coincide coincide

y subdominios
Dirección IP coincide coincide
Nombre de usuario de Windows coincide no coincide
Nombre de pantalla MI/control coincide no coincide
Patrones de grupo de noticias no coincide coincide
Especifique las direcciones de correo electrónico exactamente para

La dirección de correo electrónico debe coincidir exactamente. Por ejemplo,
bob@company.com no coincide con bob@something.company.com. Sin embargo,
un patrón de nombre de dominio como company.com o something.company.com
coincide con bob@something.company.com.
El campo de dirección de correo electrónico no coincide con el remitente o el
destinatario de una publicación web. Por ejemplo, la dirección de correo electrónico
bob@yahoo.com no coincide si Bob usa un navegador web para enviar o recibir
correo electrónico. En este caso, debe usar el patrón de dominio mail.yahoo.com
para que coincida con bob@yahoo.com.
Haga coincidir dominios en vez de direcciones IP para mejorar la

exactitud
El patrón de dominio de URL coincide con el tráfico HTTP a dominios URL
particulares. No escriba la URL completa. Por ejemplo, escriba mail.yahoo.com
en lugar de http://www.mail.yahoo.com.
El sistema no resuelve los dominios URL para direcciones IP. Por ejemplo,
especifica la dirección IP 192.168.1.1 para un dominio específico. Si los usuarios
acceden a la URL de dominio mediante un navegador web, el sistema no establece
coincidencia con los correos electrónicos que se transmiten por medio de la
dirección IP. En este caso, use un patrón de dominio en lugar de una dirección IP,
por ejemplo internalmemos.com.
Puede detectar remitentes/usuarios y destinatarios basados en una o más
direcciones IP. Sin embargo, para lograr esto debe considerar cuidadosamente la
ubicación del servidor de detección en su red. Si el servidor de detección está
instalado entre el proxy web e Internet, la dirección IP de todo el tráfico web de los
individuos de su organización parece provenir del proxy web. Si el servidor de
detección está instalado entre el proxy web y la red corporativa interna, la dirección
IP de todo el tráfico web externo a la organización parece dirigirse al proxy web.
La práctica recomendada consiste en establecer coincidencias con los nombres
de dominio en lugar de las direcciones IP.
Capítulo 34
sincronizadas
■ Presentación de la coincidencia de grupo de directorio (DGM) sincronizada
■ Acerca de la detección de dos niveles para DGM sincronizada
■ Configurar los grupos de usuarios
■ Configurar condiciones de políticas de DGM sincronizadas
■ Prácticas recomendadas para usar DGM sincronizada
Presentación de la coincidencia de grupo de directorio

(DGM) sincronizada
Symantec Data Loss Prevention proporciona coincidencia de grupo de directorio
(DGM) sincronizada para detectar datos basados en identidades exactas de
usuarios, remitentes y destinatarios de dichos datos. Al usar DGM sincronizada,
puede conectar Enforce Server a un servidor de directorio del grupo como Microsoft
Active Directory y detectar usuarios basados en su afiliación de grupo de directorios.
Por ejemplo, es posible que desee aplicar políticas solo al personal del
departamento de ingeniería de su compañía, pero no al personal del departamento
de recursos humanos. La DGM sincronizada le permite hacer esto.
La DGM sincronizada se basa en una configuración Grupo de usuarios que se
completa con usuarios sincronizados del servidor de directorio. Cuando cree una
política de DGM sincronizada , hace referencia a los Grupo de usuarios en la
política. En el tiempo de ejecución, la política DGM sincronizada se aplica solamente
a las identidades en la referencia de Grupo de usuarios por la política. O, considera
Cómo detectar identidades sincronizadas 882
Acerca de la detección de dos niveles para DGM sincronizada
un ejemplo en el que desea crear una política que se aplique a todos en la

organización, excepto al CEO. En este caso puede crear un Grupo de usuarios
que contiene la identidad del CEO como único miembro del grupo. A continuación,
defina una excepción de políticas que haga referencia al Grupo de usuarios del
CEO. En el tiempo de ejecución, la política omite los mensajes enviados o recibidos
por el CEO.
Acerca de la detección de dos niveles para DGM

sincronizada
En el endpoint, la condición Destinatario basado en un grupo de servidores de
directorios requiere detección de dos niveles para Agentes DLP. La condición
correspondiente Remitente/usuario basado en un grupo de servidores de
directorios no requiere detección de dos niveles.
Asegúrese de comprender las implicaciones de la detección de dos niveles antes
de implementar la regla Destinatario de DGM sincronizada en uno o más endpoints.
Para comprobar la detección de dos niveles que está usando, seleccione
\SymantecDLP\Protect\logs\debug\FileReader.log en el servidor de endpoints.
Configurar los grupos de usuarios

La pantalla Administrar > Políticas > Grupos de usuarios muestra los grupos
de usuarios y es el punto de partida para crear un nuevo grupo de usuarios. Los
grupos de usuarios se usan para implementar DGM sincronizada.
en la página 881.
Nota: Los Agentes DLP instalados en los endpoint de Mac no admiten los grupos
de usuarios que usan las condiciones de grupo de Active Directory (AD) en políticas.
El agente de Mac trata las condiciones como Sin coincidencia.
Para crear o modificar un grupo de usuarios

1 Establezca una conexión al servidor de Active Directory con el cual desea
sincronizarlo.
2 En la pantalla Administrar > Políticas > Grupos de usuarios, haga clic en
Crear nuevo grupo.
O bien, para editar un grupo de usuarios existente, seleccione el grupo en la
pantalla Grupos de usuarios.
3 Configure los parámetros del grupo de usuarios según sea necesario.
Nota: Si es la primera vez que configura el grupo de usuarios, es necesario

seleccionar la opción Actualizar el índice del directorio de grupos con
Guardar para completar el grupo de usuarios.
4 Una vez que localiza a los usuarios que desea, use las opciones Agregar y
Eliminar para incluirlos o excluirlos del grupo de usuarios.
Tabla 34-1 Configuración de un grupo de usuarios
Escribir el nombre El Nombre del grupo es el nombre que desea usar para identificar a este grupo.
del grupo.
Use un nombre descriptivo para poder identificarlo fácilmente más tarde.
Escribir la Escriba una breve Descripción del grupo.

descripción del
grupo
Ver qué políticas Inicialmente, cuando crea un nuevo grupo de usuarios, el campo Usado en la política muestra
usa el grupo. Ninguno.
Si ya existe el grupo de usuarios y usted lo modifica, el sistema muestra una lista de las políticas
que implementa el grupo de usuario, asumiendo que una o más políticas basadas en grupo
están creadas para este grupo de usuario.
Actualizar el índice Seleccione (marque) la opción Actualizar el índice del directorio de grupo al guardar para
del directorio de sincronizar el perfil de grupo de usuario con el índice de servidor de directorio más reciente de
grupo al guardar. forma inmediata en Guardar del perfil. Si deja este cuadro no seleccionado (selección anulada),
el perfil se sincroniza con el índice del servidor de directorio basado en la configuración de
conexión de directorio.
Ver "Programación de la indización del servidor del directorio" en la página 171.
Si esta es la primera vez que configura el perfil Grupo de usuarios, debe seleccionar la opción
Actualizar el índice del directorio de grupo al guardar para completar el perfil con la última
replicación de índice del servidor de directorio.
Seleccionar el Seleccione el servidor de directorio que desee usar de la lista Servidor de directorio.
servidor de
Es necesario establecer una conexión al servidor de directorio antes de crear el perfil de grupo
directorio.
de usuarios.
Buscar usuarios Especifique la cadena de búsqueda en el campo de búsqueda y haga clic en Buscar para
específicos en el buscar el directorio para los usuarios específicos. Es posible realizar búsquedas con caracteres
directorio. comodín (*) o de texto literal.
Los resultados de la búsqueda muestran el nombre común (CN) y el nombre distinguido (DN)
del servidor del directorio que contiene al usuario. Estos nombres le otorgan la identidad de
usuario específica. Los resultados se limitan a 1000 entradas.
Haga clic en Borrar para borrar los resultados e iniciar una nueva búsqueda del directorio.
Opciones de criterios de búsqueda de texto literal:
■ Nombre del nodo individual, como "ingeniería" o "contabilidad"
■ Dirección de correo electrónico, como "goakham@symantec-dlp.com"
Opciones de criterio de búsqueda de caracteres comodín:
■ El carácter comodín admitido es un asterisco (*)

■ Ejemplos apropiados de búsqueda de comodín:
■ Gabriel *akha* devuelve "Gabriel Oakham"
■ j* jop* devuelve "Janice Joplin"
■ Búsqueda de comodín incorrecta:
■ No comience la cadena de búsqueda con un comodín; esto perjudicará el rendimiento
de búsqueda del servidor de directorio.
■ Por ejemplo, no se recomienda la búsqueda siguiente: *Gabriel Oakham.
Configurar condiciones de políticas de DGM sincronizadas
Buscar los grupos Puede buscar grupos y usuarios en el árbol del directorio al hacer clic en los nodos individuales
de usuarios en el y expandirlos hasta que vea el grupo o el nodo que desee.
directorio.
Los resultados de la búsqueda muestran el nombre de cada nodo. Estos nombres le otorgan
la identidad de usuario específica.
Los resultados se limitan a 20 entradas de forma predeterminada. Haga clic en Ver más para
ver hasta 1000 resultados.
Agregar un grupo de Para agregar un grupo o un usuario al perfil del grupo de usuarios, selecciónelo del árbol y
usuarios al perfil. haga clic en Agregar.
Una vez que selecciona y agrega el nodo a la columna Grupos agregados, el sistema muestra
el nombre común (CN) y el nombre distinguido (DN).
Guardar el grupo de Haga clic en Guardar para guardar el perfil del grupo de usuarios que ha configurado.
usuarios.
Configurar condiciones de políticas de DGM

sincronizadas
Para implementar políticas de DGM sincronizada, defina Conexión al directorio
con la consola de administración de Enforce Server. La Conexión al directorio
especifica el servidor de directorio que desea usar como información de origen
para definir Grupos de usuarios de identidad exacta. Luego defina uno o más
Grupos de usuarios en la consola de administración de Enforce Server y complete
el grupo al sincronizar los Grupo de usuarios con el servidor de directorio. A
continuación, asocie Grupos de usuarios a la regla de grupo Remitente/usuario
basado en un grupo de servidores de directorios o a la regla de grupo El
destinatario coincide con el grupo de usuarios basado en un grupo de
servidores de directorios.
en la página 881.
Tabla 34-2 describe el proceso para implementar DGM sincronizada.
Tabla 34-2 Flujo de trabajo para implementar DGM sincronizada
1 Crear la conexión al servidor Establezca la conexión de Enforce Server a un servidor de directorio como
de directorio. Microsoft Active Directory.
Ver "Cómo configurar las conexiones al servidor de directorio"

en la página 168.
2 Cree un Grupo de usuarios. Cree uno o más Grupos de usuarios en Enforce Server y complete los
Grupos de usuarios con las identidades exactas de los usuarios, los
grupos y las unidades de negocio que se definen en el servidor de directorio
3 Configure una nueva política Ver "Configuración de políticas" en la página 448.

o edite una política existente.
4 Configure una o más Elija el tipo de regla de DGM sincronizada que desee implementar y
excepciones o reglas del consulte el Grupo de usuarios. Una vez que se vincula la política y el
grupo. grupo, la política se aplica solamente a esas vinculaciones en el Grupo
de usuarios indicado.
Ver "Configuración de la condición Remitente/usuario basado en un grupo

de servidores de directorios" en la página 886.
Ver "Configuración de la condición Destinatario basado en un grupo de

servidores de directorios" en la página 887.
Configuración de la condición Remitente/usuario basado en un grupo

La condición Remitente/usuario basado en un grupo de servidores de
directorios coincide con las infracciones de políticas basadas en remitentes de
mensajes y usuarios de endpoints sincronizados desde un servidor de grupos de
directorios. Es posible implementar esta condición en una regla o una excepción
de grupo de políticas (identidad).
Nota: Si la identidad que se detecta es un usuario, el usuario debe iniciar sesión

activamente en un sistema habilitado por el Agente DLP para que la política
coincida.
Tabla 34-3 Parámetros de la condición El remitente/usuario coincide con el

grupo de usuarios
Seleccione grupos de Seleccione uno o más Grupos de usuarios que desea que esta política detecte.
usuarios para incluir en
Si no ha creado un grupo de usuarios, haga clic en Crear un nuevo grupo de usuario.
esta política.
Establecer coincidencia Esta condición coincide con todo el mensaje. La opción Sobre se selecciona de forma
predeterminada. No es posible seleccionar ningún componente de mensaje.
También hacer coincidir Seleccione esta opción para crear una condición compuesta. Todas las condiciones de
una regla o una excepción deben coincidir para activar un incidente.

en la página 881.
Configuración de la condición Destinatario basado en un grupo de

servidores de directorios
La condición Destinatario basado en un grupo de servidores de directorios
coincide con las infracciones de políticas basadas en los destinatarios específicos
de mensaje sincronizados de un servidor de directorio. Es posible implementar
esta condición en una regla o una excepción de grupo de políticas.
en la página 881.
Nota: La condición Destinatario basado en un grupo de servidores de directorios

requiere detección de dos niveles. Ver "Acerca de la detección de dos niveles para
DGM sincronizada" en la página 882.
Prácticas recomendadas para usar DGM sincronizada
Tabla 34-4 Configuración de la condición Destinatario basado en un grupo de

servidores de directorios
1 Seleccione grupos de Seleccione los grupos de usuarios con los que desea que coincida esta política.
usuarios para incluir en
Si no ha creado un grupo de usuarios, haga clic en la opción Crear un nuevo
esta política.
grupo de usuarios de endpoint.
2 Establecer coincidencia Esta regla detecta todo el mensaje, en lugar de los componentes individuales.
La opción Sobre se selecciona de forma predeterminada. No es posible
seleccionar ningún componente de mensaje.
3 También hacer coincidir Seleccione esta opción para crear una condición compuesta. Todas las
condiciones de una regla o una excepción deben coincidir para activar un
incidente.

en la página 466.

Esta sección contiene algunas consideraciones para tener presentes al implementar
las condiciones de DGM sincronizada en sus políticas.
Actualice el directorio al guardar por primera vez el Grupo de

usuarios
Para ejecutar una regla de políticas basada en un grupo de Active Directory, el
índice que se define en Enforce Server debe completarse primero. Cuando define
primero el Grupo de usuarios, la recomendación es seleccionar la opción "Actualizar
el índice del directorio de grupo al guardar". Esto asegura la sincronización
apropiada de Active Directory con Enforce Server. Una vez que se completa el
Grupo de usuarios, se puede configurar la programación para mantener el grupo
de usuarios en Enforce en sincronización con el servidor de Active Directory.
Un caso de uso para no indizar de forma inmediata es cuando se están creando
varios Grupos de usuarios y se desea indizar una vez que se hayan definido todos
los grupos. En este caso, se puede usar la programación, pero tenga presente que
las políticas basadas en estos índices no se ejecutarán hasta estar completadas.

en la página 881.
Distinción entre DGM sincronizada y otros tipos de detección de

endpoint
Cuando las políticas de DGM sincronizadas se implementan en los servidores de
endpoints, la detección basada en identidad se aplica a los usuarios en un grupo
configurado de endpoints basados en el agente DLP. Con los grupos de usuarios
basados en endpoint, muchos usuarios diferentes pueden iniciar sesión en el mismo
equipo según las prácticas empresariales. La respuesta que cada usuario ve en
ese endpoint varía en función de cómo se agrupan los usuarios. Compare este
estilo de detección de endpoint con los métodos Destino del protocolo de
endpoint o Ubicación de endpoint, que son específicos del endpoint y no se
basan en el usuario.
en la página 881.
Capítulo 35
perfiladas
■ Presentación de la coincidencia de grupo de directorio (DGM)
■ Acerca de la detección de dos niveles para DGM perfilado
■ Configurar perfiles de datos estructurados para DGM
■ Configurar condiciones de políticas de DGM perfiladas
■ Prácticas recomendadas para usar DGM perfilada
Presentación de la coincidencia de grupo de directorio

(DGM)
La Coincidencia de grupo de directorio (DGM) perfilada aprovecha la tecnología
Coincidencia de datos estructurados (EDM) para detectar identidades que se han
indizado desde la base de datos o del servidor de directorio que usaba un perfil
de datos estructurados. Por ejemplo, puede usar DGM perfilada para identificar la
actividad del usuario de la red o para analizar contenido asociado con usuarios,
remitentes o destinatarios determinados. También se puede excluir del análisis a
ciertas direcciones de correo electrónico. Asimismo puede ser recomendable evitar
que ciertas personas envíen información confidencial por correo electrónico.
Ver "Configurar perfiles de datos estructurados para DGM" en la página 891.
La DGM perfilada se distingue de la DGM sincronizada, que usa una conexión a
un servidor de directorio (como Microsoft Active Directory) para coincidir con las
identidades.
Cómo detectar identidades perfiladas 891
Acerca de la detección de dos niveles para DGM perfilado

en la página 881.
Acerca de la detección de dos niveles para DGM

perfilado
DGM perfilado basado en un índice de EDM, basado en servidor. El DMG perfilado
requiere detección de dos niveles para Agentes DLP en el endpoint.
Ver "Acerca de la detección de dos niveles para EDM en el endpoint"
en la página 511.
No es posible combinar el tipo de condición de DGM perfilado con una regla de
respuesta Endpoint: bloquear o Endpoint: notificar en una política. Si lo hace,
el sistema informa que la política está configurada incorrectamente.
Configurar perfiles de datos estructurados para DGM

Para implementar DGM perfilada debe exportar registros de identidad desde una
base de datos o un servidor de directorio, indizar los datos y crear un perfil de datos
estructurados. A continuación, se hace referencia a este perfil en la condición
Remitente o destinatario/usuario correspondiente.
Tabla 35-1 describe el procedimiento para configurar perfiles de datos estructurados
para políticas de DGM.
Tabla 35-1 Flujo de trabajo para implementar DGM perfilada
1 Cree el archivo de origen Cree un archivo de origen de datos a partir del servidor de directorio o la
de datos. base de datos que desee perfilar. Asegúrese de que el archivo del origen
de datos contenga los campos apropiados.
Los campos siguientes se admiten para DGM perfilada:

■ Dirección IP
■ Nombre de usuario de Window (en el formato domain\user)
■ Nombre para mostrar de MI
Ver "Creación de archivo de origen de datos estructurados para DGM

perfilada" en la página 515.
Configurar condiciones de políticas de DGM perfiladas
2 Elabore el archivo de Ver "Configurar los perfiles de datos estructurados" en la página 512.
origen de datos para
indizar.
en la página 516.
3 Cree el perfil de datos Esto incluye cargar el archivo de origen de datos a Enforce Server, asignar
estructurados. campos de información e indizar el origen de datos.

en la página 517.

en la página 520.
Ver "Campos de asignación de perfil de datos estructurados"

en la página 524.

en la página 528.
4 Defina la condición Ver "Configurar la condición Remitente/usuario basado en un directorio

perfilada de DGM. perfilado" en la página 893.
Ver "Configurar la condición Destinatario basado en un directorio perfilado"

en la página 894.
5 Pruebe la política de DGM Use un grupo de políticas de prueba y verifique que las coincidencias de
perfilada. política generadas sean exactas.

en la página 493.

Symantec Data Loss Prevention proporciona dos condiciones de coincidencia para
la DGM perfilada: remitente/usuario y destinatario. Ambas condiciones se pueden
usar como reglas o excepciones de políticas. Por ejemplo, considere una situación
en donde se indiza una lista de direcciones de correo electrónico y de políticas de
DGM perfilada de autor basadas en estos datos indizados. Usted podría escribir
una regla que requiera que el remitente del mensaje sea de la lista indizada para
infringir la política. O, usted podría escribir una excepción que no se infrinja si el
destinatario de un correo electrónico es de la lista indizada.
en la página 515.
Tabla 35-2 Condiciones de DGM perfilada
Remitente/usuario basado en un Si esta condición se implementa como regla de política, una coincidencia
directorio de <perfil de EDM> ocurre solamente si se contiene al remitente o al usuario de los datos en el
perfil del índice. Si esta condición se implementa como excepción de política,
los datos serán exceptuados de la coincidencia si son enviados por un
remitente/un usuario detallado en el perfil del índice.
Destinatario basado en un directorio Si esta condición se implementa como regla de política, una coincidencia
de <perfil de EDM> ocurre solamente si se contiene al destinatario de los datos en el perfil del
índice. Si esta condición se implementa como excepción de política, los datos
serán exceptuados de la coincidencia si son recibidos por un destinatario
detallado en el perfil del índice.
Configurar la condición Remitente/usuario basado en un directorio

perfilado
La regla de detección Remitente/usuario basado en un directorio de le permite
crear reglas de detección basadas en la identidad del remitente o (para los
incidentes de endpoint) la identidad del usuario. Esta condición necesita un perfil
de datos estructurados.
en la página 515.
la regla, el directorio que usted seleccionó y los identificadores de remitente
Tabla 35-3 describe los parámetros para configurar la condición Remitente/usuario
Tabla 35-3 Configurar la condición Remitente/usuario basado en un directorio

de un perfil de EDM
con comas.
Ventas en el cuadro de texto. Si la condición se implementa como regla, en este ejemplo, una
coincidencia ocurre solamente si el remitente o el usuario trabaja en Marketing o Ventas (mientras
el otro contenido de la entrada cumple con el resto de los criterios de la detección). Si la condición
se implementa como excepción, en este ejemplo, el sistema omite la coincidencia de los mensajes
de un remitente o de un usuario que trabaja en Marketing o Ventas.
a cualquier remitente en el Departamento de Ventas, seleccione Departamento de la lista
valor.
Configurar la condición Destinatario basado en un directorio perfilado

La condición Destinatario basado en un directorio de le permite crear los métodos
de detección basados en la identidad del destinatario. Este método necesita un
en la página 515.
la regla, el directorio que usted seleccionó y los identificadores de destinatarios
Tabla 35-3 describe los parámetros para configurar la condición Destinatario
Prácticas recomendadas para usar DGM perfilada
Tabla 35-4 Configurar la condición Destinatario basado en un directorio de un

perfil de EDM
con comas.
Ventas en el cuadro de texto. Para una regla de detección, este ejemplo hace que el sistema
capture un incidente solamente si por lo menos un destinatario trabaja en Marketing o Ventas
(siempre y cuando el contenido de la entrada cumpla el resto de los criterios de detección). Para
una excepción, este ejemplo evita que el sistema capture un incidente si por lo menos un destinatario
trabaja en Marketing o Ventas.
a cualquier destinatario en el Departamento de Ventas, seleccione Departamento de la lista
valor.

Tenga presente las consideraciones en esta sección al implementar la coincidencia
de grupo de directorios (DGM) perfilada.
Siga las prácticas recomendadas de EDM al implementar DGM

perfilada
DGM perfilada utiliza la tecnología de EDM. Siga los procedimientos y las prácticas
recomendadas de EDM al implementar DGM perfilada.
Ver "Acerca de la detección de dos niveles para DGM perfilado" en la página 891.

de datos exactos para DGM perfilado
Es necesario incluir los campos apropiados en el perfil de datos estructurados para
implementar DGM perfilada.
en la página 515.
Si incluye el campo de dirección de correo electrónico en el perfil de datos

estructurados para DGM perfilada y lo asigna al validador de datos de correo
electrónico, la dirección de correo electrónico aparecerá en la lista desplegable
Directorio para EDM (en la página de la reparación).

Network Prevent para Web
Si desea implementar DGM para Network Prevent for Web, use una de las
condiciones de DGM perfilada para implementar la coincidencia de identidades.
Por ejemplo, se puede usar la coincidencia de identidades para bloquear todo el
tráfico web para usuarios específicos. Para Network Prevent for Web, no se pueden
usar las condiciones de DGM sincronizada para este caso de uso.
en la página 515.
en la página 893.
Capítulo 36
Formatos de archivo
admitidos para la detección
■ Descripción general de formatos de archivo admitidos para la detección
■ Formatos compatibles para la identificación de tipo de archivo
■ Formatos admitidos para la extracción de contenido
■ Formatos admitidos de la encapsulación para la extracción del subarchivo
■ Formatos de archivo admitidos para la extracción de metadatos
Descripción general de formatos de archivo admitidos

para la detección
La detección de Symantec Data Loss Prevention utiliza diversos formatos de archivo
para realizar las operaciones siguientes:
■ Identificación de tipo de archivo
■ Extracción de contenido de archivo
■ Extracción del subarchivo
■ Extracción de los metadatos del documento
Tabla 36-1 resume los formatos de archivo que Symantec Data Loss Prevention
admite para la identificación de tipo de archivo y extracción de metadatos,
subarchivo y contenido.
Se configura el sistema para identificar los formatos de archivo individuales usando
la condición Coincidencia de archivo adjunto del mensaje o tipo de archivo.
Formatos de archivo admitidos para la detección 898
Descripción general de formatos de archivo admitidos para la detección
Esta condición ejecuta una coincidencia basada en contexto que identifica solamente
el tipo de formato de archivo; no extrae contenido de los archivos. Además, es
necesario seleccionar explícitamente los formatos de archivo individuales que se
desee detectar.
Cuando se utiliza una condición de detección basada en contenido en una política
(como El contenido coincide con la palabra clave ), el sistema extrae
automáticamente el contenido de los archivos para los formatos de archivo admitidos
(como DOCX, PPTX, XSLX, PDF). Además, el sistema extrae automáticamente
los subarchivos de los formatos de archivo de encapsulación admitidos (como ZIP,
RAR, TAR).
Por último, puede habilitar la extracción de metadatos para un número limitado de
formatos de documento (como DOCX) y utilizar la coincidencia de palabras clave
para detectar los metadatos del documento.
Ver "Acerca de la detección de metadatos del documento" en la página 925.
Nota: Si bien hay un solapamiento entre los tipos de archivo admitidos para la
extracción y para la identificación (porque si el sistema puede abrir el archivo debe
poder identificar su tipo), los formatos admitidos para cada operación son distintos
y se implementan usando diversas condiciones de coincidencia. El número de
formatos de archivo admitidos para la identificación de tipo de archivo es mucho
más amplio que el número de formatos admitidos para la extracción de contenido.
Tabla 36-1 Soporte de formatos de archivo para las operaciones de detección
Tipo de Descripción Configuración Formatos admitidos

operación
Identificación Symantec Data Loss Prevention no Se utiliza de forma explícita la Ver "Formatos compatibles
de tipo de confía en las extensiones de archivo condición de propiedad de para la identificación de tipo
archivo para identificar el formato. El tipo de archivo Coincidencia de de archivo" en la página 899.
archivo es identificado por la firma archivo adjunto del mensaje
binaria única del formato de archivo. o tipo de archivo.
Extracción de El contenido de archivo es cualquier Se utilizan de forma implícita Ver "Formatos admitidos para
contenido de contenido basado en texto que se una o más condiciones de la extracción de contenido"
archivo pueda ver con la aplicación de origen coincidencia de contenido, en la página 914.
o nativa. incluyendo EDM, IDM, VML,
identificadores de datos,
palabra clave, expresiones
regulares.
Formatos compatibles para la identificación de tipo de archivo
Tipo de Descripción Configuración Formatos admitidos

operación
Extracción Los subarchivos son archivos Se utilizan de forma implícita Ver "Formatos admitidos de
del encapsulados en un archivo principal. una o más condiciones de la encapsulación para la
subarchivo Los subarchivos se extraen y se coincidencia de contenido, extracción del subarchivo"
(subarchivo) procesan individualmente para la incluyendo EDM, IDM, VML, en la página 923.
identificación y la extracción del identificadores de datos,
contenido. Si el formato del subarchivo palabra clave, expresiones
no se admite de forma predeterminada, regulares.
un método personalizado se puede
utilizar para detectar y para abrir el
archivo.
Extracción de Los metadatos son información sobre Disponible para las Ver "Formatos de archivo
metadatos el archivo, como autor, versión o condiciones de coincidencia admitidos para la extracción
(metadatos) etiquetas definidas por el usuario. basadas en contenido. Se las de metadatos"
Limitado generalmente a documentos debe habilitar. en la página 924.
Microsoft Office (habilitados para OLE)
y los archivos Adobe PDF. El soporte
de metadatos puede diferir entre el
agente y el servidor.
Los metadatos incluyen etiquetas de

seguridad de datos que fueron creadas
en Information Centric Tagging (ICT).
Formatos compatibles para la identificación de tipo

de archivo
La Tabla 36-2 enumera los tipos de archivo que se pueden identificar usando la
condición de la política Coincidencia de archivo adjunto del mensaje o tipo de
archivo.
El formato de archivo Desconocido identifica cualquier formato que sea desconocido
para Symantec Data Loss Prevention. El formato de archivo Desconocido se admite
solamente para identificación de tipos de archivos. Este tipo identifica archivos que
no son conocidos para Data Loss Prevention y los bloquea usando la regla de tipo
de archivo.
Si el formato de archivo que desea identificar no se admite, se puede utilizar el
lenguaje de programación de scripts de Symantec Data Loss Prevention para
identificar los tipos de archivo personalizados.
Nota: La condición Coincidencia de archivo adjunto del mensaje o tipo de

archivo es una condición de coincidencia basada en contexto que admite solamente
la identificación de tipo de archivo. Esta condición no admite la extracción del
contenido del archivo. Para extraer el contenido del archivo para la evaluación de
políticas es necesario utilizar una regla de detección basada en contenido. Ver
"Formatos admitidos para la extracción de contenido" en la página 914.

en la página 897.
Tabla 36-2 Formatos compatibles para la identificación de tipo de archivo
Formatos Coincidencia de archivo adjunto del mensaje o tipo de archivo
Archivo comprimido 7-Zip (7Z)
Ability Office (SS)
Ability Office (DB)
Ability Office (GR)
Ability Office (WP)
Ability Office (COM)
ACT
Adobe FrameMaker
Formato Adobe Maker Interchange (FrameMaker)
Idioma de marcado de Adobe FrameMaker
Adobe PDF
Comm de Multiplus de AES
Aldus Freehand (Macintosh)
Aldus PageMaker (DOS)
Aldus PageMaker (Macintosh)
Sonido de Amiga IFF-8SVX
Sonido de Amiga MOD

ANSI
Apple Double
Apple Single
Applix Alis
Applix Asterix
Applix Graphics
Applix Presents
Applix Spreadsheets
Applix Words
Archivo de almacenamiento ARC/PAK
ASCII
Codificado PGP con ASCII
Clave pública PGP con ASCII
Firma PGP con ASCII
AIFF (Audio Interchange File Format)
Gráficos de AutoCAD
Intercambio de gráficos de AutoCAD
Animación AutoDesk Animator FLIC
Animación AutoDesk Animator Pro FLIC
AutoDesk WHIP
AutoShade Rendering
BinHex
Gráfico de CADAM (CDD) (servidor solamente)
Superposición de gráficos de CADAM
Gráfico de CATIA (CAT) (servidor solamente)
CCITT Group 3 1-Dimensional (G31D)

COMET TOP Word
Valores separados por comas
Compresor/archivo de almacenamiento Compact Pro
Computer Graphics Metafile
Comunicaciones de Convergent Tech DEF
Corel Draw CMX
Corel Presentations
Corel Quattro Pro (WB2)
Corel Quattro Pro (WB3)
Corel WordPerfect Linux
Corel WordPerfect Macintosh
Corel WordPerfect Windows (WO)
Corel WordPerfect Windows (WPD)
CorelDRAW
Archivo de almacenamiento CPIO (UNIX)
Archivo de almacenamiento CPIO (VAX)
Archivo de almacenamiento CPIO (SUN)
CPT Communication
Sonido de Creative Voice (VOC)
Curses Screen Image (UNIX)
Curses Screen Image (VAX)
Curses Screen Image (SUN)
Formato de intercambio de datos
Data Point VISTAWORD
Base de datos de dBase
DCX Fax
Sistema DCX Fax
DEC WPS PLUS
DECdx
Desktop Color Separation (DCS)
DVI (Device Independent File)
DG CEOwrite
Flujo de datos de campo común de DG (CDS)
Hoja de cálculo de DIF
DDIF (Digital Document Interchange Format)
Compresión de Disk Doubler
DisplayWrite
Idioma de Domino XML
Archivo contenedor EMC EmailXtender (EMX)
ENABLE
Hoja de datos de ENABLE (SSF)
PostScript encapsulado (trama)
Metarchivo mejorado
Envoy (EVY)
Otro ejecutable
UNIX ejecutable
VAX ejecutable
SUN ejecutable
FileMaker (Macintosh)
File Share Encryption
Archivo Folio Flat
Framework
Framework II
Datos de sesión de FTP
Fujitsu Oasys
Imagen de bit de GEMA
GIF
Administrador de entorno de gráficos (GEMA VDI)
GZIP
Haansoft Hangul (Hangul 2010 SE+)
Gráficos de Harvard
Hewlett-Packard
Honey Bull DSA101
Lenguaje de gráficos de HP (HPG) (servidor solamente)
Lenguaje de control de impresora HP (PCL)
HTML
Impresora de líneas IBM 1403
IBM DCA/RFT (texto de forma revisable)
IBM DCA-FFT
Script de IBM DCF
iCalendar
Informix SmartWare II
Archivo Informix SmartWare II Communication
Base de datos de Informix SmartWare II
Hoja de cálculo de Informix SmartWare
Interleaf
Archivo de almacenamiento de Java
JPEG
Formato de intercambio de archivo (JFIF) de JPEG
JustSystems Ichitaro
KW ODA G31D (G31)
KW ODA G4 (G4)
KW ODA Internal G32D (G32)
Mapa de bits sin procesar interno de KW ODA (RBM)
Lenguaje de Lasergraphics
Legato Extender
Otra biblioteca de vínculo
Biblioteca de vínculo UNIX
Biblioteca de vínculo VAX
Biblioteca de vínculo SUN
Lotus 1-2-3 (123)
Lotus 1-2-3 (WK4)
Lotus 1-2-3 Charts
Lotus AMI Pro
Lotus AMI Professional Write Plus
Gráficos de Lotus AMIDraw
Gráficos de Lotus Freelance
Gráficos de Lotus Freelance 2
Mapa de bits de Lotus Notes
Lotus Notes CDF
Base de datos de Lotus Notes
Lotus Pic
Lotus Screen Cam
Lotus SmartMaster
Lotus Word Pro
Lyrix MacBinary
MacBinary
Macintosh Raster
MacPaint
Macromedia (Adobe) Director
Macromedia (Adobe) Flash
MacWrite
MacWrite II
MASS-11
Micrografx Designer
Microsoft Access
Microsoft Advanced Systems Format (ASF)
Carpeta comprimida de Microsoft (LZH)
Carpeta comprimida de Microsoft (LHA)
Mapa de bits independiente del dispositivo (DIB) de Microsoft
Gráficos de Microsoft Excel
Microsoft Excel Macintosh
Windows de Microsoft Excel
Windows de Microsoft Excel XML
Microsoft Office Access (ACCDB)
Dibujos de Microsoft Office
Microsoft OneNote
Carpeta personal de Microsoft Outlook
Microsoft Outlook
Microsoft Outlook Express

Microsoft PowerPoint Macintosh
Microsoft PowerPoint PC
Microsoft PowerPoint Windows
Microsoft PowerPoint Windows XML
Microsoft PowerPoint Windows XML habilitado para macros
Plantilla de Microsoft PowerPoint Windows XML
Plantilla de Microsoft PowerPoint Windows XML habilitado para macros
Demostración de Microsoft PowerPoint Windows XML
Demostración de Microsoft PowerPoint Windows habilitada para macros
Microsoft Project
Microsoft Publisher
Archivo binario de Office cifrado de Microsoft RMS
Archivo de convenciones de empaquetado de Open cifrado de Microsoft RMS
Microsoft Visio
Microsoft Visio 2013
Formato de Microsoft Visio 2013_Macro
Formato de Microsoft Visio 2013_Stencil
Formato de Microsoft Visio 2013_Stencil_Macro
Formato de Microsoft Visio 2013_Template
Microsoft Visio _Template_Macro
Microsoft Visio XML
Microsoft Wave Sound
Gráficos de Microsoft Windows Cursor (CUR)
Archivo de grupo de Microsoft Windows
Archivo de ayuda de Microsoft Windows
Icono de Microsoft Windows (ICO)

Encapsulación OLE 2 de Microsoft Windows
Microsoft Windows Write
Microsoft Word (UNIX)
Microsoft Word Macintosh
Microsoft Word PC
Microsoft Word Windows
Microsoft Word Windows XML
Plantilla de Microsoft Word Windows XML
Plantilla de Microsoft Word Windows XML habilitado para macros
Microsoft Works (Macintosh)
Microsoft Works
Microsoft Works Communication (Macintosh)
Comunicación de Microsoft Works (Windows)
Base de datos de Microsoft Works (Macintosh)
Base de datos de Microsoft Works (PC)
Base de datos de Microsoft Works (Windows)
Hoja de cálculo de Microsoft Works (S30)
Hoja de cálculo de Microsoft Works (S40)
Hoja de cálculo de Microsoft Works (Macintosh)
Microstation
MIDI
MORE Database Outliner (Macintosh)
MPEG-1 Audio layer 3
MPEG-1 Video
MPEG-2 Audio
Formato de archivo por lotes de MS DOS

Controlador de dispositivo de MS DOS
MultiMate 4.0
Hoja de cálculo de Multiplan
Navy DIF
Formato de archivo de almacenamiento de NBI Async
Formato de archivo de red de NBI
Archivo de marcador de Netscape
Archivo de fuentes de NeWS (SUN)
NeXT/Sun Audio
NIOS TOP
Nota Bene
Gráfico de Nurestor (NUR) (servidor solamente)
Formato de documento abierto de Oasis (ODT)
Formato de documento abierto de Oasis (ODS)
Formato de documento abierto de Oasis (ODP)
Módulo UNIX de Objeto
Módulo VAX de Objeto
Módulo SUN de Objeto
ODA/ODIF
ODA/ODIF (FOD 26)
Programa de escritura de Office
Objeto OLE de DIB
OLIDIF
OmniOutliner (OO3)
OpenOffice Calc (SXC)
OpenOffice Calc (ODS)

OpenOffice Impress (SXI)
OpenOffice Impress (SXP)
OpenOffice Impress (ODP)
Programa de escritura de OpenOffice (SXW)
Programa de escritura de OpenOffice (ODT)
Open PGP
Gráficos de metarchivo OS/2 PM
Base de datos (PC) de Paradox
Ejecutable de PC COM
Módulo de la biblioteca del equipo
Módulo de objeto del equipo
PC PaintBrush
Fuente True Type de PC
Imagen de PCD
Hoja de cálculo de PeachCalc
Presentación de persuasión
Archivo de almacenamiento binario PEX (SUN)
Datos comprimidos de PGP
Datos cifrados de PGP
Clave pública de PGP
Clave secreta de PGP
Certificado de firma de PGP
Datos firmados y cifrados de PGP
Datos firmados de PGP
Script de Philips
PKZIP
Plan perfecto
Utilidades de mapa de bits portátil (PBM)
Utilidades portátiles de Greymap (PGM)
Gráficos de red portátiles
Utilidades portátiles de Pixmap (PPM)
Archivo PostScript
PRIMEWORD
Archivo de información de programa
Preguntas más frecuentes sobre DOS
Preguntas más frecuentes sobre Windows
Quadratron Q-One (V1.93J)
Quadratron Q-One (V2.0)
Quark Express (Macintosh)
Metarchivo de QuickDraw 3D (3DMF)
Película de QuickTime
Archivo RAR
RealAudio
Base de datos refleja
Formato de texto enriquecido
Mapa de bits independiente del dispositivo RIFF
RIFF MIDI
Película multimedia RIFF
SAMNA Word IV
Encapsulación SOF (Serialized Object Format)
Imagen de SGI RGB
SGML
SVF (Simple Vector Format)
Documento SMTP
Gráfico de SolidWorks (SLDASM, SLDPRT, SLDDRW)
StarOffice Calc (SXC)
StarOffice Calc (ODS)
StarOffice Impress (SXI)
StarOffice Impress (SXP)
StarOffice Impress (ODP)
StarOffice Writer (SXW)
StarOffice Writer (ODT)
StuffIt Archive (Macintosh)
Imagen de trama de Sun
Definición de vfont de SUN
Hoja de cálculo de Supercalc
Hoja de cálculo de SYLK
Hoja de cálculo de Symphony
Formato de archivo de imagen etiquetado
Archivo de almacenamiento Tape
Targon Word (V 2.0)
Texto de correo (MIME)
Formato de encapsulación de transmisión neutra (TNEF)
Truevision Targa
Hoja de cálculo de Ultracalc
Texto Unicode
Uniplex (V6.01)
Hoja de cálculo de Uniplex Ucalc

Compresión de UNIX
Encapsulación de UNIX SHAR
DESCONOCIDO
Formato de USENET
UUEncoding
Vcard
VCF
Volkswriter
VRML
Encapsulación del encabezado de Wang Office GDL
Equipo WANG
Wang WITA
Comunicaciones de WANG WPS
Cursor animado de Windows
Mapa de bits de Windows
Almacenamiento de objetos de C++ de Windows
Cursor del icono de Windows
Metarchivo de Windows
DRW (Windows Micrografx Draw)
Paleta de Windows
WMV (Windows Media Video)
WMA (Windows Media Audio)
AVI (Windows Media Audio)
WinZip (lector de descompresión)
WinZip
Word Connection
Formatos admitidos para la extracción de contenido
WordERA (V 1.0)
Procesador de textos WordMARC
WordPad
Archivo general de WordPerfect
Gráficos de WordPerfect 1
Gráficos de WordPerfect 2
WordStar
WordStar 2000
WordStar 6.0
WriteNow
Procesador de textos de Asistente para escritura
X Bitmap (XBM)
X Image
X Pixmap (XPM)
Comunicaciones de Xerox 860
Procesador de textos del programa de escritura de Xerox
XHTML
XML (genérico)
Especificación de papel de XML
XyWrite

Symantec Data Loss Prevention abre más de 100 formatos de archivo para realizar
la extracción de contenido. Se utilizan las condiciones de detección basadas en
contenido para abrir un archivo y para extraer su contenido.
La Tabla 36-3 enumera las diversas categorías de formato de archivo cuyo

contenido Symantec Data Loss Prevention puede extraer. Consulte el vínculo
asociado para los formatos de archivo individuales admitidos para esa categoría.
en la página 897.
Tabla 36-3 Categorías de formato de archivo admitidas para la extracción de

contenido
Categoría de formato de archivo Lista predeterminada de compatibilidad
Formatos de archivo de Ver "Formatos de procesamiento de palabras admitidos para la extracción de

procesamiento de palabras contenido" en la página 915.
Formatos de archivo de Ver "Formatos de presentación admitidos para la extracción de contenido"

presentaciones en la página 917.
Formatos de archivo de hojas de Ver "Formatos de hoja de cálculo admitidos para la extracción de contenido"
cálculo en la página 918.
Formatos de archivo de texto y Ver "Formatos admitidos de texto y marcado para la extracción de contenido"
marcado en la página 919.
Formatos de archivo de correo Ver "Formatos de correo electrónico admitidos para la extracción de contenido"
electrónico en la página 920.
Formatos de archivo CAD Ver "Formatos de diseño automatizado admitidos para la extracción de contenido"
en la página 920.
Formatos de archivo de gráficos Ver "Formatos de gráficos admitidos para la extracción de contenido"
en la página 921.
Formatos de archivo de base de Ver "Formatos de bases de datos admitidas para extracción de contenido"
datos en la página 921.
Otros formatos de archivo Ver "Otros formatos de archivo admitidos para la extracción de contenido"
en la página 922.
Formatos de archivo de Ver "Formatos admitidos de la encapsulación para la extracción del subarchivo"
encapsulación en la página 923.
Formatos de procesamiento de palabras admitidos para la extracción

de contenido
La Tabla 36-4 enumera los formatos de archivo de procesamiento de palabras
cuyo contenido Symantec Data Loss Prevention puede extraer para la evaluación
de la política.
Tabla 36-4 Formatos de procesamiento de palabras admitidos para la extracción

de contenido de archivos
Nombre de formato Extensión de formato
Formato Adobe Maker Interchange (FrameMaker) MIF
Páginas de iWork de Apple PÁGINAS
ApplixWords AW
Corel WordPerfect Linux WPS
Corel WordPerfect Macintosh WPS
Corel WordPerfect Windows WO
Corel WordPerfect Windows WPD
DisplayWrite IP
Archivo Folio Flat FFF
Fujitsu Oasys OA2
Haansoft Hangul HWP
IBM DCA/RFT (texto de forma revisable) DC
JustSystems Ichitaro JTD
Lotus AMI Pro SAM
Lotus AMI ProfessionalWrite Plus AMI
LotusWord Pro LWP
Lotus SmartMaster MWP
Microsoft Word PC DOC
Microsoft Word Windows DOC
Microsoft Word Windows XML DOCX
Plantilla de Microsoft Word Windows XML DOTX
Plantilla de Microsoft Word Windows XML habilitado para macros DOTM
Microsoft Word Macintosh DOC
Microsoft Works WPS

Microsoft Windows Write WRI
Microsoft OneNote ONE
OpenOfficeWriter SXW
OpenOfficeWriter ODT
StarOfficeWriter SXW
StarOfficeWriter ODT
WordPad RTF
Especificación de papel de XML XPS
XyWrite XY4
Formatos de presentación admitidos para la extracción de contenido

La Tabla 36-5 enumera los formatos de archivo de presentación cuyo contenido
Symantec Data Loss Prevention puede extraer para la evaluación de la política.
Tabla 36-5 Formatos de presentación admitidos para la extracción de contenido

de archivos
Apple iWork Keynote KEYNOTE
Applix Presents AG
Corel Presentations SHW
Gráficos de Lotus Freelance PRZ
Gráficos de Lotus Freelance 2 PRE
Macromedia Flash SWF
Microsoft PowerPoint Windows PPT
Microsoft PowerPoint PC PPT
Microsoft PowerPoint Windows XML PPTX
Microsoft PowerPoint Windows XML habilitado para macros PPTM
Plantilla de Microsoft PowerPoint Windows XML POTX

Plantilla de Microsoft PowerPoint Windows XML habilitado para macros POTM
Demostración de Microsoft PowerPoint Windows XML PPSX
Demostración de Microsoft PowerPoint Windows habilitada para macros PPSM
Microsoft PowerPoint Macintosh PPT
OpenOffice Impress SXI
OpenOffice Impress SXP
OpenOffice Impress ODP
StarOffice Impress SXI
StarOffice Impress SXP
StarOffice Impress ODP
Formatos de hoja de cálculo admitidos para la extracción de

contenido
La Tabla 36-6 enumera los formatos de archivo de hoja de cálculo cuyo contenido
Tabla 36-6 Formatos de hoja de cálculo admitidos para la extracción de

contenido de archivos
Apple iWork Numbers NUMBERS
Applix Spreadsheets AS
Valores separados por comas CSV
Corel Quattro Pro WB2
Corel Quattro Pro WB3
Formato de intercambio de datos DIF
Lotus 1-2-3 123
Lotus 1-2-3 WK4
Lotus 1-2-3 Charts 123

Windows de Microsoft Excel XLS
Windows de Microsoft Excel XML XLSX
Gráficos de Microsoft Excel XLS
Microsoft Excel 2007 Binary XLSB
Microsoft Excel Macintosh XLS
Hoja de cálculo de Microsoft Works S30
Hoja de cálculo de Microsoft Works S40
OpenOffice Calc SXC
OpenOffice Calc ODS
StarOffice Calc SXC
StarOffice Calc ODS
Formatos admitidos de texto y marcado para la extracción de

contenido
La Tabla 36-7 enumera los formatos de archivo de texto y marcado cuyo contenido
Tabla 36-7 Formatos admitidos de archivo de texto y marcado para la extracción

de contenido
ANSI TXT
ASCII TXT
HTML HTM
Windows de Microsoft Excel XML XML
Microsoft Word Windows XML XML
Microsoft Visio XML VDX
Formato de documento abierto de Oasis ODT
Formato de documento abierto de Oasis ODS

Formato de documento abierto de Oasis ODP
Formato de texto enriquecido RTF
Texto Unicode TXT
XHTML HTM
XML (genérico) XML
Formatos de correo electrónico admitidos para la extracción de

contenido
Tabla 36-8 enumera los formatos de archivos de correo electrónico cuyo contenido
Symantec Data Loss Prevention se puede extraer para la evaluación.
Tabla 36-8 Formatos de archivo de correo electrónico admitidos para la

extracción de contenido
Idioma de Domino XML DXL
Mensaje nativo EMC EmailXtender ONM
Microsoft Outlook MSG
Microsoft Outlook Express EML
Texto de correo (MIME) diversos
Formato de encapsulación de transmisión neutra diversos
Formatos de diseño automatizado admitidos para la extracción de

contenido
Tabla 36-9 enumera los formatos de archivo del diseño (CAD) automatizado cuyo
contenido Symantec Data Loss Prevention puede extraer para la evaluación.
Tabla 36-9 Formatos admitidos de archivos CAD
Gráficos de AutoCAD DWG
Intercambio de gráficos de AutoCAD DFX

Microsoft Visio 2013 VSD
Microsoft Visio XML VSDX
Microsoft Visio 2013_Macro VSDM
Microsoft Visio 2013_Stencil VSSX
Microsoft Visio 2013_Stencil_Macro VSSM
Microsoft Visio 2013_Template VSTX
Microsoft Visio 2013_Template_Macro VSTM
Microstation DGN
Formatos de gráficos admitidos para la extracción de contenido

Tabla 36-10 enumera los formatos de archivos de gráfico cuyo contenido Symantec
Data Loss Prevention se puede extraer para la evaluación.
Tabla 36-10 Formatos de archivos de gráficos admitidos para la extracción de

contenido
Metarchivo mejorado EMF
Lotus Pic PIC
Tagged Image File (metadatos solamente) TIFF
Metarchivo de Windows WMF
Formatos de bases de datos admitidas para extracción de contenido

La tabla siguiente enumera los formatos de archivo de base de datos cuyo contenido
Symantec Data Loss Prevention puede extraer para la evaluación de políticas.
Tabla 36-11 Formatos de archivo de base de datos que se pueden abrir
Microsoft Access MDB
Microsoft Project MPP

Otros formatos de archivo admitidos para la extracción de contenido

Tabla 36-12 enumera otros formatos de archivo cuyo Symantec Data Loss
Prevention de contenido puede extraer para la evaluación de la política.
Tabla 36-12 Otros formatos admitidos para la extracción de contenido
Adobe PDF PDF
iCalendar ICS
MPEG-1 Audio layer 3 (metadatos MP3

solamente)
Archivo de la utilidad de copias de BKF

seguridad de Microsoft Windows
Archivos protegidos de la ■ PFILE

administración de los derechos de ■ Microsoft Office 2003 y anteriores
Microsoft ■ Archivos que usan la tecnología de convenciones de empaquetado abierto
(OPC), incluyendo Office Open XML (incluyendo Office 2007 y posteriores) y
XML Paper Specification (XPS)
Nota: Se admite este tipo de extracción de contenido solamente en los servidores

de detección que se ejecutan en los servidores de Windows
Cifrado de recursos compartidos Es posible descifrar los archivos cifrados de archivos compartidos de Symantec
de archivos (PGP Netshare) y extraer el contenido del archivo para la evaluación de políticas usando el
complemento de archivos compartidos. Consulte la Guía de implementación de
Symantec Data Loss Prevention Encryption Insight.
Nota: Encryption Insight solamente está disponible con Network Discover.
Personalizado Es posible escribir un complemento para ejecutar operaciones de contenido,

subarchivo y extracción de metadatos en los formatos de archivo personalizados.
Consulte la Guía para desarrolladores de complementos de extracción de
contenido de Symantec Data Loss Prevention.
Nota: Los complementos de extracción de contenido se limitan a los servidores
de detección.
Archivo de tarjeta virtual Archivos de tarjeta de visita electrónica VCF y VCARD

Formatos admitidos de la encapsulación para la extracción del subarchivo
Formatos admitidos de la encapsulación para la

extracción del subarchivo
Symantec Data Loss Prevention admite diversos formatos de encapsulación para
la extracción del subarchivo, tal como ZIP, RAR y TAR. El sistema realiza
automáticamente la extracción del subarchivo para los formatos admitidos usando
las condiciones basadas en contenido de la coincidencia. La extracción del
subarchivo es un subconjunto de la extracción de contenido, ya que si el sistema
logra la extracción de un subarchivo de un archivo encapsulado compatible, el
sistema extrae automáticamente el contenido basado en texto del subarchivo si el
formato del subarchivo se admite para la extracción de contenido.
en la página 897.
La Tabla 36-13 enumera los formatos de archivo cuyo contenido Symantec Data
Loss Prevention puede extraer para la evaluación de contenido.
Tabla 36-13 Formatos admitidos de la encapsulación para la extracción del

subarchivo
7-Zip 7Z
BinHex HQX
GZIP GZ
iCalendar ICS
Archivo de almacenamiento de Java JAR
Microsoft Cabinet CAB
Carpeta comprimida de Microsoft LZH
Carpeta comprimida de Microsoft LHA
Microsoft Visio 2013 VSD
Microsoft Visio 2013 XML VSDX
Microsoft Visio 2013_Macro VSDM
Microsoft Visio 2013_Stencil VSSX
Microsoft Visio 2013_Stencil_Macro VSSM

Formatos de archivo admitidos para la extracción de metadatos
Microsoft Visio 2013_Template VSTX
Microsoft Visio 2013_Template_Macro VSTM
PKZIP ZIP
WinZip ZIP
Archivo RAR RAR
Archivo de almacenamiento Tape TAR
Compresión de UNIX Z
UUEncoding UUE
Archivo de tarjeta virtual Archivos de tarjeta de visita electrónica VCF y VCARD
YENC YENC (servidor solamente)
Formatos de archivo admitidos para la extracción de

metadatos
Tabla 36-14 enumera algunos de los formatos de archivo que Symantec Data Loss
Prevention admite para la detección de metadatos y proporciona algunos campos
de metadatos de ejemplo devueltos para esos formatos.
Esta lista no es exhaustiva y se proporciona para referencia rápida solamente.
Otros formatos de archivo pueden ser admitidos y otros campos personalizados
pueden ser devueltos. La práctica recomendada es usar siempre la utilidad filter
para verificar el soporte de metadatos para cada formato de archivo que desee
detectar.
Ver "Utilice siempre la utilidad de filtro para verificar la compatibilidad de los
metadatos de formato de archivo" en la página 928.
Tabla 36-14 Formatos de archivo admitidos para la detección de metadatos
Formatos de archivo Metadatos Descripción
Campos de ejemplo:
Documentos de Microsoft Office, por
ejemplo: Para los documentos de Microsoft ■ Título
Office, el sistema extrae metadatos ■ Asunto
■ Word (DOC, DOCX)
de vinculación e incrustación de ■ Autor
■ Excel (XLS, XLSX) objetos (OLE). ■ Palabras clave
■ PowerPoint (PPT, PPTX)
■ Otros campos personalizados
Para los archivos de Adobe PDF, el Campos de ejemplo:

sistema extrae los metadatos de
■ Autor
diccionario de información del
■ Título
Archivos de Adobe PDF documento (DID). El sistema no
admite la extracción de metadatos de ■ Asunto
plataforma de metadatos extensible ■ Creación
(XMP) de Adobe. ■ Fechas de actualización
Microsoft Visio Extensiones de formato admitidas
Use la utilidad filter para verificar la Ver "Utilice siempre la utilidad de filtro
Otros formatos de archivo (incluidos extracción de los metadatos para otros para verificar la compatibilidad de los
binario y texto) formatos de archivo. metadatos de formato de archivo"
en la página 928.
Complemento de extracción de
Metadatos de tipo de archivo
Formatos de archivo personalizados contenido que admite la operación de
personalizado
la extracción de metadatos.
Acerca de la detección de metadatos del documento

Además del contenido del archivo y de la extracción del subarchivo, Symantec
Data Loss Prevention admite la extracción de los metadatos para muchos formatos
de archivo. Los metadatos de formato de archivos son datos sobre un archivo que
se almacena como propiedades de archivo. De forma predeterminada, la extracción
de los metadatos está deshabilitada porque puede llevar a falsos positivos. Usada
correctamente, la detección de los metadatos puede mejorar la exactitud de sus
reglas de políticas basadas en contenido.
Por ejemplo, considere un negocio que usa las plantillas de Microsoft Office para
sus documentos de Word, de Excel y de PowerPoint. El negocio aplica las
propiedades de los metadatos OLE de Microsoft en la forma de palabras claves a
cada plantilla. El negocio ha habilitado la extracción de los metadatos e
implementado las políticas de palabras clave para establecer coincidencias con
las palabras claves de los metadatos. Estas políticas pueden detectar las palabras
claves en los documentos que se derivan de las plantillas. El negocio además tiene
la flexibilidad para usar las excepciones de políticas para evitar generar incidentes
si ciertas palabras clave de los metadatos están presentes.
Habilitación de la detección de los metadatos del servidor

De forma predeterminada, la extracción de los metadatos está deshabilitada para
los servidores de detección.
Para habilitar la extracción de los metadatos del servidor
1 Inicie sesión en la consola de administración de Enforce Server como
administrador del sistema.
2 Vaya a la pantalla Sistema > Servidores y detectores > Descripción general
> Detalles del servidor/detector - Configuración avanzada para el servidor
de detección o el detector en la nube que desee para habilitar la extracción
de los metadatos.
3 Haga clic en el botón Configuración del servidor.
4 Localice la propiedad ContentExtraction.EnableMetaData en la lista.
5 Especifique el valor on para esta propiedad para habilitar la extracción de
metadatos.
7 Haga clic en Reciclar el servidor en la pantalla Detalles del servidor para
reiniciar el servidor.
8 Haga clic en Listo en la pantalla Detalles del servidor para completar el
proceso.
Habilitación de la detección de metadatos del endpoint

De forma predeterminada, la extracción de metadatos está deshabilitada para los
endpoints.
Para habilitar la extracción de metadatos del endpoint
1 Inicie sesión en la consola de administración de Enforce Server como
administrador del sistema.
2 Navegue a la pantalla Sistema > Agentes > Config. del agente del servidor
de endpoints para el que desee habilitar la extracción de metadatos.
3 Cree una nueva configuración de endpoint para la detección de metadatos o

seleccione la configuración predeterminada.
Ver "Creación de una configuración de endpoint aparte para la detección de
metadatos" en la página 932.
4 Seleccione la ficha Configuración avanzada del agente.
5 Localice la propiedad Detection.ENABLE_METADATA.str en la lista.
6 Especifique el valor on para esta propiedad para habilitar la extracción de
metadatos.
7 Haga clic en Guardar y aplicar para guardar el cambio de configuración.
Mejores prácticas para usar la detección de metadatos

Mejores prácticas para usar la detección de metadatos enumera las prácticas
recomendadas para implementar la detección de metadatos con vínculos a los
temas correspondientes para ver consideraciones detalladas.
Tabla 36-15 Consideraciones para implementar la detección de metadatos
Consideración Tema
Siempre use filtro para verificar la compatibilidad con los Ver "Utilice siempre la utilidad de filtro para verificar la
metadatos de formatos de archivo. compatibilidad de los metadatos de formato de archivo"
en la página 928.
Habilite la detección de metadatos solamente si es Ver "Distinguir los metadatos del contenido de archivo y
necesario. de los datos de aplicación" en la página 930.
Evite generar falsos positivos seleccionando las palabras Ver "Uso y ajuste de las listas de palabras clave para evitar
clave cuidadosamente. los falsos positivos en los metadatos" en la página 931.
Comprenda las implicaciones en los recursos de la Ver "Comprensión de las implicaciones de rendimiento de
extracción de metadatos del endpoint. habilitar la detección de metadatos de endpoint"
en la página 932.
Cree una configuración de endpoint aparte para la Ver "Creación de una configuración de endpoint aparte
detección de metadatos. para la detección de metadatos" en la página 932.
Use reglas de respuesta para agregar etiquetas de Ver "Uso de reglas de respuesta para etiquetar los
metadatos a los incidentes. incidentes con metadatos" en la página 932.
Utilice siempre la utilidad de filtro para verificar la

compatibilidad de los metadatos de formato de archivo
Para ayudarle a crear políticas que detecten los metadatos de formatos de archivo,
use la utilidad filter que está disponible con cualquier instalación de servidor de
endpoints o detección de Symantec Data Loss Prevention. Esta utilidad proporciona
una manera fácil de determinar qué campos de metadatos devuelve el sistema
para un formato de archivo determinado. La utilidad genera una salida que contiene
los metadatos que el sistema extraerá en el tiempo de ejecución para cada formato
de archivo que prueba usando filter.
Para verificar la compatibilidad con la extracción de metadatos de formatos de
archivo usando filter describe cómo usar la utilidad filter. Se recomienda seguir
siempre este proceso, de modo que pueda crear y ajustar las políticas que detectan
exactamente los metadatos de formatos de archivo.
Nota: La salida de datos de la utilidad filter está en formato ASCII. Symantec Data
Loss Prevention procesa los datos en formato Unicode. Por lo tanto, se puede
confiar en la existencia de los campos devueltos por la utilidad filter, pero los
metadatos detectados por Symantec Data Loss Prevention no pueden parecer
idénticos a la salida de filter.
Para verificar la compatibilidad con la extracción de metadatos de formatos de

archivo usando filter
1 En el sistema de archivos donde un servidor de detección está instalado, inicie
una sesión de la línea de comandos.
2 Cambie el directorio donde se encuentra la utilidad filter.
Por ejemplo, en una instalación predeterminada de Windows de 64 bits usted
emitiría el comando siguiente:
cd \SymantecDLP\Protect\plugins\contentextraction\Verity\x64
3 Emita el comando siguiente para ejecutar el programa filter y mostrar su sintaxis

y los parámetros opcionales.
filter -help
Como indica la ayuda, se usa la sintaxis siguiente para ejecutar la utilidad

filter:
filter [options] inputfile outputfile
El inputfile es una instancia del formato de archivo que desea verificar. El

outputfile es un archivo en el que la utilidad filter escribe los datos extraídos.
Tenga en cuenta las siguientes opciones de extracción:

■ Para verificar la extracción de metadatos, use la opción "obtener información

de resumen del documento":-i.
■ Para verificar la extracción de contenido, no use ninguna opción: filter
inputfile outputfile.
4 Ejecute filter contra una instancia del formato de archivo para verificar la
extracción de metadatos.
Por ejemplo, en Windows emitiría el siguiente comando:
filter -i \temp\myfile.doc \temp\metadata_output.txt
Donde myfile.doc es un archivo que contiene los metadatos que desea verificar
y tener copiados en el directorio \temp, y metadata_output.txt es el nombre
del archivo que desea que el sistema genere y donde debe escribir los datos
extraídos.
5 Revise la salida de filter. Los datos de salida deben ser similares a lo siguiente:
1 2 1252 CodePage 1 1 "S" Title 0 0 (null) 1 1 "P" Author 0 0 (null)

0 0 (null) 0 1 "" (null) 1 1 "m" LastAuthor 1 1 "1" RevNumber
1 3 6300 Minutes EditTime 1 3 Mon Aug 27 11:53:07 2007 LastPrinted
6 Consulte las tablas siguientes para obtener una explicación de cada salida de
campo de la extracción de metadatos por la utilidad filter.
Tabla 36-16 repite la salida del Paso 5, formateado para su legibilidad.
Tabla 36-17 explica cada campo de columna.
Tabla 36-16 Salida de los metadatos de filter de ejemplo
Columna 1 Columna 2 Columna 3 Columna 4
1 2 1252 CodePage
1 1 "S" Title
0 0 (nulo)
1 1 "P" Author
0 0 (nulo)
0 0 (nulo)
0 1 "" (nulo)
1 1 M LastAuthor
1 1 "1" RevNumber
1 3 6300 Minutos EditTime
1 3 Mon Aug 27 11:53:07 2007 LastPrinted
Tabla 36-17 Campos de los metadatos generados por la utilidad filter
1 = campo válido El tipo de datos: La carga útil de los datos El nombre del campo (vacío
para el campo. o nulo si el campo es no
0 = campo no válido 1 = cadena
válido).
Nota: Es posible omitir las 2 = número entero
filas donde la primera
3 = Fecha/hora
columna es 0.
5 = booleano
Distinguir los metadatos del contenido de archivo y de los

datos de aplicación
No confunda la extracción de metadatos con la extracción de contenido o de datos
de aplicación. Cierto texto que puede parecer ser metadatos se extrae como
contenido o datos de aplicación. Tabla 36-18 describe algunos tipos de datos que
no se extraen como metadatos de formatos de archivo para ayudarle a determinar
si es necesario habilitar la detección de metadatos y cuándo.
Nota: Esta lista no es exhaustiva y se proporciona para referencia rápida solamente.

Puede haber otros tipos de datos que no se extraen como metadatos. La práctica
recomendada es usar siempre la utilidad filtro para verificar la compatibilidad de
los metadatos de formato de archivo. Ver "Utilice siempre la utilidad de filtro para
verificar la compatibilidad de los metadatos de formato de archivo" en la página 928.
Tabla 36-18 Datos no extraídos como metadatos
Tipo de contenido Método de extracción
Datos de aplicación Los datos de aplicación que incluyen la información del transporte de mensajes se
extraen por separado de la extracción de formatos de archivo. Para todos los mensajes
entrantes, el sistema extrae el sobre de mensaje (encabezado) y la información del
asunto como texto en la capa de aplicación. El tipo de datos de aplicación que se
extraen depende de los canales compatibles con el servidor de detección o el endpoint.
Tipo de contenido Método de extracción
Encabezados y pies de página El texto del encabezado y del pie de página del documento se extrae como contenido,
no metadatos. Para evitar los falsos positivos, se recomienda quitar o incluir en lista
blanca los encabezados y los pies de página de los documentos.
Ver "Uso de listas blancas para excluir el contenido no confidencial de las coincidencias
parciales" en la página 651.
Vea el capítulo Coincidencia de documentos indizados (IDM) en la Guía de

administración de Symantec Data Loss Prevention para obtener información.
Texto de marcado El texto de marcado se extrae como contenido, no metadatos. La extracción del texto
de marcado se admite para HTML, XML, SGML y más. La extracción del texto de
marcado está deshabilitada de forma predeterminada.
Consulte el tema "Configuración avanzada del servidor" en la Guía de administración

de Symantec Data Loss Prevention para habilitarla.
Texto oculto El texto oculto se extrae como contenido, no metadatos. La extracción del texto oculto
en la forma de control de cambios se admite para algunos formatos de archivo de
Microsoft Office. La extracción del texto oculto está deshabilitada de forma
predeterminada.
Consulte el tema "Configuración avanzada del servidor" en la Guía de administración

de Symantec Data Loss Prevention para habilitarla.
Marcas de agua Las marcas de agua basadas en texto se extraen como contenido, no metadatos. La
detección de marcas de agua basadas en texto se admite para los documentos de
Microsoft Word (versiones 2003 y 2007). No se admite para otros formatos de archivo.
Uso y ajuste de las listas de palabras clave para evitar los falsos
positivos en los metadatos
Habilitar la extracción de metadatos puede causar falsos positivos porque más
texto se comprueba en busca de una coincidencia. Por ejemplo, si tiene una política
que detecta palabras clave y la extracción de metadatos está habilitada, la política
informa una coincidencia si una palabra clave está presente en el contenido o en
los metadatos. Una vez el sistema ha extraído el contenido y los metadatos, el
texto se normaliza y se transmite al componente de detección para búsqueda de
coincidencias. El componente de detección no tiene ningún conocimiento del origen
del texto, si son datos de aplicación, contenido o metadatos.
Para detectar los metadatos de formatos de archivo, se definen condiciones de

palabras clave para las reglas o las excepciones que contienen las palabras clave
que son específicas a uno o más formatos de archivo. Para evitar generar falsos
positivos, defina claramente las listas de palabras clave en sus políticas. Las
palabras clave que se usan para detectar los metadatos deben ser únicas y distintas
de las palabras clave o de las frases que usa para detectar contenido. Pruebe y
ajuste las listas de palabras clave para mejorar la exactitud de la detección de
metadatos.
Comprensión de las implicaciones de rendimiento de habilitar

la detección de metadatos de endpoint
En el endpoint, habilitar la extracción de los metadatos no agrega sobrecarga si
no se implementa ninguna regla de contenido. Si hay reglas de contenido
implementadas en el endpoint, habilitar la extracción de metadatos puede presentar
una sobrecarga menor porque hay datos adicionales para examinar. Pruebe y
ajuste sus listas de palabras clave de la política de endpoint para asegurarse de
que la detección de metadatos sea eficiente.
Creación de una configuración de endpoint aparte para la

detección de metadatos
Cuando habilite la detección de metadatos, considere crear una configuración
personalizada de endpoint específicamente para la detección de metadatos.
Haciendo esto, puede revertir fácilmente a la configuración predeterminada si es
necesario.
Uso de reglas de respuesta para etiquetar los incidentes con

metadatos
No es posible usar la detección de metadatos para aplicar las etiquetas a los
archivos entrantes o a los documentos que generan incidentes. Si se desea esto,
considere usar un complemento de FlexResponse.
Consulte la Guía de administración de Symantec Data Loss Prevention para obtener
información.
Capítulo 37
Biblioteca de
identificadores de datos del
sistema
■ Biblioteca de identificadores de datos del sistema
■ Número de enrutamiento de ABA
■ Número de identificación del contribuyente de Argentina
■ Número de registro de la empresa australiano
■ Número de Empresa Australiana
■ Número de seguro médico de Australia
■ Número de pasaporte australiano
■ Número de archivo fiscal de Australia
■ Número de pasaporte de Austria
■ Número de identificación fiscal de Austria
■ Número de la seguridad social de Austria
■ Número nacional de Bélgica
■ Número de licencia de conducir de Bélgica
■ Número de pasaporte de Bélgica
■ Número de identificación fiscal de Bélgica

Biblioteca de identificadores de datos del sistema 934
■ Número de impuesto sobre el valor añadido (IVA) de Bélgica
■ Número de cuenta bancaria de Brasil
■ Número de identificación electoral de Brasil
■ Número de registro nacional de personas jurídicas de Brasil
■ Número de registro de personas físicas de Brasil (CPF)
■ Número personal de atención médica de Columbia Británica
■ Número civil uniforme búlgaro: EGN
■ Burgerservicenummer
■ Número de seguro social de Canadá
■ Número de identificación nacional de Chile
■ Número de pasaporte de China
■ Codice Fiscale
■ Direcciones en Colombia
■ Número de teléfono celular de Colombia
■ Número de identificación personal de Colombia
■ Número de identificación del contribuyente de Colombia
■ Datos de banda magnética de tarjetas de crédito
■ Número de tarjeta de crédito
■ Número de CUSIP
■ Número de identificación personal de República Checa
■ Número de identificación personal de Dinamarca
■ Número de licencia de conducir del estado de California
■ Número de licencia de conducir: Estados de Florida, Míchigan y Minnesota
■ Número de licencia de conducir: estado de Illinois
■ Número de licencia de conducir: estado de Nueva Jersey
■ Número de licencia de conducir: estado de Nueva York
■ Número de licencia de conducir: estado de Washington

■ Número de licencia de conducir: estado de Wisconsin
■ Número de la Agencia Antidrogas (DEA)
■ Número de identificación personal de Finlandia
■ Número de licencia de conducir de Francia
■ Número de seguro de salud de Francia
■ Número de identificación fiscal de Francia
■ Número de impuesto sobre el valor añadido (IVA) de Francia
■ Código del INSEE de Francia
■ Número de pasaporte de Francia
■ Número de la seguridad social de Francia
■ Número de pasaporte alemán
■ Número de Id. personal de Alemania
■ Número de licencia de conducir de Alemania
■ Número de impuesto sobre el valor añadido (IVA) de Alemania
■ Número de identificación del contribuyente de Grecia
■ Identificación de Hong Kong
■ Número de la seguridad social de Hungría
■ Número de identificación del contribuyente de Hungría
■ Número de IVA húngaro
■ IBAN central
■ IBAN oriental
■ IBAN occidental
■ Número de tarjeta Aadhaar de India
■ Número de cuenta permanente de India
■ Número de tarjeta de identidad de Indonesia
■ Número de identidad internacional del equipo móvil
■ Número de identificación internacional de títulos valores

■ Dirección IP
■ Dirección IPv6
■ Número personal de servicio público irlandés
■ Número de identificación personal de Israel
■ Número de licencia de conducir de Italia
■ Número de seguro de salud de Italia
■ Número de pasaporte de Italia
■ Número de impuesto sobre el valor añadido (IVA) de Italia
■ Número de pasaporte de Japón
■ Número de identificación de Juki-Net de Japón
■ Mi número japonés: empresarial
■ Mi número japonés: personal
■ Número de pasaporte de Corea
■ Número de registro de residente de Corea para extranjeros
■ Número de registro de residencia de Corea para coreanos
■ Número del Registro Nacional de Personas de Luxemburgo
■ Número MyKad de Malasia (MyKad)
■ Número de identificación y registro personal de México
■ Número de identificación del contribuyente de México
■ Clave Única de Registro de Población de México
■ Número de CLABE de México
■ Código Nacional de Fármacos (NDC)
■ Identificador de Proveedor Nacional
■ Número de licencia de conducir de los Países Bajos
■ Número de pasaporte de los Países Bajos
■ Número de identificación fiscal de los Países Bajos
■ Número de impuesto sobre el valor añadido (IVA) de los Países Bajos

■ Número de Índice de Salud Nacional (NHI) de Nueva Zelanda
■ Número de nacimiento noruego
■ Id. de la República Popular China
■ Número de identificación de Polonia
■ Número de REGON de Polonia
■ Número de la seguridad social de Polonia (PESEL)
■ Número de identificación fiscal de Polonia
■ Número de la seguridad social (SSN) de los EE. UU. calculado de forma aleatoria
■ Código personal numérico de Rumania
■ Número de identificación de pasaporte ruso
■ Número de identificación del contribuyente ruso
■ Identificador de datos de la NRIC de Singapur
■ Número de identificación personal de Sudáfrica
■ Número de licencia de conducir de España
■ Número de cuenta de cliente español
■ DNI de España
■ Número de pasaporte de España
■ Número de la seguridad social de España
■ Identificación del contribuyente de España (CIF)
■ Número de pasaporte de Suecia
■ Número de identificación personal de Suecia
■ Código SWIFT
■ Número de AHV de Suiza
■ Número de la seguridad social de Suiza (AHV)
■ Id. de la República de China (Taiwán)
■ Número de identificación personal de Tailandia
■ Número de identificación de Turquía

Biblioteca de identificadores de datos del sistema
■ Número de licencia de conducir del Reino Unido
■ Número de registro electoral del Reino Unido
■ Número de Servicio Nacional de Salud (NHS) del Reino Unido
■ Número de seguro nacional del Reino Unido
■ Número de pasaporte del Reino Unido
■ Número de identificación fiscal del Reino Unido
■ Pasaporte de Ucrania (nacional)
■ Tarjeta de identidad de Ucrania
■ Pasaporte de Ucrania (internacional)
■ Número personal de los Emiratos Árabes Unidos (EAU)
■ Número de identificación personal del contribuyente (ITIN) de los EE. UU.
■ Número del pasaporte de los EE. UU.
■ Número de la seguridad social (SSN) de los EE. UU.
■ Códigos postales ZIP+4 de los EE. UU.
■ Número de identificación nacional de Venezuela
Biblioteca de identificadores de datos del sistema

Esta sección enumera todos los identificadores de datos proporcionados por el
sistema Data Loss Prevention.
Número de enrutamiento de ABA

El número de la Asociación de Bancarios Norteamericanos (ABA), también
denominado Número de Tránsito (RTN), se usa para identificar instituciones
financieras y procesar transacciones.
Este identificador de datos proporciona las siguientes amplitudes de detección:
■ La amplitud alta valida el número detectado usando el dígito de comprobación
final.
Ver "Amplitud alta del número de ABA" en la página 939.
■ La amplitud media valida el número detectado usando el dígito de comprobación
final y elimina los números de prueba comunes.
Ver "Amplitud media del número de ABA" en la página 939.

■ La amplitud baja valida el número detectado usando el dígito de comprobación
final, elimina los números de prueba comunes y requiere una palabra clave
relacionada con ABA.
Ver "Amplitud baja del número de ABA" en la página 940.
Amplitud alta del número de ABA

La amplitud alta detecta los números de 9 dígitos. Valida el número usando el dígito
de comprobación final.
Tabla 37-1 Patrones de amplitud alta del número de enrutamiento de ABA
Patrón
[0123678]\d{8}
[0123678]\d{3}-\d{4}-\d
Tabla 37-2 Validadores de amplitud alta del número de enrutamiento de ABA
Validador obligatorio Descripción
Suma de comprobación de ABA Todos los números de ABA deben comenzar con los
siguientes dos dígitos: 00-15, 21-32, 61-72, 80 y deben
aprobar una suma de comprobación específica y de peso
posicional de ABA.
Amplitud media del número de ABA

La amplitud media detecta los números de 9 dígitos. Valida el número usando el
dígito de comprobación final.
Tabla 37-3 Patrones de amplitud media del número de enrutamiento de ABA
Patrón
[0123678]\d{8}
[0123678]\d{3}-\d{4}-\d
Tabla 37-4 Validadores de amplitud media del número de enrutamiento de ABA
posicional de ABA.
Excluir caracteres de inicio Al menos una de las siguientes palabras clave o frases
clave debe estar incluida en los datos para generar
coincidencias cuando se usa esta opción.
Entrada: 123456789
Delimitador numérico Valida una coincidencia comprobando los números

circundantes.
Amplitud baja del número de ABA

La amplitud baja detecta los números de 9 dígitos y valida el número usando el
dígito de comprobación final. Elimina números de prueba comunes, como
123456789, rangos reservados para uso futuro y dígitos duplicados. También
requiere una palabra clave relacionada con ABA.
Tabla 37-5 Patrones de amplitud baja del número de enrutamiento de ABA
Patrón
[0123678]\d{8}
[0123678]\d{3}-\d{4}-\d
Tabla 37-6 Validadores de amplitud baja del número de enrutamiento de ABA
posicional de ABA.
Excluir caracteres de inicio Con esta opción seleccionada, los datos que comiencen
con cualquiera de las siguientes listas de valores no
generarán coincidencias.
Entrada: 123456789
Número de identificación del contribuyente de Argentina
Encontrar palabras clave Al menos una de las siguientes palabras clave o frases
aba, # aba, # de aba, número de aba, #aba, #de aba,

númerodeaba, # de enrutamiento de la asociación de
bancos de estados unidos, número de enrutamiento
de la asociación de bancos de estados unidos,
#enrutamientodelaasociacióndebancosdeestadosunidos,
númerodeenrutamientodelaasociacióndebancosdeestadosunidos,
#enrutamientodebanco, número de enrutamiento del
banco, #enrutamientobanco,
númeroenrutamientobanco

circundantes.
Número de identificación del contribuyente de

Argentina
Argentina emite un DNI (Documento Nacional de Identidad) como su forma nacional
de identificación. El registro nacional de personas asigna un DNI en el momento
del nacimiento de cada ciudadano. Para fines impositivos, se emiten los números
CUIT y CUIL, que se basan en el DNI.
■ La amplitud alta detecta un número de 11 dígitos sin validación de la suma de
comprobación.
Ver "Amplitud alta del número de identificación del contribuyente de Argentina"
en la página 942.
■ La amplitud media detecta un número de 11 dígitos con la validación de la suma
de comprobación. Además comprueba la existencia de números de prueba
comunes y dígitos duplicados.
Ver "Amplitud media del número de identificación del contribuyente de Argentina"
en la página 942.
■ La amplitud baja detecta un número de 11 dígitos que aprueba la validación de
la suma de comprobación. Además comprueba la existencia de números de
prueba comunes y dígitos duplicados y requiere la presencia de palabras clave
relacionadas con el número de identificación tributaria de Argentina.
Ver "Amplitud baja del número de identificación del contribuyente de Argentina"

en la página 943.

Argentina
La amplitud alta detecta un número de 11 dígitos sin validación de la suma de
comprobación.
Tabla 37-7 Patrones de amplitud alta del número de identificación tributaria

de Argentina
Patrón
20-\d{8}-\d
23-\d{8}-\d
27-\d{8}-\d
30-\d{8}-\d
33-\d{8}-\d
34-\d{8}-\d
Tabla 37-8 Validadores de amplitud alta del número de identificación tributaria

de Argentina
Dígitos duplicados Controla que una secuencia de dígitos no sea toda igual.

Argentina
La amplitud media detecta un número de 11 dígitos con la validación de la suma
de comprobación. Además comprueba la existencia de números de prueba comunes
y dígitos duplicados.
Tabla 37-9 Modelos de amplitud media del número de identificación del

Patrón
20-\d{8}-\d
Patrón
23-\d{8}-\d
27-\d{8}-\d
30-\d{8}-\d
33-\d{8}-\d
34-\d{8}-\d
Tabla 37-10 Validadores de amplitud media del número de identificación del

Delimitador numérico Valida una coincidencia comprobando los caracteres

circundantes.
Comprobación de validación del número de identificación Computa la suma de comprobación y valida el patrón en
del contribuyente de Argentina función del resultado.

Argentina
La amplitud baja detecta un número de 11 dígitos que aprueba la validación de la
suma de comprobación. Además comprueba la existencia de números de prueba
comunes y dígitos duplicados y requiere la presencia de palabras clave relacionadas
con el número de identificación tributaria de Argentina.
Tabla 37-11 Patrones de amplitud baja del número de identificación del

Patrón
20-\d{8}-\d
23-\d{8}-\d
27-\d{8}-\d
30-\d{8}-\d
33-\d{8}-\d
34-\d{8}-\d
Número de registro de la empresa australiano
Tabla 37-12 Validadores de amplitud baja del número de identificación del


circundantes.
del contribuyente de Argentina función del resultado.
Entradas:
Id. del contribuyente, número de contribuyente, N.º de

contribuyente, Id. del contribuyente, número de
identidad del contribuyente, n.º de identificación del
contribuyente, número de identificación del
contribuyente, núm.Id.contribuyente,
númeroId.contribuyente, número de contribuyente, Id.
del contribuyente de Argentina
Número de Identificación Fiscal, número de

contribuyente.

El número de registro de la empresa australiano, o ABN, es un identificador único
emitido por el Registro de comercio australiano (ABR), a cargo de la Oficina
Australiana de Impuestos (ATO).
comprobación.
Ver "Amplitud alta del número de registro de la empresa australiano"
en la página 945.
de comprobación. Además elimina números de prueba comunes e intervalos
reservados para uso futuro.
Ver "Amplitud media del número de registro de la empresa australiano"
en la página 945.

la suma de comprobación. Además elimina números de prueba comunes,
intervalos reservados para uso futuro y dígitos duplicados, y requiere la presencia
de palabras clave relacionadas con ABN.
Ver "Amplitud baja del número de registro de la empresa australiano"
en la página 946.
Amplitud alta del número de registro de la empresa australiano

comprobación.
Tabla 37-13 Patrones de amplitud alta del número de registro de la empresa

australiano
Patrón
\d{11}
\d{2}[ -]\d{3}[ -]\d{3}[ -]\d{3}
Tabla 37-14 Validadores de amplitud alta del número de registro de la empresa

australiano
Amplitud media del número de registro de la empresa australiano

de comprobación. Además elimina números de prueba comunes, como 123456789,
e intervalos reservados para uso futuro.
Tabla 37-15 Modelos de amplitud media del número de registro de la empresa

australiano
Patrón
\d{11}
\d{2}[ -]\d{3}[ -]\d{3}[ -]\d{3}

Tabla 37-16 Validador de amplitud media del número de registro de la empresa

australiano

circundantes.
Comprobación de validación del número de registro de la Computa la suma de comprobación y valida el patrón en
empresa australiano función del resultado.
Amplitud baja del número de registro de la empresa australiano

suma de comprobación. Además elimina los números de prueba comunes, tales
como 123456789, los intervalos reservados para uso futuro, los dígitos duplicados
y requiere la presencia de palabras claves relacionadas con ABN.
Tabla 37-17 Patrones de amplitud baja del número de registro de la empresa

australiano
Patrón
\d{11}
\d{2}[ -]\d{3}[ -]\d{3}[ -]\d{3}
Tabla 37-18 Validadores de amplitud baja del número de registro de la empresa

australiano

circundantes.
Comprobación de validación del número de registro de la Computa la suma de comprobación y valida el patrón en
empresa australiano función del resultado.
Entradas:
N.º de registro de la empresa australiano, n.º de

registro de la empresa, núm.registroempresa, Número
de registro de la empresa, núm. de registro de la
empresa australiano, ABN, núm.abn, núm.Id.empresa,
Id. empresa, abn, núm.ABN, número de empresa,
núm.empresa

Un Número de Empresa Australiana (ACN) es un número de 9 dígitos único emitido
por la Comisión de Inversiones y Valores de Australia (ASIC) a cada empresa
registrada en virtud de la Ley 2001 de corporaciones de la Commonwealth.
El identificador de datos del Número de Empresa de Australia ofrece tres amplitudes
de detección:
comprobación.
Ver "Amplitud alta del Número de Empresa Australiana" en la página 947.
■ La amplitud media detecta un número de 9 dígitos con validación de la suma
de comprobación.
Ver "Amplitud media del Número de Empresa Australiana" en la página 948.
■ La amplitud baja detecta un número de 9 dígitos con la validación de la suma
de comprobación. Además requiere la presencia de palabras clave relacionadas
con ACN.
Ver "Amplitud baja del Número de Empresa Australiana" en la página 948.
Amplitud alta del Número de Empresa Australiana

comprobación.
Tabla 37-19 Patrón de amplitud alta del Número de Empresa Australiana
Patrón
\d{3} \d{3} \d{3}

Tabla 37-20 Validador de amplitud alta del Número de Empresa Australiana
Amplitud media del Número de Empresa Australiana

comprobación.
Tabla 37-21 Patrón de amplitud media del Número de Empresa Australiana
Patrón
\d{3} \d{3} \d{3}
Tabla 37-22 Validadores de amplitud media del Número de Empresa Australiana
Comprobación de validación del Número de Empresa Computa la suma de comprobación y valida el patrón en
Australiana función del resultado.
Amplitud baja del Número de Empresa Australiana

comprobación.
Tabla 37-23 Patrón de amplitud baja del Número de Empresa Australiana
Patrón
\d{3} \d{3} \d{3}
Tabla 37-24 Validadores de amplitud baja del Número de Empresa Australiana
Comprobación de validación del Número de Empresa Computa la suma de comprobación y valida el patrón en
Australiana función del resultado.

circundantes.
Número de seguro médico de Australia
Encontrar palabras clave Con esta opción seleccionada, al menos una de las
siguientes palabras clave o frases clave debe estar incluida
en los datos para generar coincidencias.
Entradas:
Número de Empresa Australiana, ACN, Núm. de

Empresa Australiana, Núm. de ACN, N.º de ACN, N.º
de Empresa Australiana, Número ACN

El número de seguro médico de Australia es un identificador personal asignado
por la Comisión de Seguro de Salud a las personas que cumplen con los requisitos
del esquema del seguro médico. Este número aparece en la tarjeta del seguro
médico australiano.
El identificador de datos del número de seguro médico de Australia detecta un
número de 8 o 9 dígitos que coincide con el formato del número de seguro médico
de Australia.
El identificador de datos del número de seguro médico de Australia ofrece tres
amplitudes de detección:
■ La amplitud alta detecta un número de 8 o 9 dígitos sin validación de la suma
de comprobación.
Ver "Amplitud alta del número de seguro médico de Australia" en la página 949.
■ La amplitud media detecta un número de 8 o 9 dígitos con la validación de la
suma de comprobación.
Ver "Amplitud media del número de seguro médico de Australia" en la página 950.
■ La amplitud baja detecta un número de 8 o 9 dígitos con la validación de la
suma de comprobación. Además, requiere la presencia de palabras clave
relacionadas con el número de seguro médico de Australia.
Ver "Amplitud baja del número de seguro médico de Australia" en la página 951.
Amplitud alta del número de seguro médico de Australia

La amplitud alta detecta un número de 8 o 9 dígitos sin validación de la suma de
comprobación.
Tabla 37-25 Patrones de amplitud alta del número de seguro médico de Australia
Patrón
[2-6]\d{10}
[2-6]\d{9}
[2-6]\d{3} \d{5} \d{1}
[2-6]\d{3}-\d{5}-\d{1}
[2-6]\d{9}[ -/]\d{1}
[2-6]\d{3} \d{5} \d{1}[ -/]\d{1}
[2-6]\d{3}-\d{5}-\d{1}[ -/]\d{1}
[2-6]\d{3} \d{5} \d \d
[2-6]\d{3}-\d{5}-\d-\d
Tabla 37-26 Validador de amplitud alta del número de seguro médico de Australia
Amplitud media del número de seguro médico de Australia

La amplitud media detecta un número de 8 o 9 dígitos con la validación de la suma
de comprobación.
Tabla 37-27 Patrones de amplitud media del número de seguro médico de

Australia
Patrón
[2-6]\d{10}
[2-6]\d{9}
[2-6]\d{3} \d{5} \d{1}
[2-6]\d{3}-\d{5}-\d{1}
[2-6]\d{9}[ -/]\d{1}
[2-6]\d{3} \d{5} \d{1}[ -/]\d{1}

Patrón
[2-6]\d{3}-\d{5}-\d{1}[ -/]\d{1}
[2-6]\d{3} \d{5} \d \d
[2-6]\d{3}-\d{5}-\d-\d
Tabla 37-28 Validadores de amplitud media del número de seguro médico de

Australia
Comprobación de validación del número de seguro médico Computa la suma de comprobación y valida el patrón en
de Australia función del resultado.

circundantes.
Amplitud baja del número de seguro médico de Australia

La amplitud baja detecta un número de 8 o 9 dígitos con la validación de la suma
de comprobación. Además, requiere la presencia de palabras clave relacionadas
con el número de seguro médico de Australia.
Tabla 37-29 Patrones de amplitud baja del número de seguro médico de Australia
Patrón
[2-6]\d{10}
[2-6]\d{9}
[2-6]\d{3} \d{5} \d{1}
[2-6]\d{3}-\d{5}-\d{1}
[2-6]\d{9}[ -/]\d{1}
[2-6]\d{3} \d{5} \d{1}[ -/]\d{1}
[2-6]\d{3}-\d{5}-\d{1}[ -/]\d{1}
[2-6]\d{3} \d{5} \d \d
[2-6]\d{3}-\d{5}-\d-\d
Número de pasaporte australiano
Tabla 37-30 Validadores de amplitud baja del número de seguro médico de

Australia
Comprobación de validación del número de seguro médico Computa la suma de comprobación y valida el patrón en
de Australia función del resultado.

circundantes.
Entradas:
Número de Seguro Médico de Australia, Número de

Seguro Médico, Núm. de Seguro Médico, N.º de Seguro
Médico, Núm. de Seguro Médico de Australia, N.º de
Seguro Médico de Australia

Los pasaportes australianos son documentos de viaje emitidos a los ciudadanos
australianos por la Oficina de Pasaportes australiana del Departamento de Asuntos
Exteriores y Comercio.
El identificador de datos del número de pasaporte de Australia ofrece dos amplitudes
de detección:
■ La amplitud alta detecta un número de 8 caracteres sin validación de la suma
de comprobación.
Ver " Amplitud alta del número de pasaporte australiano" en la página 952.
■ La amplitud baja detecta un número de 8 caracteres sin validación de la suma
de comprobación. Requiere la presencia de palabras clave relacionadas con
el número de pasaporte australiano.
Ver "Amplitud baja del número de pasaporte australiano" en la página 953.
Amplitud alta del número de pasaporte australiano

La amplitud alta detecta un número de 8 caracteres sin validación de la suma de
comprobación.
Tabla 37-31 Patrones de amplitud alta del número de pasaporte australiano
Patrón
[XBCEGTHJLMNP]\d{7}
[XBCEGTHJLMNP] \d{7}
Tabla 37-32 Validador de amplitud alta del número de pasaporte australiano
Excluir caracteres de fin Cualquier número que finalice con los caracteres
siguientes se excluye de la coincidencia:
0000000, 1111111, 2222222, 3333333, 4444444,

5555555, 6666666, 7777777, 8888888, 9999999.
Amplitud baja del número de pasaporte australiano

La amplitud baja detecta un identificador de 8 caracteres con la validación de la
suma de comprobación. Además, requiere la presencia de palabras clave
relacionadas con el número de pasaporte australiano.
Tabla 37-33 Patrones de amplitud baja del número de pasaporte australiano
Patrón
[XBCEGTHJLMNP]\d{7}
[XBCEGTHJLMNP] \d{7}
Tabla 37-34 Validadores de amplitud baja del número de pasaporte australiano
Excluir caracteres de fin Este validador excluye los caracteres siguientes al final
del número:
0000000, 1111111, 2222222, 3333333, 4444444,

5555555, 6666666, 7777777, 8888888, 9999999.
Número de archivo fiscal de Australia
Entradas:
Núm. de pasaporte australiano, Número de Pasaporte

Australiano, Número de pasaporte australiano, Número
de pasaporte, número de pasaporte, n.ºpasaporte,
núm.pasaporte, númeropasaporte,
númeropasaporteaustraliano, n.ºdepasaporte
Número de archivo fiscal de Australia

El número de archivo fiscal (TFN) de Australia es un número de 8 o 9 dígitos que
otorga la Oficina Australiana de Impuestos (ATO) a cada contribuyente (individual,
empresarial, fondo de pensión, asociación o coalición de empresas) para identificar
los convenios fiscales de Australia.
■ La amplitud alta valida el número detectado usando el dígito de comprobación
final.
■ La amplitud baja valida el número detectado usando el dígito de comprobación
final. Además requiere la presencia de una palabra clave relacionada con TFN.
Ver "Amplitud baja del número de archivo fiscal de Australia" en la página 955.
Amplitud alta del número de archivo fiscal de Australia

La amplitud alta valida el número detectado usando el dígito de comprobación final.
Tabla 37-35 Patrones de amplitud alta del número de archivo fiscal de Australia
Patrón
\d{8}
\d{9}
Número de pasaporte de Austria
Tabla 37-36 Validadores de amplitud alta del número de archivo fiscal de

Australia
Comprobación de validación del archivo fiscal de Australia Computa la suma de comprobación y valida el patrón en
Amplitud baja del número de archivo fiscal de Australia

La amplitud baja valida el número detectado usando el dígito de comprobación
final. Además requiere la presencia de una palabra clave relacionada con TFN.
Tabla 37-37 Patrones de amplitud baja del número de archivo fiscal de Australia
Patrón
\d{8}
\d{9}
Tabla 37-38 Validadores de amplitud baja del número de archivo fiscal de

Australia
Comprobación de validación del archivo fiscal Computa la suma de comprobación y valida

de Australia el patrón en función del resultado.
Encontrar palabras clave Al menos una de las siguientes palabras

clave o frases clave debe estar incluida en
los datos para generar coincidencias cuando
se usa esta opción.
Entradas:
TFN, Número de Archivo Fiscal, TFN de

Australia, Número de Archivo Fiscal de
Australia, ATO, TFN de ATO, número de
archivo fiscal de ATO

Los pasaportes de Austria son documentos de viaje emitidos a ciudadanos
austríacos por la Oficina de Pasaportes del Departamento de Asuntos Exteriores
y Comercio de Austria, tanto en Austria como en el exterior, que habilitan al titular
del pasaporte a viajar internacionalmente.
El identificador de datos del número de pasaporte de Austria ofrece dos amplitudes

de detección:
■ La amplitud alta detecta un número alfanumérico de ocho dígitos sin validación
de la suma de comprobación.
Ver "Amplitud alta del número de pasaporte de Austria" en la página 956.
■ La amplitud baja detecta un número alfanumérico de ocho dígitos. Además,
requiere la presencia de palabras clave relacionadas con el pasaporte.
Ver "Amplitud baja del número de pasaporte de Austria" en la página 956.
Amplitud alta del número de pasaporte de Austria

La amplitud alta detecta un número alfanumérico de ocho dígitos sin validación de
la suma de comprobación.
Tabla 37-39 Patrones de amplitud alta del número de pasaporte de Austria
Patrones
\l[ ]\d{7}
\l\d{7}
Tabla 37-40 Validador de amplitud alta del número de pasaporte de Austria
Amplitud baja del número de pasaporte de Austria

La amplitud baja detecta un número alfanumérico de ocho dígitos. Además, requiere
la presencia de palabras clave relacionadas con el pasaporte.
Tabla 37-41 Patrones de amplitud baja del número de pasaporte de Austria
Patrón
\l[ ]\d{7}
\l\d{7}
Número de identificación fiscal de Austria
Tabla 37-42 Validadores de amplitud baja del número de pasaporte de Austria
Entradas:
REISEPASS, pasaporte, ÖSTERREICHISCH

REISEPASS, reisepass

Austria emite números de identificación de impuestos para personas según su área
de residencia, con el fin de identificar contribuyentes y facilitar los impuestos
nacionales.
El número de identificación fiscal de Austria proporciona dos amplitudes de
detección:
■ La amplitud alta detecta un número de nueve dígitos sin validación de la suma
de comprobación.
Ver "Amplitud alta del número de identificación fiscal de Austria" en la página 957.
■ La amplitud baja detecta un número de nueve dígitos. Además requiere la
presencia de palabras clave relacionadas.
Ver "Amplitud baja del número de identificación fiscal de Austria" en la página 958.
Amplitud alta del número de identificación fiscal de Austria

La amplitud alta detecta un número de nueve dígitos sin validación de la suma de
comprobación.
Tabla 37-43 Patrones de amplitud alta del número de identificación fiscal de

Austria
Patrón
\d{2}-\d{3}/\d{4}
\d{2} \d{3} \d{4}
\d{9}
Tabla 37-44 Validador de amplitud alta del número de identificación fiscal de

Austria

circundantes.
Amplitud baja del número de identificación fiscal de Austria

La amplitud baja detecta un número de nueve dígitos. Además requiere la presencia
de palabras clave relacionadas.
Tabla 37-45 Patrones de amplitud baja del número de identificación fiscal de

Austria
Patrones
\d{2}-\d{3}/\d{4}
\d{2} \d{3} \d{4}
\d{9}
Tabla 37-46 Validadores de amplitud baja del número de identificación fiscal

de Austria

circundantes.
Entradas:
Austria, TIN, número de identificación fiscal, número

fiscal, Número de Identificación Fiscal de Austria,
Österreich, Steuernummer
Número de la seguridad social de Austria

Se asigna un número de seguro/seguridad social a los ciudadanos austríacos que
reciben los beneficios disponibles de la seguridad social. Lo asigna la asociación
marco de las autoridades de la seguridad social de Austria.
comprobación.
Ver "Amplitud alta del número de la seguridad social de Austria" en la página 959.
■ La amplitud media detecta un número de 10 dígitos que aprueba la validación
de suma de comprobación. Además elimina números de prueba comunes e
intervalos reservados para uso futuro.
Ver "Amplitud media del número de la seguridad social de Austria"
en la página 960.
la suma de comprobación. Además elimina números de prueba comunes,
intervalos reservados para uso futuro y dígitos duplicados, y requiere la presencia
de palabras clave relacionadas con el número de la seguridad social de Austria.
Ver "Amplitud baja del número de la seguridad social de Austria" en la página 960.
Amplitud alta del número de la seguridad social de Austria

comprobación.
Tabla 37-47 Patrones de amplitud alta del número de la seguridad social de

Austria
Patrón
\d{10}
\d{4}-\d{6}
\d{4} \d{6}
Tabla 37-48 Validadores de amplitud alta del número de la seguridad social de

Austria
Amplitud media del número de la seguridad social de Austria

suma de comprobación. Además elimina números de prueba comunes, como
123456789, e intervalos reservados para uso futuro.
Tabla 37-49 Patrones de amplitud media del número de la seguridad social de

Austria
Patrón
\d{10}
\d{4}-\d{6}
\d{4} \d{6}
Tabla 37-50 Validador de amplitud media del número de la seguridad social de

Austria

circundantes.
Comprobación de validación del número de la seguridad Computa la suma de comprobación y valida el patrón en
social de Austria función del resultado.
Amplitud baja del número de la seguridad social de Austria

suma de comprobación. Además elimina números de prueba comunes, intervalos
reservados para uso futuro y dígitos duplicados, y requiere la presencia de palabras
clave relacionadas con el número de la seguridad social de Austria.
Tabla 37-51 Patrones de amplitud baja del número de la seguridad social de

Austria
Patrón
\d{10}
\d{4}-\d{6}
\d{4} \d{6}
Número nacional de Bélgica
Tabla 37-52 Validadores de amplitud baja del número de la seguridad social de

Austria

circundantes.
social de Austria función del resultado.
Entradas:
n.º de la seguridad social, número de la seguridad

social, código de la seguridad social, número de
seguro, SSN de Austria, núm.SSN, núm.ssn, SSN, ssn,
código de seguro, núm.códigoseguro,
núm.seguridadsocial, sozialversicherungsnummer,
soziale sicherheit kein, Versicherungsnummer

Todos los ciudadanos de Bélgica tienen un número nacional. Se emite una tarjeta
de identidad para todos los belgas de 12 años o más.
El número nacional de Bélgica se utiliza como un número de la seguridad social
belga para los ciudadanos.
comprobación.
Ver "Amplitud alta del número nacional de Bélgica " en la página 962.
de comprobación.
Ver "Amplitud media del número nacional de Bélgica" en la página 962.
■ La amplitud baja detecta un número de 11 dígitos sin validación de la suma de
comprobación.
Ver "Amplitud baja del número nacional de Bélgica" en la página 963.
Amplitud alta del número nacional de Bélgica

comprobación.
Tabla 37-53 Patrón de amplitud alta del número nacional de Bélgica
Patrón
\d{11}
\d{6} \d{3} \d{2}
\d{2}.\d{2}.\d{2}-\d{3}.\d{2}
\d{2}[ .][012345]\d[ .][0123]\d[ -.]\d{3}[ .-]\d{2}
Tabla 37-54 Validadores de amplitud alta del número nacional de Bélgica
Amplitud media del número nacional de Bélgica

de comprobación.
Tabla 37-55 Patrones de amplitud media del número nacional de Bélgica
Patrón
\d{11}
\d{6} \d{3} \d{2}
\d{2}.\d{2}.\d{2}-\d{3}.\d{2}
\d{2}[ .][012345]\d[ .][0123]\d[ -.]\d{3}[ .-]\d{2}
Tabla 37-56 Validador de amplitud media del número nacional de Bélgica

circundantes.
Comprobación de validación del número nacional de Computa la suma de comprobación y valida el patrón en
Bélgica función del resultado.
Número de licencia de conducir de Bélgica
Amplitud baja del número nacional de Bélgica

La amplitud baja detecta un número de 11 dígitos con la validación de la suma de
comprobación. Además requiere la presencia de palabras clave relacionadas con
el número nacional de Bélgica.
Tabla 37-57 Patrones de amplitud baja del Número nacional de Bélgica
Patrón
\d{11}
\d{6} \d{3} \d{2}
\d{2}.\d{2}.\d{2}-\d{3}.\d{2}
\d{2}[ .][012345]\d[ .][0123]\d[ -.]\d{3}[ .-]\d{2}
Tabla 37-58 Validadores de amplitud baja del número nacional de Bélgica
Comprobación de validación del número nacional de Computa la suma de comprobación y valida el patrón en
Bélgica función del resultado.

circundantes.
Entradas:
Número nacional de Bélgica, número nacional, número

de la seguridad social, númeronacional#, nss#, nss,
númeronacional, nnb#, nnb, número de Id. personal,
númeroIdpersonal#, número nacional, número de
seguridad, número de seguridad, identificador
nacional, identificadornacional#, númeronacional#

Número de identificación de la licencia de conducir de una persona, emitida por la
Agencia de Concesión de Licencias de Vehículos y Conductores de Bélgica.
El identificador de datos del número de licencia de conducir de Bélgica proporciona

dos amplitudes de detección:
comprobación.
Ver "Amplitud alta del número de licencia de conducir de Bélgica"
en la página 964.
■ La amplitud baja detecta un número de 10 dígitos. Además requiere la presencia
de las palabras clave relacionadas con la licencia de conducir.
Ver "Amplitud baja del número de licencia de conducir de Bélgica"
en la página 964.
Amplitud alta del número de licencia de conducir de Bélgica

comprobación.
Tabla 37-59 Patrón de amplitud alta del número de licencia de conducir de

Bélgica
Patrón
\d{10}
Tabla 37-60 Validador de amplitud alta del número de licencia de conducir de

Bélgica

circundantes.
Amplitud baja del número de licencia de conducir de Bélgica

La amplitud baja detecta un número de 10 dígitos. Además requiere la presencia
de las palabras clave relacionadas con la licencia de conducir.
Tabla 37-61 Patrón de amplitud baja del número de licencia de conducir de

Bélgica
Patrón
\d{10}
Número de pasaporte de Bélgica
Tabla 37-62 Validador de amplitud baja del número de licencia de conducir de

Bélgica

circundantes.
Entradas:
Führerschein, Fuhrerschein, Fuehrerschein,

Führerscheinnummer, Fuhrerscheinnummer,
Fuehrerscheinnummer, Führerscheinnummer,
Fuhrerscheinnummer, Fuehrerscheinnummer,
Führerschein- Nr, Fuhrerschein- Nr, Fuehrerschein-
Nr, DL#, Licencia de conducir, Número de licencia de
conducir, número de licencia de conducir, Licencia
de conducir, Lic. de conducir, Licencia de conducir,
Licencia de conducir, Licencia de conducir, Número
de licencia de conducir, número de licencia de
conducir, Número de licencia de conducir, Número de
licencia de conducir, número de licencia de conducir,
N.° de LC#, N.° LC#, permis de conduire, rijbewijs,
Rijbewijsnummer, Numéro permis conduire

Los pasaportes de Bélgica son emitidos por el estado de Bélgica para los
ciudadanos con el fin de facilitar el transporte internacional. El Servicio Público
Federal de Asuntos Exteriores, anteriormente conocido como Ministerio de Asuntos
Exteriores, es responsable de la emisión y la renovación de pasaportes en Bélgica.
El identificador de datos del número de pasaporte de Bélgica ofrece dos amplitudes
de detección:
■ La amplitud alta detecta un patrón de ocho dígitos sin validación de la suma de
comprobación.
Ver "Amplitud alta del número de pasaporte de Bélgica" en la página 966.
■ La amplitud baja detecta un patrón de ocho dígitos. Además requiere la
Ver "Amplitud baja del número de pasaporte de Bélgica" en la página 966.
Amplitud alta del número de pasaporte de Bélgica

La amplitud alta detecta un patrón de ocho dígitos sin validación de la suma de
comprobación.
Tabla 37-63 Patrón de amplitud alta del número de pasaporte de Bélgica
Patrón
\l{2}\d{6}
Tabla 37-64 Validador de amplitud alta del número de pasaporte de Bélgica

circundantes.
Amplitud baja del número de pasaporte de Bélgica

La amplitud baja detecta un patrón de ocho dígitos. Además requiere la presencia
Tabla 37-65 Patrones de amplitud baja del número de pasaporte de Bélgica
Patrones
\l{2}\d{6}
Tabla 37-66 Patrones de amplitud baja del número de pasaporte de Bélgica

circundantes.
Entradas:
Número de pasaporte, Paspoort, paspoort,

paspoortnummer, Reisepass kein, Reisepass,
Passnummer, Passeport, Passeport livre, Passeport
carte, numéro passeport, Número de Pasaporte de
Bélgica, número de pasaporte belga, n.° de pasaporte
Número de identificación fiscal de Bélgica

Bélgica emite un número de identificación fiscal para todas las personas que tienen
la obligación de declarar impuestos en Bélgica.
El identificador de datos del número de identificación fiscal de Bélgica proporciona
comprobación. Además requiere la presencia de palabras clave relacionadas.
Ver "Amplitud alta del número de identificación fiscal de Bélgica" en la página 967.
la suma de comprobación. Además requiere la presencia de palabras clave
relacionadas con el número fiscal.
Ver "Amplitud baja del número de identificación fiscal de Bélgica"
en la página 968.
Amplitud alta del número de identificación fiscal de Bélgica


Bélgica
Patrones
\d{2}[01]\d[0123]\d{6}
\d{2}[01]\d[0123]\d \d{3} \d{2}
\d{2}.[01]\d.[0123]\d-\d{3}.\d{2}
\d{2}[ .][01]\d[ .][0123]\d[ -.]\d{3}[ .-]\d{2}

Bélgica

circundantes.
Entradas:
Número fiscal, número de registro nacional, Número

de registro nacional, número de registro fiscal,
identificación fiscal, Identificación fiscal, Número
fiscal, Numéro de registre national, numéro
d'identification fiscale, belasting aantal,
Steuernummer, NIF, nif, NIF#, nif#
Amplitud baja del número de identificación fiscal de Bélgica

suma de comprobación. Además requiere la presencia de palabras clave
relacionadas con el número fiscal.

Bélgica
Patrones
\d{2}[01]\d[0123]\d{6}
\d{2}[01]\d[0123]\d \d{3} \d{2}
\d{2}.[01]\d.[0123]\d-\d{3}.\d{2}
\d{2}[ .][01]\d[ .][0123]\d[ -.]\d{3}[ .-]\d{2}

de Bélgica
Comprobación de validación del número de identificación Validador de la suma de comprobación para el número
fiscal de Bélgica de identificación fiscal de Bélgica.

circundantes.
Número de impuesto sobre el valor añadido (IVA) de Bélgica
Entradas:
Número fiscal, número de registro nacional, Número

de registro nacional, número de registro fiscal,
identificación fiscal, Identificación fiscal, Número
fiscal, Numéro de registre national, numéro
d'identification fiscale, belasting aantal,
Steuernummer, NIF, nif, NIF#, nif#
Número de impuesto sobre el valor añadido (IVA) de

Bélgica
El IVA es un impuesto sobre el consumo asumido por el consumidor final. El IVA
se paga en cada transacción del proceso de fabricación y distribución. En Bélgica,
el impuesto sobre el valor añadido es emitido por la oficina de IVA correspondiente
a la región en la que está establecida la empresa.
El identificador de datos del número del impuesto sobre el valor añadido (IVA) de
Bélgica proporciona tres amplitudes de detección:
■ La amplitud alta detecta un patrón alfanumérico de 12 dígitos que empieza con
BE sin validación de la suma de comprobación.
Ver "Amplitud alta del número de impuesto sobre el valor añadido (IVA) de
■ La amplitud media detecta un patrón alfanumérico de 12 dígitos que empieza
con BE con validación de la suma de comprobación.
Ver "Amplitud media del número de impuesto sobre el valor añadido (IVA) de
■ La amplitud baja detecta un patrón alfanumérico de 12 dígitos que empieza con
BE con validación de la suma de comprobación. Además requiere la presencia
Ver "Amplitud baja del número de impuesto sobre el valor añadido (IVA) de

de Bélgica
La amplitud alta detecta un patrón alfanumérico de 12 dígitos que empieza con BE
sin validación de la suma de comprobación.
Tabla 37-71 Patrones de amplitud alta del número de impuesto sobre el valor
añadido (IVA) de Bélgica
Patrones
[Bb][Ee][0][123456789]\d{8}
[Bb][Ee][0][123456789].\d{4}.\d{4}
[Bb][Ee][0][123456789]-\d{4}-\d{4}
[Bb][Ee][0][123456789] \d{4} \d{4}
Tabla 37-72 Validador de amplitud alta del número de impuesto sobre el valor

circundantes.
Amplitud media del número de impuesto sobre el valor añadido (IVA)

de Bélgica
La amplitud media detecta un patrón alfanumérico de 12 dígitos que empieza con
BE con validación de la suma de comprobación.
Tabla 37-73 Patrones de amplitud media del número de impuesto sobre el valor
Patrones
[Bb][Ee][0][123456789]\d{8}
[Bb][Ee][0][123456789].\d{4}.\d{4}
[Bb][Ee][0][123456789]-\d{4}-\d{4}
[Bb][Ee][0][123456789] \d{4} \d{4}

Tabla 37-74 Validadores de amplitud media del número de impuesto sobre el

valor añadido (IVA) de Bélgica
Comprobación de validación del número de IVA de Bélgica Validador de la suma de comprobación para el número
de impuesto sobre el valor añadido (IVA) de Bélgica.
Amplitud baja del número de impuesto sobre el valor añadido (IVA)

de Bélgica
La amplitud baja detecta un patrón alfanumérico de 12 dígitos que empieza con
BE con validación de la suma de comprobación. Además requiere la presencia de
palabras clave relacionadas.
Tabla 37-75 Patrones de amplitud baja del número de impuesto sobre el valor
Patrón
[Bb][Ee][0][123456789]\d{8}
[Bb][Ee][0][123456789].\d{4}.\d{4}
[Bb][Ee][0][123456789]-\d{4}-\d{4}
[Bb][Ee][0][123456789] \d{4} \d{4}
Tabla 37-76 Validadores de amplitud baja del número de impuesto sobre el valor

circundantes.
Comprobación de validación del número de IVA de Bélgica Validador de la suma de comprobación para el número
de impuesto sobre el valor añadido (IVA) de Bélgica.
Entradas:
Numéro T.V.A, número de BTW, N.º de VAT, N.° BTW,

Número de IVA, n.° iva, número de iva, Numéro T.V.A,
Umsatzsteuer-Identifikationsnummer,
Umsatzsteuernummer, BTW, BTW#, VAT#, vat#
Número de cuenta bancaria de Brasil

El número de cuenta bancaria de Brasil es el número de cuenta bancaria estándar
que se utiliza en todo el territorio de Brasil.
de comprobación.
Ver "Amplitud alta del número de cuenta bancaria de Brasil" en la página 972.
Ver "Amplitud media del número de cuenta bancaria de Brasil" en la página 972.
■ La amplitud baja detecta un número de 9 o 10 dígitos que aprueba la validación
de suma de comprobación. Además requiere la presencia de palabras clave
relacionadas con el número de cuenta bancaria de Brasil.
Ver "Amplitud baja del número de cuenta bancaria de Brasil" en la página 973.
Amplitud alta del número de cuenta bancaria de Brasil

comprobación.
Tabla 37-77 Patrones de amplitud alta del número de cuenta bancaria de Brasil
Patrón
\d\d\d\d[;- ]\d\d\d\d\d[;- ]\d
\d\d\d[,;- ]\d\d\d\d\d[,;- ]\d
\d\d\d[,;-]\d\d\d\d\d[,;-]\d
Tabla 37-78 Validador de amplitud alta del número de cuenta bancaria de Brasil
Amplitud media del número de cuenta bancaria de Brasil

La amplitud media detecta un número de 9 o 10 dígitos con la validación de la
Tabla 37-79 Patrones de amplitud media del número de cuenta bancaria de

Brasil
Patrón
\d\d\d\d[;- ]\d\d\d\d\d[;- ]\d
\d\d\d[,;- ]\d\d\d\d\d[,;- ]\d
\d\d\d[,;-]\d\d\d\d\d[,;-]\d
Tabla 37-80 Validador de amplitud media del número de cuenta bancaria de

Brasil

circundantes.
Comprobación de validación del número de cuenta El validador computa la suma de comprobación del número
bancaria de Brasil de cuenta bancaria de Brasil que cada número de cuenta
bancaria de Brasil debe aprobar.
Amplitud baja del número de cuenta bancaria de Brasil

La amplitud baja detecta un número de 9 o 10 dígitos que aprueba la validación
relacionadas con el número de cuenta bancaria de Brasil.
Tabla 37-81 Patrones de amplitud baja del número de cuenta bancaria de Brasil
Patrón
\d\d\d\d[;- ]\d\d\d\d\d[;- ]\d
\d\d\d[,;- ]\d\d\d\d\d[,;- ]\d
\d\d\d[,;-]\d\d\d\d\d[,;-]\d
Tabla 37-82 Validador de amplitud baja del número de cuenta bancaria de Brasil

circundantes.
Número de identificación electoral de Brasil
Comprobación de validación del número de cuenta El validador computa la suma de comprobación del número
bancaria de Brasil. de cuenta bancaria de Brasil que cada número de cuenta
bancaria de Brasil debe aprobar.
Entradas:
Número de cuenta bancaria, n.º de cuenta bancaria,

n.º de cuenta, número de cuenta, núm. de cuenta, n.º
de cuenta bancaria de Itau, núm.cuenta,
númerocuentabancaria,
número conta bancária, número da conta, conta n,

Conta bancária Itaú Número, código de conta bancária,
Conta Sem

En Brasil, el voto de todos los ciudadanos de entre 18 y 70 años es obligatorio.
Para poder votar, todos los ciudadanos deben registrarse y deben presentar un
documento de identidad oficial, por lo general, la tarjeta del número de identificación
electoral.
■ La amplitud alta detecta un número de 9 a 14 dígitos sin validación de la suma
de comprobación.
Ver "Amplitud alta del número de identificación electoral de Brasil"
en la página 975.
■ La amplitud media detecta un número de 9 a 14 dígitos que aprueba la validación
de suma de comprobación.
Ver "Amplitud media del número de identificación electoral de Brasil"
en la página 976.
■ La amplitud baja detecta un número de 9 a 14 dígitos que aprueba la validación
de suma de comprobación de y requiere la presencia de palabras clave
relacionadas con el número de identificación electoral de Brasil.
Ver "Amplitud baja del número de identificación electoral de Brasil "
en la página 977.
Amplitud alta del número de identificación electoral de Brasil

La amplitud alta detecta un número de 9 a 14 dígitos sin validación de la suma de
comprobación.
Tabla 37-83 Patrones de amplitud alta del número de identificación electoral

de Brasil
Patrón
\d{5}[0]\d{3}
\d{5}[12]\d\d{2}
\d{6}[0]\d{3}
\d{6}[0]\d[/]\d{2}
\d{6}[12]\d\d{2}
\d{6}[12]\d[/]\d{2}
\d{7}[0]\d{3}
\d{7}[0]\d[/]\d{2}
\d{7}[12]\d[/]\d{2}
\d{7}[12]\d\d{2}
\d{8}[0]\d{3}
\d{8}[0]\d[/]\d{2}
\d{8}[0]\d{3}[/]\d{2}
\d{8}[12]\d[/]\d{2}
\d{8}[12]\d\d{2}
\d{8}[12]\d\d{2}[/]\d{2}
Tabla 37-84 Validador de amplitud alta del número de identificación electoral

de Brasil
Amplitud media del número de identificación electoral de Brasil

La amplitud media detecta un número de 9 a 14 dígitos que aprueba la validación
Tabla 37-85 Patrones de amplitud media del número de identificación electoral

de Brasil
Patrón
\d{5}[0]\d{3}
\d{5}[12]\d\d{2}
\d{6}[0]\d{3}
\d{6}[0]\d[/]\d{2}
\d{6}[12]\d\d{2}
\d{6}[12]\d[/]\d{2}
\d{7}[0]\d{3}
\d{7}[0]\d[/]\d{2}
\d{7}[12]\d[/]\d{2}
\d{7}[12]\d\d{2}
\d{8}[0]\d{3}
\d{8}[0]\d[/]\d{2}
\d{8}[0]\d{3}[/]\d{2}
\d{8}[12]\d[/]\d{2}
\d{8}[12]\d\d{2}
\d{8}[12]\d\d{2}[/]\d{2}
Tabla 37-86 Validador de amplitud media del número de identificación electoral

de Brasil

circundantes.
Comprobación de validación del número de identificación Computa la suma de comprobación del número de
electoral de Brasil identificación electoral de Brasil que cada número de
identificación electoral de Brasil debe aprobar.
Amplitud baja del número de identificación electoral de Brasil

La amplitud baja detecta un número de 9 a 14 dígitos que aprueba la validación
relacionadas con el número de identificación electoral de Brasil.
Tabla 37-87 Patrones de amplitud baja del número de identificación electoral

de Brasil
Patrón
\d{5}[0]\d{3}
\d{5}[12]\d\d{2}
\d{6}[0]\d{3}
\d{6}[0]\d[/]\d{2}
\d{6}[12]\d\d{2}
\d{6}[12]\d[/]\d{2}
\d{7}[0]\d{3}
\d{7}[0]\d[/]\d{2}
\d{7}[12]\d[/]\d{2}
\d{7}[12]\d\d{2}
\d{8}[0]\d{3}
\d{8}[0]\d[/]\d{2}
\d{8}[0]\d{3}[/]\d{2}
\d{8}[12]\d[/]\d{2}
\d{8}[12]\d\d{2}
\d{8}[12]\d\d{2}[/]\d{2}
Número de registro nacional de personas jurídicas de Brasil
Tabla 37-88 Validador de amplitud baja del número de identificación electoral

de Brasil

circundantes.
electoral de Brasil identificación electoral de Brasil que cada número de
identificación electoral de Brasil debe aprobar.
Entradas:
Id. electoral, número de identificación, n.º electral, Id.

de votante, número de identificación electral, Id. de
Votante, número electral, Id. de votante electoral,
Número Electral, N.º Electral, Número de Identificación,
N.º de Identificación Electoral,
número de identificação, identificação do eleitor,

número de identificação eleitoral, ID eleitor eleição,
Número identificação eleitoral brasileira.
Número de registro nacional de personas jurídicas

de Brasil
En Brasil, el registro nacional de personas jurídicas (CNPJ) es un número único
que identifica a una persona u otro instrumento legal sin personalidad jurídica por
el Servicio de Impuestos Internos (IRS) de Brasil, una agencia del Ministerio de
Finanzas.
comprobación.
Ver "Amplitud alta del número de registro nacional de personas jurídicas de
de comprobación.
Ver "Amplitud media del número de registro nacional de personas jurídicas de

relacionadas con el CNPJ.
Ver "Amplitud baja del número de registro nacional de personas jurídicas de
Amplitud alta del número de registro nacional de personas jurídicas

de Brasil
comprobación.
Tabla 37-89 Patrones de amplitud alta del número de registro nacional de

Patrón
\d{14}
\d{8}[/]\d{6}
\d{8}[/]\d{4}-\d{2}
\d{2}.\d{3}.\d{3}[/]\d{4}-\d{2}
Tabla 37-90 Validador de amplitud alta del número de registro nacional de

Amplitud media del número de registro nacional de personas jurídicas

de Brasil
La amplitud media detecta un número de 14 dígitos con validación de la suma de
comprobación.
Tabla 37-91 Patrones de amplitud media del número de registro nacional de

Patrón
\d{14}
\d{8}[/]\d{6}
\d{8}[/]\d{4}-\d{2}
\d{2}.\d{3}.\d{3}[/]\d{4}-\d{2}
Tabla 37-92 Validador de amplitud media del número de registro nacional de


circundantes.
Comprobación de validación del número de registro Computa la suma de comprobación y valida el patrón en
nacional de personas jurídicas de Brasil función del resultado.
Amplitud baja del número de registro nacional de personas jurídicas

de Brasil
relacionadas con el CNPJ.
Tabla 37-93 Patrones de amplitud baja del número de registro nacional de

Patrón
\d{14}
\d{8}[/]\d{6}
\d{8}[/]\d{4}-\d{2}
\d{2}.\d{3}.\d{3}[/]\d{4}-\d{2}
Número de registro de personas físicas de Brasil (CPF)
Tabla 37-94 Validador de amplitud baja del número de registro nacional de


circundantes.
Comprobación de validación del número de registro Computa la suma de comprobación y valida el patrón en
nacional de personas jurídicas de Brasil función del resultado.
Entradas:
Número de personas jurídicas de Brasil,

núm.personajurídica, Id. persona jurídica, n.º persona
jurídica, núm.personajurídicaBrasil,
númeropersonajurídica, núm. persona jurídica, número
de personas jurídicas, CNPJ, CNPJ:, núm.CNPJ,
núm.cnpj, n.º cnpj CNPJ, Registro Nacional de Pessoas
Jurídicas n º, entidades jurídicas ID

El Cadastro de Pessoas Fisicas (CPF o "registro de personas físicas") es un número
que asigna la Agencia Tributaria de Brasil a los brasileños y extranjeros residentes
que pagan impuestos o forman parte, de forma directa o indirecta, de actividades
que pagan alguno de los diferentes impuestos que existen en Brasil.
comprobación.
Ver "Amplitud alta del número de registro de personas físicas de Brasil"
en la página 982.
de comprobación.
Ver "Amplitud media del número de registro de personas físicas de Brasil"
en la página 982.
relacionadas con el número de CPF.
Ver "Amplitud baja del número de registro de personas físicas de Brasil "
en la página 983.
Amplitud alta del número de registro de personas físicas de Brasil

comprobación.
Tabla 37-95 Patrones de amplitud alta del número de registro de personas físicas
de Brasil
Patrón
\d{11}
\d{9}[-]\d{2}
\d{3}[.]\d{3}[.]\d{3}[-]\d{2}
Tabla 37-96 Validador de amplitud alta del número de registro de personas

físicas de Brasil
Amplitud media del número de registro de personas físicas de Brasil

de comprobación.
Tabla 37-97 Patrón de amplitud media del número de registro de personas físicas
de Brasil
Patrón
\d{11}
\d{9}[-]\d{2}
\d{3}[.]\d{3}[.]\d{3}[-]\d{2}
Tabla 37-98 Validador de amplitud media del número de registro de personas

físicas de Brasil

circundantes.
Comprobación de validación del número de registro de Computa la suma de comprobación del número de registro
personas físicas de Brasil de personas físicas de Brasil que cada número de registro
de personas físicas de Brasil debe aprobar.
Amplitud baja del número de registro de personas físicas de Brasil

relacionadas con el número de CPF.
Tabla 37-99 Patrones de amplitud baja del número de registro de personas

físicas de Brasil
Patrón
\d{11}
\d{9}[-]\d{2}
\d{3}[.]\d{3}[.]\d{3}[-]\d{2}
Tabla 37-100 Validador de amplitud baja del número de registro de personas

físicas de Brasil

circundantes.
Comprobación de validación del número de registro de Computa la suma de comprobación del número de registro
personas físicas de Brasil de personas físicas de Brasil que cada número de registro
de personas físicas de Brasil debe aprobar.
Número personal de atención médica de Columbia Británica
Entradas:
registro de personas físicas, n.º CPF, n.º cpf, n.º de

CPF, número de registro, n.º de registro de personas
físicas, n.º de cpf, n.º reg. personas físicas, núm.cpf,
núm.CPF
Cadastro de Pessoas Físicas, pessoas singulares

registro NO pessoa natural número de registro
Número personal de atención médica de Columbia

Británica
Todas las personas que residan en Columbia Británica tienen la obligación legal
de inscribirse en un plan de servicios médicos (MSP) para acceder a las
instalaciones de atención médica básica.
La tarjeta de afiliación de MSP se llama Care Card y el número de MSP se denomina
número personal de salud.
comprobación.
Ver "Amplitud alta del número personal de atención médica de Columbia
Británica " en la página 985.
Ver " Amplitud media del número personal de atención médica de Columbia
relacionadas con el MSP.
Ver "Amplitud baja del número personal de atención médica de Columbia
Número personal de atención médica de Columbia Británica
Amplitud alta del número personal de atención médica de Columbia

Británica
comprobación.
Tabla 37-101 Patrones de amplitud alta del número personal de atención médica
de Columbia Británica
Patrón
[9]\d{9}
[9]\d{3} \d{3} \d{3}
Tabla 37-102 Validador de amplitud alta del número personal de atención médica
Amplitud media del número personal de atención médica de

Columbia Británica
La amplitud media detecta un número de 10 dígitos que aprueba la validación de
Tabla 37-103 Patrones de amplitud media del número personal de atención

Patrón
[9]\d{9}
[9]\d{3} \d{3} \d{3}
Tabla 37-104 Validador de amplitud media del número personal de atención


circundantes.
Número civil uniforme búlgaro: EGN
Comprobación de validación del número personal de Computa la suma de comprobación del número personal
atención médica de Columbia Británica de atención médica de Columbia Británica que cada
número personal de atención médica de Columbia
Británica debe aprobar.
Amplitud baja del número personal de atención médica de Columbia

Británica
relacionadas con el MSP.
Tabla 37-105 Patrones de amplitud baja del número personal de atención médica
Patrón
[9]\d{9}
[9]\d{3} \d{3} \d{3}
Tabla 37-106 Validador de amplitud baja del número personal de atención médica

circundantes.
Comprobación de validación del número personal de Computa la suma de comprobación del número personal
atención médica de Columbia Británica de atención médica de Columbia Británica que cada
número personal de atención médica de Columbia
Británica debe aprobar.

El número civil uniforme búlgaro (EGN) es un número único que se asigna a cada
ciudadano belga o extranjero con residencia. Funciona como un número de
identificación nacional. Se asigna un EGN a los belgas en el momento del
nacimiento o cuando se emite un certificado de nacimiento.

comprobación.
Ver "Amplitud alta del número civil uniforme búlgaro (EGN)" en la página 987.
Ver "Amplitud media del número civil uniforme búlgaro (EGN)" en la página 987.
relacionadas con el EGN.
Ver "Amplitud baja del número civil uniforme búlgaro (EGN)" en la página 988.
Amplitud alta del número civil uniforme búlgaro (EGN)

comprobación.
Tabla 37-107 Patrón de amplitud alta del número civil uniforme búlgaro (EGN)
Patrón
\d\d[024][123456789]0[123456789]\d{4}
\d\d[135][012]0[123456789]\d{4}
\d\d[024][123456789][12]\d{5}
\d\d[135][012][12]\d{5}
\d\d[024][123456789]3[01]\d{4}
\d\d[135][012]3[01]\d{4}
Tabla 37-108 Validador de amplitud alta del número civil uniforme búlgaro (EGN)
Amplitud media del número civil uniforme búlgaro (EGN)

La amplitud media detecta un número de 10 dígitos que aprueba la validación de
Tabla 37-109 Patrón de amplitud media del número civil uniforme búlgaro (EGN)
Patrón
\d\d[024][123456789]0[123456789]\d{4}
\d\d[135][012]0[123456789]\d{4}
\d\d[024][123456789][12]\d{5}
\d\d[135][012][12]\d{5}
\d\d[024][123456789]3[01]\d{4}
\d\d[135][012]3[01]\d{4}
Tabla 37-110 Validador de amplitud media del número civil uniforme búlgaro
(EGN)

circundantes.
Comprobación de validación del número civil uniforme Computa la suma de comprobación y valida el patrón en
búlgaro función del resultado.
Amplitud baja del número civil uniforme búlgaro (EGN)

relacionadas con el EGN.
Tabla 37-111 Patrón de amplitud baja del número civil uniforme búlgaro (EGN)
Patrón
\d\d[024][123456789]0[123456789]\d{4}
\d\d[135][012]0[123456789]\d{4}
\d\d[024][123456789][12]\d{5}
\d\d[135][012][12]\d{5}
\d\d[024][123456789]3[01]\d{4}
\d\d[135][012]3[01]\d{4}
Burgerservicenummer
Tabla 37-112 Validador de amplitud baja del número civil uniforme búlgaro (EGN)

circundantes.
Comprobación de validación del número civil uniforme Computa la suma de comprobación y valida el patrón en
búlgaro función del resultado.
Entradas:
BUCN, número civil uniforme, bucn#,

númerociviluniforme#, Id. civil uniforme, número civil
uniforme, número civil uniforme, EGN, número civil
uniforme de Bulgaria, númerociviluniforme#, BUCN#,
EGN#
Униформ граждански номер, Униформ ID, Униформ

граждански ID, Униформ граждански не.
Burgerservicenummer
En los Países Bajos, el Burgerservicenummer se usa para identificar particularmente
a los ciudadanos y está impreso en las licencias de conducir, los pasaportes y las
tarjetas de identificación internacionales debajo del encabezado Número personal.
El identificador de datos de Burgerservicenummer detecta un número de 8 o 9
dígitos que aprueba la validación de la suma de comprobación.
El identificador de datos del Burgerservicenummer proporciona dos amplitudes de
detección:
■ La amplitud alta detecta un número de 8 o 9 dígitos que aprueba la validación
Ver "Amplitud alta de Burgerservicenummer" en la página 990.
de la suma de comprobación. Además requiere la presencia de una palabra
clave relacionada con Burgerservicenummer.
Ver "Amplitud baja de Burgerservicenummer" en la página 990.
Burgerservicenummer
Amplitud alta de Burgerservicenummer

La amplitud alta detecta un número de 8 o 9 dígitos que aprueba la validación de
Tabla 37-113 Patrón de amplitud alta de Burgerservicenummer
Patrón
\d{9}
Tabla 37-114 Validador de amplitud alta de Burgerservicenummer
Comprobación de Burgerservicenummer Computa la suma de comprobación y valida el patrón en

Amplitud baja de Burgerservicenummer

La amplitud baja detecta un número de 8 o 9 dígitos que aprueba la validación de
la suma de comprobación. Además requiere la presencia de una palabra clave
relacionada con Burgerservicenummer.
Tabla 37-115 Patrón de amplitud baja de Burgerservicenummer
Patrón
\d{9}
Tabla 37-116 Validadores de amplitud baja de Burgerservicenummer
Comprobación de Burgerservicenummer Computa la suma de comprobación y valida el patrón en

Entradas:
Persoonsnummer, sofinummer, sociaal-fiscaal

nummer, persoonsgebonden, número de persona,
número social-fiscal, número relacionado con persona
Número de seguro social de Canadá

El Número de Seguro Social (SIN) de Canadá es un número de identificación
personal emitido por Recursos Humanos y Desarrollo de Competencias de Canadá
para administrar pensiones nacionales y planes de empleo.
El identificador de datos del número de seguro social de Canadá proporciona tres
■ La amplitud alta detecta números de 9 dígitos con el formato DDD-DDD-DDD
sin separadores o separados por guiones largos, espacios, puntos o barras
diagonales. Además realiza la validación de la comprobación de Luhn.
Ver "Amplitud alta del número de seguro social de Canadá" en la página 991.
■ La amplitud media detecta números de 9 dígitos con el formato DDD-DDD-DDD
separados por guiones largos, espacios o puntos. Además, realiza la validación
de la comprobación de Luhn y elimina los números no asignados y los números
de prueba comunes.
Ver "Amplitud media del número de seguro social de Canadá" en la página 992.
■ La amplitud baja detecta números de 9 dígitos con el formato DDD-DDD-DDD
separados por guiones largos o espacios. Además realiza la validación de la
comprobación de Luhn; elimina los números no asignados, los números
asignados ficticiamente y los números de prueba comunes, y requiere la
presencia de palabras clave relacionadas con Seguro social.
Ver "Amplitud baja del número de seguro social de Canadá" en la página 992.
Amplitud alta del número de seguro social de Canadá

La amplitud alta detecta números de 9 dígitos con el formato DDD-DDD-DDD sin
separadores o separados por guiones largos, espacios, puntos o barras diagonales.
Además realiza la validación de la comprobación de Luhn.
Tabla 37-117 Patrones de amplitud alta del número de seguro social de Canadá
Patrón
\d{3} \d{3} \d{3}
\d{9}
\d{3}/\d{3}/\d{3}
\d{3}.\d{3}.\d{3}
\d{3}-\d{3}-\d{3}
Tabla 37-118 Validador de amplitud alta del número de seguro social de Canadá
Comprobación de Luhn El validador computa la suma de comprobación de Luhn

que debe aprobar cada número de seguro de Canadá.
Amplitud media del número de seguro social de Canadá

La amplitud media detecta números de 9 dígitos con el formato DDD-DDD-DDD
separados por guiones largos, espacios o puntos. Además, realiza la validación
de la comprobación de Luhn y elimina los números no asignados y los números
de prueba comunes.
Tabla 37-119 Patrones de amplitud media del número de seguro social de Canadá
Patrón
\d{3} \d{3} \d{3}
\d{3}.\d{3}.\d{3}
\d{3}-\d{3}-\d{3}
Tabla 37-120 Validadores de amplitud media del número de seguro social de

Canadá


circundantes.
Entrada:
8, 123456789
Amplitud baja del número de seguro social de Canadá

La amplitud baja detecta números de 9 dígitos con el formato DDD-DDD-DDD
separados por guiones largos o espacios. Además realiza la validación de la
comprobación de Luhn; elimina los números no asignados, los números asignados
Número de identificación nacional de Chile
ficticiamente y los números de prueba comunes, y requiere la presencia de palabras

clave relacionadas con Seguro social.
Tabla 37-121 Patrones de amplitud baja del número de seguro social de Canadá
Patrón
\d{3} \d{3} \d{3}
\d{3}-\d{3}-\d{3}
Tabla 37-122 Validadores de amplitud baja del número de seguro social de Canadá


circundantes.
Entrada:
0, 8, 123456789
Entradas:
pensión, pensiones, seg soc, # seg, seg social, CSIN,

SSN, Seguridad Social, seguro social, Canadá,
canadiense

El número de identidad nacional chileno, o rol único nacional (RUN), es el único
número de identificación que se asigna a todos los residentes chilenos que residen
dentro y fuera del territorio chileno, y a los extranjeros con residencia permanente
o temporal en el país.
de comprobación.
Ver "Amplitud alta del número de identificación nacional de Chile"

en la página 994.
Ver "Amplitud media del número de identificación nacional de Chile"
en la página 994.
de la suma de comprobación. Además requiere la presencia de palabras clave
relacionadas con el RUN.
Ver "Amplitud baja del número de identificación nacional de Chile"
en la página 995.
Amplitud alta del número de identificación nacional de Chile

comprobación.
Tabla 37-123 Patrones de amplitud alta del número de identificación nacional de

Chile
Patrón
\d{7}[0123456789Kk]
\d{7}[-][0123456789Kk]
\d[.]\d{3}[.]\d{3}[-][0123456789Kk]
\d{8}[0123456789Kk]
\d{8}[-][0123456789Kk]
\d{2}[.]\d{3}[.]\d{3}[-][0123456789Kk]
Tabla 37-124 Validador de amplitud alta del número de identificación nacional

de Chile
Amplitud media del número de identificación nacional de Chile

La amplitud media detecta un número de 8 o 9 dígitos con la validación de la suma
de comprobación.
Tabla 37-125 Patrones de amplitud media del número de identificación nacional

de Chile
Patrón
\d{7}[0123456789Kk]
\d{7}[-][0123456789Kk]
\d[.]\d{3}[.]\d{3}[-][0123456789Kk]
\d{8}[0123456789Kk]
\d{8}[-][0123456789Kk]
\d{2}[.]\d{3}[.]\d{3}[-][0123456789Kk]
Tabla 37-126 Validador de amplitud media del número de identificación nacional

de Chile
nacional de Chile función del resultado.
Amplitud baja del número de identificación nacional de Chile

La amplitud baja detecta un número de 8 o 9 dígitos que aprueba la validación de
relacionadas con el RUN.
Tabla 37-127 Patrones de amplitud baja del número de identificación nacional

de Chile
Patrón
\d{7}[0123456789Kk]
\d{7}[-][0123456789Kk]
\d[.]\d{3}[.]\d{3}[-][0123456789Kk]
\d{8}[0123456789Kk]
\d{8}[-][0123456789Kk]
\d{2}[.]\d{3}[.]\d{3}[-][0123456789Kk]
Número de pasaporte de China
Tabla 37-128 Validador de amplitud baja del número de identificación nacional

de Chile
nacional de Chile función del resultado.
Entradas:
RUT, RUN, número de identificación nacional, n.º de

identidad de Chile, rol único nacional, núm.rut,
núm.run, númeroidentificación, núm.identidad,#,
número de identificación, Idrol único nacional#,
identidad nacional, número identificación, número
identificación nacional, identidad número

El pasaporte de la República Popular China, comúnmente conocido como pasaporte
chino, se emite a los nativos de la República Popular China que no residan
permanentemente en Hong Kong o Macao para viajes internacionales.
El identificador de datos del número de pasaporte de China ofrece dos amplitudes
de detección:
■ La amplitud alta detecta un identificador de 9 a 10 caracteres.
Ver "Amplitud alta del número del pasaporte de China" en la página 996.
■ La amplitud baja detecta un identificador de 9 a 10 caracteres. Además, requiere
la presencia de palabras clave relacionadas con el pasaporte chino.
Ver "Amplitud baja del número del pasaporte de China" en la página 997.
Amplitud alta del número del pasaporte de China

La amplitud alta detecta un identificador de 9 a 10 caracteres.
Tabla 37-129 Patrones de amplitud alta del número de pasaporte de China
Patrón
\d{9}
Patrón
\l\d{8}
\l{2}\d{8}
Tabla 37-130 Validador de amplitud alta del número de pasaporte de China

circundantes.
Amplitud baja del número del pasaporte de China

La amplitud alta detecta un identificador de 9 a 10 caracteres. Además, requiere
la presencia de palabras clave relacionadas con el pasaporte chino.
Tabla 37-131 Patrones de amplitud baja del número de pasaporte de China
Patrón
\d{9}
\l\d{8}
\l{2}\d{8}
Tabla 37-132 Validadores de amplitud baja del número de pasaporte de China

circundantes.
Entradas:
中国护照, 护照, 护照本, pasaporte, Pasaporte,

PASAPORTE DE CHINA, Pasaporte de China,
pasaporte de china, Libreta de pasaporte, libreta de
pasaporte
Codice Fiscale
Codice Fiscale
El Codice Fiscale identifica exclusivamente a los ciudadanos italianos y a los
extranjeros con residencia permanente. La emisión de este código se centraliza
en el Ministerio de Hacienda. El Codice Fiscale se emite a cada italiano en el
nacimiento.
El identificador de datos del Codice Fiscale proporciona dos amplitudes de
detección:
■ La amplitud alta detecta un identificador de 16 caracteres que aprueba la
validación de la suma de comprobación.
Ver "Amplitud alta de Codice Fiscale" en la página 998.
■ La amplitud baja detecta un identificador de 16 caracteres que aprueba la
validación de la suma de comprobación. Además requiere la presencia de
palabras clave relacionadas con Codice Fiscale.
Ver "Amplitud baja de Codice Fiscale" en la página 998.
Amplitud alta de Codice Fiscale

La amplitud alta detecta un identificador de 16 caracteres que aprueba la validación
Tabla 37-133 Patrones de amplitud alta de Codice Fiscale
Patrón
[A-Z]{6}[0-9LMNPQRSTUV]{2}[ABCDEHLMPRST][0-9LMNPQRSTUV]{2}[A-Z] [0-9LMNPQRSTUV]{3}[A-Z]
[A-Z]{3} [A-Z]{3} [0-9LMNPQRSTUV]{2}[ABCDEHLMPRST][0-9LMNPQRSTUV]{2}

[A-Z][0-9LMNPQRSTUV]{3}[A-Z]
Tabla 37-134 Validador de amplitud alta de Codice Fiscale
Comprobar clave de control de Codice Fiscale Computa la clave de control y comprueba si es válida.
Amplitud baja de Codice Fiscale

La amplitud baja detecta un identificador de 16 caracteres que aprueba la validación
relacionadas con Codice Fiscale.
Direcciones en Colombia
Tabla 37-135 Patrones de amplitud baja de Codice Fiscale
Patrón
[A-Z]{6}[0-9LMNPQRSTUV]{2}[ABCDEHLMPRST][0-9LMNPQRSTUV]{2}[A-Z] [0-9LMNPQRSTUV]{3}[A-Z]
[A-Z]{3} [A-Z]{3} [0-9LMNPQRSTUV]{2}[ABCDEHLMPRST][0-9LMNPQRSTUV]{2}

[A-Z][0-9LMNPQRSTUV]{3}[A-Z]
Tabla 37-136 Validadores de amplitud baja de Codice Fiscale
Entradas:
codice fiscal, dati anagrafici, partita I.V.A., p. iva,

código de impuesto, datos personales, número de IVA
El identificador de datos de las direcciones colombianas detecta las direcciones
particulares y las ubicaciones físicas en Colombia.
El identificador de datos de las direcciones colombianas proporciona dos amplitudes
de detección:
■ La amplitud alta detecta una dirección sin la validación.
Ver " Amplitud alta de las direcciones de Colombia" en la página 999.
■ La amplitud baja detecta una dirección con la validación de la palabra clave.
Ver "Amplitud baja de las direcciones de Colombia" en la página 1001.
Amplitud alta de las direcciones de Colombia

La amplitud alta detecta una dirección sin la validación.
Tabla 37-137 Patrones de amplitud alta de las direcciones de Colombia
Patrón
\d{1,3} No. \d{1,3}-\d{1,3}

Patrón
\d{1,3} \d{1,3}-\d{1,3}
\d{1,3} Bis \d{1,3}[A-Za-z]-\d{1,3}
\d{1,3}[A-Za-z] Bis \d{1,3}[A-Za-z]-\d{1,3}
\d{1,3}[A-Za-z] \d{1,3}[A-Za-z]-\d{1,3}
\d{1,3} \d{1,3}[A-Za-z]-\d{1,3}
\d{1,3}[A-Za-z] \d{1,3}-\d{1,3}
\d{1,3} Bis No \d{1,3}[A-Za-z]-\d{1,3}
\d{1,3} Bis No. \d{1,3}[A-Za-z]-\d{1,3}
\d{1,3}[A-Za-z] Bis No. \d{1,3}[A-Za-z]-\d{1,3}
\d{1,3}[A-Za-z] Bis # \d{1,3}[A-Za-z]-\d{1,3}
\d{1,3}[A-Za-z] No. \d{1,3}[A-Za-z]-\d{1,3}
\d{1,3} # \d{1,3}[A-Za-z]-\d{1,3}
\d{1,3} No. \d{1,3}[A-Za-z]-\d{1,3}
\d{1,3}[A-Za-z] Bis No \d{1,3}[A-Za-z]-\d{1,3}
\d{1,3}[A-Za-z] No \d{1,3}[A-Za-z]-\d{1,3}
\d{1,3} # \d{1,3}-\d{1,3}
\d{1,3}[A-Za-z] # \d{1,3}-\d{1,3}
\d{1,3} No \d{1,3}-\d{1,3}
\d{1,3}[A-Za-z] No. \d{1,3}-\d{1,3}
\d{1,3}[A-Za-z] No \d{1,3}-\d{1,3}
\d{1,3} Bis # \d{1,3}[A-Za-z]-\d{1,3}
\d{1,3}[A-Za-z] # \d{1,3}[A-Za-z]-\d{1,3}
\d{1,3} No \d{1,3}[A-Za-z]-\d{1,3}
La amplitud alta del identificador de datos de las direcciones de Colombia no incluye

un validador.
Amplitud baja de las direcciones de Colombia

La amplitud baja detecta una dirección con la validación de la palabra clave.
Tabla 37-138 Patrones de amplitud baja de las direcciones de Colombia
Patrón
\d{1,3} No. \d{1,3}-\d{1,3}
\d{1,3} \d{1,3}-\d{1,3}
\d{1,3} Bis \d{1,3}[A-Za-z]-\d{1,3}
\d{1,3}[A-Za-z] Bis \d{1,3}[A-Za-z]-\d{1,3}
\d{1,3}[A-Za-z] \d{1,3}[A-Za-z]-\d{1,3}
\d{1,3} \d{1,3}[A-Za-z]-\d{1,3}
\d{1,3}[A-Za-z] \d{1,3}-\d{1,3}
\d{1,3} Bis No \d{1,3}[A-Za-z]-\d{1,3}
\d{1,3} Bis No. \d{1,3}[A-Za-z]-\d{1,3}
\d{1,3}[A-Za-z] Bis No. \d{1,3}[A-Za-z]-\d{1,3}
\d{1,3}[A-Za-z] Bis # \d{1,3}[A-Za-z]-\d{1,3}
\d{1,3}[A-Za-z] No. \d{1,3}[A-Za-z]-\d{1,3}
\d{1,3} # \d{1,3}[A-Za-z]-\d{1,3}
\d{1,3} No. \d{1,3}[A-Za-z]-\d{1,3}
\d{1,3}[A-Za-z] Bis No \d{1,3}[A-Za-z]-\d{1,3}
\d{1,3}[A-Za-z] No \d{1,3}[A-Za-z]-\d{1,3}
\d{1,3} # \d{1,3}-\d{1,3}
\d{1,3}[A-Za-z] # \d{1,3}-\d{1,3}
\d{1,3} No \d{1,3}-\d{1,3}
\d{1,3}[A-Za-z] No. \d{1,3}-\d{1,3}
\d{1,3}[A-Za-z] No \d{1,3}-\d{1,3}
\d{1,3} Bis # \d{1,3}[A-Za-z]-\d{1,3}

Número de teléfono celular de Colombia
Patrón
\d{1,3}[A-Za-z] # \d{1,3}[A-Za-z]-\d{1,3}
\d{1,3} No \d{1,3}[A-Za-z]-\d{1,3}
Tabla 37-139 Validadores de amplitud baja de las direcciones de Colombia
Entradas:
Calle, Cll, Carrera, Cra, Cr, Avenida, Av, Dg, Diagonal,

Diag, Tv, Trans, Transversal, vereda

El identificador de datos del número de teléfono celular de Colombia detecta los
números de teléfono celular colombianos.
El identificador de datos del número de teléfono celular de Colombia proporciona
■ La amplitud alta detecta un número de 8 a 10 dígitos con la validación de dígitos
duplicados.
Ver "Amplitud alta del número de teléfono celular de Colombia" en la página 1002.
■ La amplitud baja detecta un número de 8 a 10 dígitos con los caracteres
necesarios al principio. Además comprueba la existencia de dígitos duplicados
y requiere la presencia de palabras clave relacionadas con el número de teléfono
celular de Colombia.
Ver "Amplitud baja del número de teléfono celular de Colombia" en la página 1004.
Amplitud alta del número de teléfono celular de Colombia

La amplitud alta detecta un número de 8 a 10 dígitos con la validación de dígitos
duplicados.
Tabla 37-140 Patrones de amplitud alta del número de teléfono celular de

Colombia
Patrón
\d{8}
\d{2}.\d{3}.\d{3}
\d{2} \d{3} \d{3}
\d{2}/\d{3}/\d{3}
\d{2}-\d{3}-\d{3}
\d{2},\d{3},\d{3}
\d{9}
\d{3} \d{3} \d{3}
\d{3}-\d{3}-\d{3}
\d{3},\d{3},\d{3}
\d{3}/\d{3}/\d{3}
\d{3}.\d{3}.\d{3}
\d{10}
\d{1}/\d{3}/\d{3}/\d{3}
\d{1},\d{3},\d{3},\d{3}
\d{1}.\d{3}.\d{3}.\d{3}
\d{1}-\d{3}-\d{3}-\d{3}
\d{1} \d{3} \d{3} \d{3}
Tabla 37-141 Validador de amplitud alta del número de teléfono celular de

Colombia
Amplitud baja del número de teléfono celular de Colombia

La amplitud baja detecta un número de 8 a 10 dígitos con los caracteres necesarios
al principio. Además comprueba la existencia de dígitos duplicados y requiere la
presencia de palabras clave relacionadas con el número de teléfono celular de
Colombia.
Tabla 37-142 Patrones de amplitud baja del número de teléfono celular de

Colombia
Patrón
\d{8}
\d{2}.\d{3}.\d{3}
\d{2} \d{3} \d{3}
\d{2}/\d{3}/\d{3}
\d{2}-\d{3}-\d{3}
\d{2},\d{3},\d{3}
\d{9}
\d{3} \d{3} \d{3}
\d{3}-\d{3}-\d{3}
\d{3},\d{3},\d{3}
\d{3}/\d{3}/\d{3}
\d{3}.\d{3}.\d{3}
\d{10}
\d{1}/\d{3}/\d{3}/\d{3}
\d{1},\d{3},\d{3},\d{3}
\d{1}.\d{3}.\d{3}.\d{3}
\d{1}-\d{3}-\d{3}-\d{3}
\d{1} \d{3} \d{3} \d{3}

Número de identificación personal de Colombia
Tabla 37-143 Validadores de amplitud baja del número de teléfono celular de

Colombia
Requerir caracteres de inicio Este validador requiere los caracteres siguientes al

principio del número:
300, 301, 302, 310, 311, 312, 313, 314, 315, 316, 317,
318, 319, 320, 321, 350.

circundantes.
Entradas:
numero celular, número de teléfono, teléfono celular

no., numero celular#

El número de identificación personal de Colombia es un número único de 8 a 10
dígitos asignado a los ciudadanos colombianos en el nacimiento.
El identificador de datos del número de identificación personal de Colombia
proporciona dos amplitudes de detección:
■ La amplitud alta detecta un número de 8 o 10 dígitos con la validación de dígitos
duplicados.
Ver "Amplitud alta del número de identificación personal de Colombia"
en la página 1006.
■ La amplitud baja detecta un número de 8 o 10 dígitos con la validación de dígitos
duplicados; la exclusión de prefijos y de sufijos; y la exclusión del carácter del
principio. Además requiere la presencia de palabras clave relacionadas con el
número de identificación personal de Colombia.
Ver "Amplitud baja del número de identificación personal de Colombia"
en la página 1006.
Amplitud alta del número de identificación personal de Colombia

La amplitud alta detecta un número de 8 o 10 dígitos con la validación de dígitos
duplicados.
Tabla 37-144 Patrones de amplitud alta del número de identificación personal

de Colombia
Patrón
\d{9}
\d{3} \d{3} \d{3}
\d{3}-\d{3}-\d{3}
\d{3},\d{3},\d{3}
\d{3}/\d{3}/\d{3}
\d{3}.\d{3}.\d{3}
Tabla 37-145 Validador de amplitud alta del número de identificación personal

de Colombia
Amplitud baja del número de identificación personal de Colombia

La amplitud baja detecta un número de 8 o 10 dígitos con la validación de dígitos
duplicados; la exclusión de prefijos y de sufijos; y la exclusión del carácter del
principio. Además requiere la presencia de palabras clave relacionadas con el
número de identificación personal de Colombia.
Tabla 37-146 Patrones de amplitud baja del número de identificación personal

de Colombia
Patrón
\d{9}
\d{3} \d{3} \d{3}
\d{3}-\d{3}-\d{3}
\d{3},\d{3},\d{3}
Número de identificación del contribuyente de Colombia
Patrón
\d{3}/\d{3}/\d{3}
\d{3}.\d{3}.\d{3}
Tabla 37-147 Validadores de amplitud baja del número de identificación personal

de Colombia
Excluir caracteres de inicio Excluye los caracteres siguientes al principio del número:
300, 301, 302, 310, 310, 312, 313, 314, 315, 316, 317,
318, 319, 320, 321, 350.
Excluir prefijo Excluye los prefijos siguientes:
$ ,$.
Excluir sufijo Excluye el sufijo siguiente:
.00.

circundantes.
Entradas:
cedula, cédula, c.c., c.c, C.C., C.C, cc, CC, NIE., NIE,
nie., nie, cedula de ciudadania, cédula de ciudadanía,
n.ºcc, n.º CC, documento de identificacion, documento
de identificación, Nit.

Colombia
El número de identificación del contribuyente de Colombia es
El identificador de datos del número de identificación del contribuyente de Colombia
■ La amplitud alta detecta un número de 9 dígitos con la validación de dígitos
duplicados.
Número de identificación del contribuyente de Colombia
Ver "Amplitud alta del número de identificación del contribuyente de Colombia"

en la página 1008.
■ La amplitud baja detecta un número de 9 dígitos con la validación de dígitos
duplicados, los caracteres necesarios del principio y la exclusión de prefijos.
Además requiere la presencia de palabras clave relacionadas con el número
de identificación del contribuyente de Colombia.
Ver "Amplitud baja del número de identificación del contribuyente de Colombia"
en la página 1008.

Colombia
La amplitud alta detecta un número de 9 dígitos con la validación de dígitos
duplicados.
Tabla 37-148 Patrones de amplitud alta del número de identificación del

contribuyente de Colombia
Patrón
\d{9}
\d{3} \d{3} \d{3}
\d{3}-\d{3}-\d{3}
\d{3},\d{3},\d{3}
\d{3}/\d{3}/\d{3}
\d{3}.\d{3}.\d{3}
Tabla 37-149 Validador de amplitud alta del número de identificación del


Colombia
La amplitud baja detecta un número de 9 dígitos con la validación de dígitos
duplicados, los caracteres necesarios del principio y la exclusión de prefijos. Además
Datos de banda magnética de tarjetas de crédito
requiere la presencia de palabras clave relacionadas con el número de identificación

del contribuyente de Colombia.

Patrón
\d{9}
\d{3} \d{3} \d{3}
\d{3}-\d{3}-\d{3}
\d{3},\d{3},\d{3}
\d{3}/\d{3}/\d{3}
\d{3}.\d{3}.\d{3}

Requerir caracteres de inicio Requiere estos caracteres al principio del número:
800, 860, 890, 900.
Excluir prefijo Excluye el prefijo siguiente:
$.

circundantes.
Entradas:
NIT., NIT, nit., nit, Nit.

La banda magnética de una tarjeta de crédito contiene información sobre la tarjeta.
El almacenamiento de la versión completa de estos datos infringe el Estándar de
Seguridad de los Datos (DSS) para la Industria de Pagos con Tarjeta de Crédito
(PCI).
El identificador de datos de datos de banda magnética para tarjetas de crédito
detecta los siguientes datos sin procesar obtenidos de la banda magnética de la
tarjeta de crédito:
■ Datos de la pista 1, formato B, que normalmente contiene el número de cuenta,
el nombre, la fecha de caducidad y, posiblemente, el valor de verificación de la
tarjeta o el código de verificación 1 de la tarjeta (CVV1/CVC1).
■ Datos de la pista 2, que normalmente contiene el número de cuenta y,
posiblemente, la fecha de caducidad, el código de servicio y el valor de
verificación de la tarjeta o el código de verificación 1 de la tarjeta (CVV1/CVC1).
El identificador de datos de datos de banda magnética para tarjetas de crédito
detecta el patrón de datos característico de la pista 2, que contiene el centinela de
inicio, el código de formato, el número de cuenta principal, el nombre, la fecha de
caducidad, el código de servicio, los datos discrecionales y el centinela de
terminación. Además incluye separadores de campos estándar. Valida los datos
usando un validador de la comprobación de Luhn.
Tabla 37-152 Patrones de amplitud media de datos de banda magnética de

Patrón Patrón (continuación)
;1800\d{11}= %B3[068]\d{12}^[A-Z]{1}
;6011-\d{4}-\d{4}-\d{4}= %B3[068]\d{2} \d{6} \d{4}^[A-Z]{1}
;6011 \d{4} \d{4} \d{4}= %B3[068]\d{2}-\d{6}-\d{4}^[A-Z]{1}
;6011\d{12}= %B4\d{12}^[A-Z]{1}
;3[068]\d{12}= %B3[47]\d{2}-\d{6}-\d{5}^[A-Z]{1}
;3[068]\d{2} \d{6} \d{4}= %B4\d{3} \d{4} \d{4} \d{4}^[A-Z]{1}
;3[068]\d{2}-\d{6}-\d{4}= %B3[47]\d{2} \d{6} \d{5}^[A-Z]{1}
;4\d{12}= %B4\d{15}^[A-Z]{1}
;3[47]\d{2}-\d{6}-\d{5}= %B3[47]\d{13}^[A-Z]{1}
;4\d{3} \d{4} \d{4} \d{4}= %B5[1-5]\d{2}-\d{4}-\d{4}-\d{4}^[A-Z]{1}
;3[47]\d{2} \d{6} \d{5}= %B4\d{3}-\d{4}-\d{4}-\d{4}^[A-Z]{1}
;4\d{15}= ;3[47]\d{13}= %B5[1-5]\d{2} \d{4} \d{4} \d{4}^[A-Z]{1}
;5[1-5]\d{2}-\d{4}-\d{4}-\d{4}= %B5[1-5]\d{14}^[A-Z]{1}
;4\d{3}-\d{4}-\d{4}-\d{4}= %B2131\d{11}^[A-Z]{1}
;5[1-5]\d{2} \d{4} \d{4} \d{4}= %B3\d{3}-\d{4}-\d{4}-\d{4}^[A-Z]{1}
;5[1-5]\d{14}= ;2131\d{11}= %B3\d{3} \d{4} \d{4} \d{4}^[A-Z]{1}
;3\d{3}-\d{4}-\d{4}-\d{4}= %B3\d{15}^[A-Z]{1}
;3\d{3} \d{4} \d{4} \d{4}= %B2149\d{11}^[A-Z]{1}
;3\d{15}= %B2149 \d{6} \d{5}^[A-Z]{1}
;2149\d{11}= %B2149-\d{6}-\d{5}^[A-Z]{1}
;2149 \d{6} \d{5}= %B2014\d{11}^[A-Z]{1}
;2149-\d{6}-\d{5}= %B2014 \d{6} \d{5}^[A-Z]{1}
;2014\d{11}= %B2014-\d{6}-\d{5}^[A-Z]{1}
;2014 \d{6} \d{5}=
;2014-\d{6}-\d{5}=
%B1800\d{11}^[A-Z]{1}
%B6011-\d{4}-\d{4}-\d{4}^[A-Z]{1}
%B6011 \d{4} \d{4} \d{4}^[A-Z]{1}
%B6011\d{12}^[A-Z]{1}
Número de tarjeta de crédito
Tabla 37-153 Validador de amplitud media de datos de banda magnética de

Comprobación de Luhn Computa la suma de comprobación de Luhn, que cada

sesión debe aprobar.

Se necesita el número de cuenta para procesar transacciones con tarjeta de crédito.
Su sigla suele ser NTC (CCN en inglés). También se denomina Número de Cuenta
Principal (PAN en inglés).
El identificador de datos del número de tarjeta de crédito ofrece tres amplitudes de
detección:
■ La amplitud alta detecta los números de tarjeta de crédito válidos separados
por espacios, guiones largos o puntos, o sin separadores. Además realiza la
validación de la comprobación de Luhn.
Ver "Amplitud alta del número de tarjeta de crédito" en la página 1012.
■ La amplitud media detecta los números de tarjeta de crédito válidos separados
por espacios, guiones largos o puntos, o sin separadores. Además comprueba
la existencia de números de prueba comunes y realiza la validación de la
comprobación de Luhn.
Ver "Amplitud media del número de tarjeta de crédito" en la página 1013.
■ La amplitud baja detecta los números de tarjeta de crédito válidos separados
por espacios, guiones largos o puntos, o sin separadores. Además comprueba
la existencia de números de prueba comunes, realiza la validación de la
comprobación de Luhn y requiere la presencia de palabras clave relacionadas
con el número de tarjeta de crédito.
Ver "Amplitud baja del número de tarjeta de crédito" en la página 1017.
Amplitud alta del número de tarjeta de crédito

La amplitud alta detecta los números de tarjeta de crédito válidos separados por
espacios, guiones largos o puntos, o sin separadores.
Este validador incluye formatos para American Express, Diner's Club, Discover,
Japan Credit Bureau (JCB), MasterCard y Visa.
Este validador realiza la validación de la comprobación de Luhn.
Tabla 37-154 Patrones de amplitud alta del número de tarjeta de crédito
2149 \d{6} \d{5} 4\d{12}

2149-\d{6}-\d{5} \d{16}
2014\d{11} \d{4}.\d{4}.\d{4}.\d{4}
2014 .\d{6}.\d{5} \d{4}-\d{4}-\d{4}-\d{4}
2014 \d{6} \d{5} \d{4} \d{4} \d{4} \d{4}
2014-\d{6}-\d{5} 1800\d{11}
3[47]\d{2}.\d{6}.\d{5} 2131\d{11}
3[068]\d{2}.\d{6}.\d{4} 2149\d{11}
3[47]\d{2}-\d{6}-\d{5} 2149.\d{6}.\d{5}
3[068]\d{2}-\d{6}-\d{4}
3[47]\d{13}
3[068]\d{2} \d{6} \d{4}
3[47]\d{2} \d{6} \d{5}
3[068]\d{12}
Tabla 37-155 Validador de amplitud alta del número de tarjeta de crédito
Comprobación de Luhn Computa la suma de comprobación de Luhn, que cada número de tarjeta de
crédito debe aprobar.
Amplitud media del número de tarjeta de crédito

La amplitud media detecta los números de tarjeta de crédito válidos separados por
espacios, guiones largos o puntos, o sin separadores. Valida comprobaciones de
Luhn. Este validador incluye formatos para American Express, Diner's Club,
Discover, Japan Credit Bureau (JCB), MasterCard y Visa. Este validador elimina
los números de prueba comunes, incluidos aquellos reservados por los emisores
de tarjetas de crédito con fines de prueba.
Tabla 37-156 Patrones de amplitud media del número de tarjeta de crédito

2720.\d{4}.\d{4}.\d{4}
2720-\d{4}-\d{4}-\d{4}
2720 \d{4} \d{4} \d{4}
2720\d{12}
6221[2][6-8]\d{10}
6221.[2][6-8]\d{2}.\d{4}.\d{4}
6221-[2][6-8]\d{2}-\d{4}-\d{4}
6221 [2][6-8]\d{2} \d{4} \d{4}
622[2-8]\d{12}
622[2-8].\d{4}.\d{4}.\d{4}
622[2-8]-\d{4}-\d{4}-\d{4}
622[2-8] \d{4} \d{4} \d{4}
6229[2][0-5]\d{10}
6229.[2][0-5]\d{2}.\d{4}.\d{4}
6229-[2][0-5]\d{2}-\d{4}-\d{4}
6229 [2][0-5]\d{2} \d{4} \d{4}
2014 \d{6} \d{5}
2014-\d{6}-\d{5}
2014\d{11}
6011.\d{4}.\d{4}.\d{4}
6011-\d{4}-\d{4}-\d{4}
6011 \d{4} \d{4} \d{4}
6011\d{12}
3[068]\d{2}.\d{6}.\d{4}
3[068]\d{2}-\d{6}-\d{4}
3[068]\d{2} \d{6} \d{4}
3[068]\d{12}
3[47]\d{13}
3[47]\d{2}.\d{6}.\d{5}
3[47]\d{2} \d{6} \d{5}
3[47]\d{2}-\d{6}-\d{5}
1800\d{11}
2131\d{11}
3\d{3}.\d{4}.\d{4}.\d{4}
3\d{3}-\d{4}-\d{4}-\d{4}
3\d{3} \d{4} \d{4} \d{4}
3\d{15}
4\d{3}.\d{4}.\d{4}.\d{4}
4\d{3}-\d{4}-\d{4}-\d{4}
4\d{3} \d{4} \d{4} \d{4}
4\d{15}
4\d{12}
5[1-5]\d{2}.\d{4}.\d{4}.\d{4}
5[1-5]\d{2}-\d{4}-\d{4}-\d{4}
2149.\d{6}.\d{5}
5[1-5]\d{2} \d{4} \d{4} \d{4}
2149 \d{6} \d{5}
5[1-5]\d{14}
2149-\d{6}-\d{5}
2149\d{11}
2014.\d{6}.\d{5}
222[1-9]\d{12}
222[1-9][.-]\d{4}[.-]\d{4}[.-]\d{4}
22[3-9]\d{13}
22[3-9]\d[.-]\d{4}[.-]\d{4}[.-]\d{4}
2[3-6]\d{14}
2[3-6]\d{2}.\d{4}.\d{4}.\d{4}
2[3-6]\d{2}-\d{4}-\d{4}-\d{4}
2[3-6]\d{2} \d{4} \d{4} \d{4}
27[0-1]\d{13}
27[0-1]\d.\d{4}.\d{4}.\d{4}
27[0-1]\d-\d{4}-\d{4}-\d{4}
27[0-1]\d \d{4} \d{4} \d{4}
Tabla 37-157 Validadores de amplitud media del número de tarjeta de crédito
Excluir coincidencias exactas Excluye las coincidencias con el texto especificado.
Excluir entradas de coincidencias 0111111111111111, 1234567812345670, 180025848680889, 180026939516875,

exactas 201400000000009, 201411032364438, 201431736711288, 210002956344412,
214906110040367, 30000000000004, 30175572836108, 30203642658706,
30374367304832, 30569309025904, 3088000000000000, 3088000000000009,
3088272824427380, 3096666928988980, 3158060990195830, 340000000000009,
341019464477148, 341111111111111, 341132368578216, 343510064010360,
344400377306201, 3530111333300000, 3566002020360500, 370000000000002,
371449635398431, 374395534374782, 378282246310005, 378282246310005,
378282246310005, 378734493671000, 38520000023237, 4007000000027,
4012888888881880, 4024007116284, 4111111111111110, 4111111111111111,
4222222222222, 4242424242424242, 4485249610564758, 4539399050593,
4539475158333170, 4539603277651940, 4539687075612974, 4539890911376230,
4556657397647250, 4716733846619930, 4716976758661, 4916437046413,
4916451936094420, 4916491104658550, 4916603544909870, 4916759155933,
5105105105105100, 5119301340696760, 5263386793750340, 5268196752489640,
5283145597742620, 5424000000000015, 5429800397359070, 5431111111111111,
5455780586062610, 5472715456453270, 5500000000000004, 5539878514522540,
5547392938355060, 5555555555554440, 5555555555554444, 5556722757422205,
6011000000000000, 6011000000000004, 6011000000000012, 6011000990139420,
6011111111111110, 6011111111111117, 6011312054074430, 6011354276117410,
6011601160116611, 6011905056260500, 869908581608894, 869933317208876,
869989278167071
Comprobación de Luhn El validador computa la suma de comprobación de Luhn que cada número de
tarjeta de crédito debe aprobar.
Delimitador numérico Valida una coincidencia comprobando los números circundantes.
Amplitud baja del número de tarjeta de crédito

La amplitud baja detecta los números de tarjeta de crédito válidos separados por
espacios, guiones largos o puntos, o sin separadores. Valida comprobaciones de
Luhn. Incluye formatos para American Express, Diner's Club, Discover, Japan
Credit Bureau (JCB), MasterCard y Visa. Elimina los números de prueba comunes,
incluidos los reservados por los emisores de tarjetas de crédito con fines de prueba.
También requiere una palabra clave relacionada con tarjeta de crédito.
Tabla 37-158 Patrones de amplitud baja del número de tarjeta de crédito
222[1-9]\d{12}
222[1-9][.-]\d{4}[.-]\d{4}[.-]\d{4}
22[3-9]\d{13}
22[3-9]\d[.-]\d{4}[.-]\d{4}[.-]\d{4}
2[3-6]\d{14}
2[3-6]\d{2}.\d{4}.\d{4}.\d{4}
2[3-6]\d{2}-\d{4}-\d{4}-\d{4}
2[3-6]\d{2} \d{4} \d{4} \d{4}
27[0-1]\d{13}
27[0-1]\d.\d{4}.\d{4}.\d{4}
27[0-1]\d-\d{4}-\d{4}-\d{4}
27[0-1]\d \d{4} \d{4} \d{4}
2720.\d{4}.\d{4}.\d{4}
2720-\d{4}-\d{4}-\d{4}
2720 \d{4} \d{4} \d{4}
2720\d{12}
6221[2][6-8]\d{10}
6221.[2][6-8]\d{2}.\d{4}.\d{4}
6221-[2][6-8]\d{2}-\d{4}-\d{4}
6221 [2][6-8]\d{2} \d{4} \d{4}
622[2-8]\d{12}
622[2-8].\d{4}.\d{4}.\d{4}
622[2-8]-\d{4}-\d{4}-\d{4}
622[2-8] \d{4} \d{4} \d{4}
6229[2][0-5]\d{10}
6229.[2][0-5]\d{2}.\d{4}.\d{4}
6229-[2][0-5]\d{2}-\d{4}-\d{4}
6229 [2][0-5]\d{2} \d{4} \d{4}

2149 \d{6} \d{5}
2149-\d{6}-\d{5}
2014\d{11}
2014 \d{6} \d{5}
2014-\d{6}-\d{5}
6011-\d{4}-\d{4}-\d{4}
6011 \d{4} \d{4} \d{4}
6011\d{12}
3[068]\d{12}
3[068]\d{2} \d{6} \d{4}
3[068]\d{2}-\d{6}-\d{4}
3[47]\d{2}-\d{6}-\d{5}
3[47]\d{2} \d{6} \d{5}
3[47]\d{13}
4\d{3}-\d{4}-\d{4}-\d{4}
3\d{3}.\d{4}.\d{4}.\d{4}
2149.\d{6}.\d{5}
2014.\d{6}.\d{5}
6011.\d{4}.\d{4}.\d{4}
3[068]\d{2}.\d{6}.\d{4}
3[47]\d{2}.\d{6}.\d{5}
4\d{3}.\d{4}.\d{4}.\d{4}
1800\d{11}
4\d{12}
4\d{3} \d{4} \d{4} \d{4}
4\d{15}
5[1-5]\d{2}-\d{4}-\d{4}-\d{4}
5[1-5]\d{2} \d{4} \d{4} \d{4}
5[1-5]\d{14}
5[1-5]\d{2}.\d{4}.\d{4}.\d{4}
2131\d{11}
3\d{3}-\d{4}-\d{4}-\d{4}
3\d{3} \d{4} \d{4} \d{4}

3\d{15}
2149\d{11}
Tabla 37-159 Validadores de amplitud baja del número de tarjeta de crédito
Excluir coincidencias exactas Excluye las coincidencias con el texto especificado.
Excluir entradas de coincidencias 0111111111111111, 1234567812345670, 180025848680889, 180026939516875,

exactas 201400000000009, 201411032364438, 201431736711288, 210002956344412,
214906110040367, 30000000000004, 30175572836108, 30203642658706,
30374367304832, 30569309025904, 3088000000000000, 3088000000000009,
3088272824427380, 3096666928988980, 3158060990195830, 340000000000009,
341019464477148, 341111111111111, 341132368578216, 343510064010360,
344400377306201, 3530111333300000, 3566002020360500, 370000000000002,
371449635398431, 374395534374782, 378282246310005, 378282246310005,
378282246310005, 378734493671000, 38520000023237, 4007000000027,
4012888888881880, 4024007116284, 4111111111111110, 4111111111111111,
4222222222222, 4242424242424242, 4485249610564758, 4539399050593,
4539475158333170, 4539603277651940, 4539687075612974, 4539890911376230,
4556657397647250, 4716733846619930, 4716976758661, 4916437046413,
4916451936094420, 4916491104658550, 4916603544909870, 4916759155933,
5105105105105100, 5119301340696760, 5263386793750340, 5268196752489640,
5283145597742620, 5424000000000015, 5429800397359070, 5431111111111111,
5455780586062610, 5472715456453270, 5500000000000004, 5539878514522540,
5547392938355060, 5555555555554440, 5555555555554444, 5556722757422205,
6011000000000000, 6011000000000004, 6011000000000012, 6011000990139420,
6011111111111110, 6011111111111117, 6011312054074430, 6011354276117410,
6011601160116611, 6011905056260500, 869908581608894, 869933317208876,
869989278167071
Comprobación de Luhn Computa la suma de comprobación de Luhn que cada número de tarjeta de crédito
debe aprobar.
Delimitador numérico Valida una coincidencia comprobando los números circundantes.
Encontrar palabras clave Con esta opción seleccionada, al menos una de las siguientes palabras clave o
frases clave debe estar incluida en los datos para generar coincidencias.
Número de CUSIP
Encontrar entradas de palabras número de cuenta, cuenta ps, american express, americanexpress, amex,
clave tarjeta bancaria, tarjetabancaria, núm tarjeta, número de tarjeta, # tc, #tc, ntc,
tarjeta de débito, tarjeta débito, tarjeta de crédito, # tarjeta de crédito, número
de tarjeta de crédito, # tarjeta crédito, tarjeta de débito, tarjeta débito, diners
club, dinersclub, discover, enrutamiento, japanese card bureau, jcb,
mastercard, mc, visa
Número de CUSIP
El número de CUSIP es un código particular asignado a acciones y títulos valores
norteamericanos. Este número es emitido por el Comité de Procedimientos de
Identificación Uniforme de Valores (CUSIP) para autorizar y cerrar operaciones de
compra-venta de acciones. CINS es una extensión de CUSIP usada para identificar
valores fuera de América del Norte.
El identificador de datos del número de CUSIP detecta cadenas de 9 caracteres.
Este identificador de datos proporciona tres amplitudes de detección:
■ La amplitud alta valida el dígito de comprobación final.
Ver "Amplitud alta del número de CUSIP" en la página 1021.
■ La amplitud media valida el dígito de comprobación final y requiere una palabra
clave.
Ver "Amplitud media del número de CUSIP" en la página 1022.
■ La amplitud baja valida el dígito de comprobación final y requiere la presencia
de una palabra clave, excepto la palabra clave "NNA".
Ver "Amplitud baja del número de CUSIP" en la página 1022.
Amplitud alta del número de CUSIP

La amplitud alta detecta cadenas de 9 caracteres. Los caracteres quinto, sexto,
séptimo y octavo pueden ser letras o números, y el resto son dígitos. Valida el
dígito de comprobación final.
Tabla 37-160 Patrón de amplitud alta del número de CUSIP
Patrón
w\d\w{6}\d
\w\d\w{4} \w{2} \d
Número de CUSIP
Tabla 37-161 Validador de amplitud alta del número de CUSIP
Amplitud media del número de CUSIP

La amplitud media del identificador de datos del número de CUSIP detecta cadenas
de 9 caracteres. Los caracteres quinto, sexto, séptimo y octavo pueden ser letras
o números, y el resto son dígitos.
Esta edición del validador valida el dígito de comprobación final y también requiere
una palabra clave relacionada con CUSIP.
Tabla 37-162 Patrón de amplitud media del número de CUSIP
Patrón
w\d\w{6}\d
\w\d\w{4} \w{2} \d
Tabla 37-163 Validador de amplitud media del número de CUSIP
Validación de CUSIP El validador comprueba los rangos no válidos de CUSIP y

computa la suma de comprobación de CUSIP (módulo 10,
algoritmo de Luhn).
Encontrar palabras clave Con esta opción seleccionada, al menos una de las siguientes
palabras clave o frases clave debe estar incluida en los datos
para generar coincidencias.
Encontrar entrada de cusip, c.u.s.i.p., Comité de Procedimientos de Identificación

palabras clave Uniforme de Valores, Asociación de Banqueros de Estados
Unidos, Standard & Poor's, S&P, Asociación Nacional de
Numeración, NNA, Número de identificación nacional de
seguridad
Amplitud baja del número de CUSIP

La amplitud baja detecta cadenas de 9 caracteres. Los caracteres quinto, sexto,
séptimo y octavo pueden ser letras o números, y el resto son dígitos.
Número de identificación personal de República Checa
Esta edición del validador valida el dígito de comprobación final y también requiere
una palabra clave relacionada con CUSIP.
Esta edición del identificador de datos es de amplitud más baja que la amplitud
media porque no incluye la abreviatura “NNA” como palabra clave.
Tabla 37-164 Patrón de amplitud baja del número de CUSIP
Patrón
w\d\w{6}\d
\w\d\w{4} \w{2} \d
Tabla 37-165 Validadores de amplitud baja del número de CUSIP
Encontrar entrada de palabras cusip, c.u.s.i.p., Comité de Procedimientos de Identificación Uniforme de

clave Valores, Asociación de Banqueros de Estados Unidos, Standard & Poor's,
S&P, Asociación Nacional de Numeración, Número de identificación nacional
de seguridad
Número de identificación personal de República

Checa
El Ministerio del Interior otorga a todos los ciudadanos de República Checa un
número de identificación personal único.
Este identificador de datos proporciona tres amplitudes de validación:
de comprobación.
Ver "Amplitud alta del número de identificación personal de República Checa"
en la página 1024.
Ver "Amplitud media del número de identificación personal de República Checa"
en la página 1024.

relacionadas con el número de identificación personal de República Checa
Ver "Amplitud baja del número de identificación personal de República Checa"
en la página 1025.
Amplitud alta del número de identificación personal de República

Checa
comprobación.

de República Checa
Patrón
\d\d[0156]\d[0123]\d[/]\d\d\d
\d\d[0156]\d[0123]\d[/]\d\d\d\d
\d\d[0156]\d[0123]\d\d\d\d
\d\d[0156]\d[0123]\d\d\d\d\d
\d\d[0156]\d[012345678]\d[/]\d\d\d
\d\d[0156]\d[012345678]\d[/]\d\d\d\d
\d\d[0156]\d[012345678]\d\d\d\d
\d\d[0156]\d[012345678]\d\d\d\d\d

de República Checa
Amplitud media del número de identificación personal de República

Checa
Tabla 37-168 Patrón de amplitud media del número de identificación personal

de República Checa
Patrón
\d\d[0156]\d[0123]\d[/]\d\d\d
\d\d[0156]\d[0123]\d[/]\d\d\d\d
\d\d[0156]\d[0123]\d\d\d\d
\d\d[0156]\d[0123]\d\d\d\d\d
\d\d[0156]\d[012345678]\d[/]\d\d\d
\d\d[0156]\d[012345678]\d[/]\d\d\d\d
\d\d[0156]\d[012345678]\d\d\d\d
\d\d[0156]\d[012345678]\d\d\d\d\d
Tabla 37-169 Validadores de amplitud media del número de identificación

personal de República Checa
Delimitador numérico Valida una coincidencia comprobando los caracteres circundantes.
personal de República Checa
Excluir caracteres de inicio 5555555555, 1111111111, 111111111
Amplitud baja del número de identificación personal de República

Checa
relacionadas con el número de identificación personal de República Checa

de República Checa
Patrón
\d\d[0156]\d[0123]\d[/]\d\d\d
\d\d[0156]\d[0123]\d[/]\d\d\d\d
Patrón
\d\d[0156]\d[0123]\d\d\d\d
\d\d[0156]\d[0123]\d\d\d\d\d
\d\d[0156]\d[012345678]\d[/]\d\d\d
\d\d[0156]\d[012345678]\d[/]\d\d\d\d
\d\d[0156]\d[012345678]\d\d\d\d
\d\d[0156]\d[012345678]\d\d\d\d\d
Tabla 37-171 Validador de amplitud baja del número de identificación personal

de República Checa

circundantes.
personal de República Checa función del resultado.
Entradas:
número de identificación personal, PID, número de

identidad nacional, número de identificación personal
de República Checa, número de identificación, número
de Id. personal de República Checa, número de
identificación, Id. de República Checa, número de
identidad de la república, número nacional, número
de seguro, número de identificación único, PID#,
númeroidentidadcheco#, númeroidentidad#
Osobní identifikační číslo, Pojištění číslo, unikátní

identifikační číslo , Osobní identifikační číslo,
identifikační číslo
Número de identificación personal de Dinamarca

En Dinamarca, todos los ciudadanos tienen un número de identificación nacional.
El número se utiliza como prueba de identificación para casi todos los propósitos.
El identificador de datos del número de identificación personal de Dinamarca
proporciona tres amplitudes de detección:
■ La amplitud alta detecta un número de diez dígitos sin validación de la suma
de comprobación.
Ver "Amplitud alta del número de identificación personal de Dinamarca"
en la página 1027.
■ La amplitud media detecta un número de diez dígitos con validación de la suma
de comprobación.
Ver "Amplitud media del número de identificación personal de Dinamarca"
en la página 1028.
■ La amplitud media detecta un número de diez dígitos con validación de la suma
de comprobación. Además requiere la presencia de palabras clave relacionadas.
Ver "Amplitud baja del número de identificación personal de Dinamarca"
en la página 1028.
Amplitud alta del número de identificación personal de Dinamarca

La amplitud alta detecta un número de diez dígitos sin validación de la suma de
comprobación.

de Dinamarca
Patrón
\d{6}-\d{4}
\d{6}[ -]\l{4}
\d{10}

de Dinamarca
Amplitud media del número de identificación personal de Dinamarca

La amplitud media detecta un número de diez dígitos con validación de la suma
de comprobación.
Tabla 37-174 Patrones de amplitud media del número de identificación personal

de Dinamarca
Patrón
\d{6}-\d{4}
\d{6}[ -]\l{4}
\d{10}

personal de Dinamarca
Validadores obligatorios Descripción
Delimitador numérico Valida una coincidencia comprobando los

caracteres circundantes.
Comprobación de validación del número de Validador de la suma de comprobación del

identificación personal de Dinamarca número de identificación personal de
Dinamarca.
Amplitud baja del número de identificación personal de Dinamarca

La amplitud media detecta un número de diez dígitos con validación de la suma

de Dinamarca
Patrón
\d{6}-\d{4}
\d{6}[ -]\l{4}
\d{10}
Número de licencia de conducir del estado de California

de Dinamarca

circundantes.
Comprobación de validación del número de identificación Validador de la suma de comprobación del número de
personal de Dinamarca identificación personal de Dinamarca.
Entradas:
número de identificación nacional, número de

identidad nacional, número de identidad personal,
número de identificación personal,
númerodeidentificaciónnacional,
númerodeidentidadpersonal, número de identificación
único, númerodeidentificaciónúnico, Nationalt
identifikationsnummer, personnummer, unikt
identifikationsnummer, identifikationsnummer, centrale
personregister, cpr, cpr-nummer, cpr#, cpr-nummer#,
identifikationsnummer#, personnummer#
Número de licencia de conducir del estado de

California
Este es el número de identificación de la licencia de conducir de un individuo emitida
por el estado de California, en los EE. UU.
El identificador de datos del número de licencia de conducir del estado de California
detecta la presencia de un número de 7 dígitos.
Este identificador de datos proporciona dos amplitudes de validación:
■ La amplitud alta detecta cualquier número de 7 dígitos.
Ver "Amplitud alta del número de licencia de conducir del estado de California"
en la página 1030.
■ La amplitud media valida un número detectado mediante palabras clave.
Ver "Amplitud media del número de licencia de conducir del estado de California"
en la página 1030.
Número de licencia de conducir del estado de California

California
La amplitud alta del identificador de datos del número de licencia de conducir del
estado de California detecta una cadena de 8 caracteres que comienza con una
letra seguida por un número de 7 dígitos.
Nota: Esta opción de amplitud no incluye ningún validador.
Tabla 37-178 Patrón de amplitud alta del número de licencia de conducir
Patrón
\l\d{7}
Amplitud media del número de licencia de conducir del estado de

California
La amplitud media de este identificador de datos detecta una cadena de 8 caracteres
que comienza con una letra seguida por un número de 7 dígitos.
Valida un número detectado mediante una palabra clave relacionada con licencia
de conducir Y una palabra clave relacionada con California.
Tabla 37-179 Patrón de amplitud media del número de licencia de conducir:

estado de California
Patrón
\l\d{7}
Tabla 37-180 Validadores de amplitud media del número de licencia de conducir:

estado de California
Encontrar entrada de palabras licencia de conductor, licencia conducir, licencia de conducir, licencias de
clave conductor, licencias conducir, licencias de conducir, dl#, dls#, lic#, lics#
Número de licencia de conducir: Estados de Florida, Míchigan y Minnesota
Encontrar entrada de palabras ca, calif, california

clave
Número de licencia de conducir: Estados de Florida,

Míchigan y Minnesota
Estos son los números de identificación de la licencia de conducir de un individuo
emitida por uno de los siguientes estados de los EE. UU.: Florida, Míchigan o
Minnesota. Estos estados se agrupan porque comparten un patrón común con
respecto a este número.
Este identificador de datos detecta una cadena de 13 caracteres que comienza
con una letra seguida por 12 números.
■ La amplitud alta detecta cualquier cadena de 13 caracteres con una letra seguida
por 12 números.
Ver "Amplitud alta de los números de licencia de conducir de los estados de
Florida, Míchigan y Minnesota" en la página 1031.
■ La amplitud media limita el alcance, ya que requiere palabras clave.
Ver "Amplitud media de los números de licencia de conducir de los estados de
Florida, Míchigan y Minnesota" en la página 1032.
Amplitud alta de los números de licencia de conducir de los estados

de Florida, Míchigan y Minnesota
La amplitud alta de este identificador de datos detecta cualquier cadena de 13
caracteres con una letra seguida por 12 números.
Para el número de licencia de Minnesota, se busca una coincidencia con el formato
siguiente: L-DDD-DDD-DDD-DDD.

Número de licencia de conducir: Estados de Florida, Míchigan y Minnesota
Tabla 37-181 Patrones de amplitud alta de los números de licencia de conducir:

Estados de Florida, Míchigan y Minnesota
Patrones
\l \d{3} \d{3} \d{3} \d{3}
\l\d{12}
\l\d{3}-\d{3}-\d{2}-\d{3}-\d
\l-\d{3}-\d{3}-\d{3}-\d{3}
Amplitud media de los números de licencia de conducir de los

estados de Florida, Míchigan y Minnesota
La amplitud media de este identificador de datos implementa patrones para detectar
cualquier cadena de 13 caracteres con una letra seguida por 12 números. Para el
número de licencia de Minnesota, se busca una coincidencia con el formato
siguiente: L-DDD-DDD-DDD-DDD.
Este identificador de datos valida el número mediante una palabra clave relacionada
con licencia de conducir Y una palabra clave relacionada con estado.
Tabla 37-182 Patrones de amplitud media de los números de licencia de conducir:

estados de Florida, Míchigan y Minnesota
Patrón
\l \d{3} \d{3} \d{3} \d{3}
\l\d{12}
\l\d{3}-\d{3}-\d{2}-\d{3}-\d
\l-\d{3}-\d{3}-\d{3}-\d{3}
Tabla 37-183 Validadores de amplitud media de los números de licencia de

conducir: estados de Florida, Míchigan y Minnesota
Encontrar palabras clave Requiere que al menos una de las palabras clave o de las frases clave de entrada
coincida con los datos.
Encontrar entrada de palabras clave licencia de conductor, licencia conducir, licencia de conducir, licencias de
conductor, licencias conducir, licencias de conducir, dl#, dls#, lic#, lics#
Número de licencia de conducir: estado de Illinois
Encontrar entrada de palabras clave fla, fl, florida, míchigan, mi, minnesota, mn
Número de licencia de conducir: estado de Illinois

por el estado de Illinois de los EE. UU.
El identificador de datos del número de licencia de conducir del estado de Illinois
detecta la presencia de un número de licencia de conducir de Illinois.
■ La amplitud alta detecta la presencia de una cadena de 12 caracteres.
Ver "Amplitud alta del número de licencia de conducir: Estado de Illinois"
en la página 1033.
Ver "Amplitud media del número de licencia de conducir: estado de Illinois"
en la página 1033.
Amplitud alta del número de licencia de conducir: Estado de Illinois

La amplitud alta detecta una cadena de 12 caracteres que empieza con una letra
(la primera letra de los apellidos de la persona) seguida por 11 números.
Tabla 37-184 Patrones de amplitud alta del número de licencia de conducir:

Estado de Illinois
Patrón
\l\d{3}-\d{4}-\d{4}
\l\d{11}
Amplitud media del número de licencia de conducir: estado de Illinois

La amplitud media detecta una cadena de 12 caracteres que comienza con una
letra (la primera letra del apellido de la persona) seguida por 11 números.
Número de licencia de conducir: estado de Nueva Jersey
Esta amplitud también requiere una palabra clave relacionada con licencia de
conducir Y una palabra clave relacionada con Illinois.
Tabla 37-185 Patrones de amplitud media del número de licencia de conducir:

estado de Illinois
Patrón
\l\d{3}-\d{4}-\d{4}
\l\d{11}

estado de Illinois
Encontrar palabras clave Requiere que al menos una de las palabras clave o de las
frases clave de entrada coincida con los datos.
Encontrar entrada de palabras clave licencia de conductor, licencia conducir, licencia de

conducir, licencias de conductor, licencias conducir,
licencias de conducir, dl#, dls#, lic#, lics#
Encontrar entrada de palabras clave il, illinois
Número de licencia de conducir: estado de Nueva

Jersey
por el estado de Nueva Jersey, en los EE. UU.
El identificador de datos del número de licencia de conducir del estado de Nueva
Jersey detecta la presencia de un número de licencia de conducir de Nueva Jersey.
■ La amplitud alta detecta la presencia de una cadena de 15 caracteres.
Ver "Amplitud alta del número de licencia de conducir del estado de Nueva
Ver "Amplitud media del número de licencia de conducir: estado de Nueva
Número de licencia de conducir: estado de Nueva Jersey
Amplitud alta del número de licencia de conducir del estado de Nueva

Jersey
La amplitud alta detecta una cadena de 15 caracteres que empieza con una letra
(la primera letra de los apellidos de la persona) seguida por 14 números.
Nota: La opción de amplitud alta no incluye ningún validador.

Estado de Nueva Jersey
Patrones
\l\d{4} \d{5} \d{5}
\l\d{14}
Amplitud media del número de licencia de conducir: estado de Nueva

Jersey
La amplitud media detecta una cadena de 15 caracteres que comienza con una
letra (la primera letra del apellido de la persona) seguida por 14 números.
conducir Y una palabra clave relacionada con Nueva Jersey.

estado de Nueva Jersey
Patrón
\l\d{3}-\d{4}-\d{4}
\l\d{11}

estado de Nueva Jersey
Validadores Descripción
Encontrar entrada de palabras clave licencia de conductor, licencia conducir, licencia de

conducir, licencias de conductor, licencias conducir,
Número de licencia de conducir: estado de Nueva York
Validadores Descripción
Encontrar entrada de palabras clave nj, nueva jersey, nuevajersey
Número de licencia de conducir: estado de Nueva York

por el estado de Nueva York de los EE. UU.
El identificador de datos detecta la presencia de un número de licencia de conducir
de Nueva York.
■ La amplitud alta detecta una cadena de nueve dígitos.
Ver "Amplitud alta del número de licencia de conducir del estado de Nueva
York" en la página 1036.
Ver "Amplitud media del número de licencia de conducir: estado de Nueva
Amplitud alta del número de licencia de conducir del estado de Nueva

York
La amplitud alta detecta una cadena de 9 dígitos.
Nota: La opción de amplitud alta no incluye ningún validador.

Estado de Nueva York
Patrón
\d{3} \d{3} \d{3}
\d{9}
Amplitud media del número de licencia de conducir: estado de Nueva

York
La amplitud media detecta una cadena de 9 dígitos.
Número de licencia de conducir: estado de Washington
conducir Y una palabra clave relacionada con Nueva York.

Patrón
\l\d{3}-\d{4}-\d{4}
\l\d{11}

Encontrar entrada de palabras licencia de conductor, licencia conducir, licencia de

clave conducir, licencias de conductor, licencias conducir,
Encontrar entrada de palabras nueva york, ny, nuevayork

clave
Número de licencia de conducir: estado de

Washington
Número de identificación de la licencia de conducir del individuo emitida por el
estado de Washington en los EE. UU.
El identificador de datos del número de licencia de conducir del estado de
Washington proporciona tres amplitudes de detección.
■ La amplitud alta detecta una licencia de conducir del estado de Washington sin
validación.
Ver " Amplitud alta del número de licencia de conducir: estado de Washington"
en la página 1038.
■ La amplitud media detecta una licencia de conducir del estado de Washington
con la validación de la suma de comprobación.
Ver "Amplitud media del número de licencia de conducir: estado de Washington"

en la página 1038.
■ La amplitud baja detecta una licencia de conducir del estado de Washington
con la validación de la suma de comprobación. Además requiere la presencia
de las palabras clave relacionadas con Licencia de conducir del estado de
Washington.
Ver "Amplitud baja del número de licencia de conducir: estado de Washington"
en la página 1039.

Washington
La amplitud alta detecta una licencia de conducir del estado de Washington sin
validación.
Tabla 37-193 Patrones de amplitud alta del número de licencia de conducir: estado
de Washington
Patrón
\l{5}\l[A-Za-z*]\d{3}\w{2}
\l{4}[*]\l[A-Za-z*]\d{3}\w{2}
\l{3}[*]{2}\l[A-Za-z*]\d{3}\w{2}
\l{2}[*]{3}\l[A-Za-z*]\d{3}\w{2}
\l{1}[*]{4}\l[A-Za-z*]\d{3}\w{2}
La amplitud alta del identificador de datos del número de licencia de conducir del
estado de Washington no incluye un validador.

Washington
La amplitud media detecta una licencia de conducir del estado de Washington con
la validación de la suma de comprobación.

estado de Washington
Patrón
\l{5}\l[A-Za-z*]\d{3}\w{2}
Patrón
\l{4}[*]\l[A-Za-z*]\d{3}\w{2}
\l{3}[*]{2}\l[A-Za-z*]\d{3}\w{2}
\l{2}[*]{3}\l[A-Za-z*]\d{3}\w{2}
\l{1}[*]{4}\l[A-Za-z*]\d{3}\w{2}

Comprobación de validación del número de licencia de Computa la suma de comprobación y valida el patrón en
conducir: estado de Washington función del resultado.

Washington
La amplitud baja detecta una licencia de conducir del estado de Washington con
la validación de la suma de comprobación. Además requiere la presencia de las
palabras clave relacionadas con Licencia de conducir del estado de Washington.
Tabla 37-196 Patrones de amplitud baja del número de licencia de conducir:

Patrón
\l{5}\l[A-Za-z*]\d{3}\w{2}
\l{4}[*]\l[A-Za-z*]\d{3}\w{2}
\l{3}[*]{2}\l[A-Za-z*]\d{3}\w{2}
\l{2}[*]{3}\l[A-Za-z*]\d{3}\w{2}
\l{1}[*]{4}\l[A-Za-z*]\d{3}\w{2}
Tabla 37-197 Validadores de amplitud baja del número de licencia de conducir:

conducir: estado de Washington función del resultado.
Número de licencia de conducir: estado de Wisconsin
Entradas:
licencia de conducir, licencia conducir, licencias de

conducir, licencias conducir, n.ºldec, n.ºlc, n.ºlic,
n.ºlics, wash, washington, wa

El número de licencia de conducir del estado de Wisconsin es un número de
identificación de la licencia de conducir de un individuo emitida por el estado de
Wisconsin en los EE. UU.
El identificador de datos del número de licencia de conducir del estado de Wisconsin
proporciona tres amplitudes de detección.
■ La amplitud alta detecta un número de 13 dígitos con la validación de la exclusión
del carácter final.
Ver " Amplitud alta del número de licencia de conducir: estado de Wisconsin"
en la página 1040.
del carácter final y la suma de comprobación.
Ver "Amplitud media del número de licencia de conducir: estado de Wisconsin"
en la página 1041.
del carácter final y la suma de comprobación. Además requiere la presencia de
las palabras clave relacionadas con el número de licencia de conducir del estado
de Wisconsin.
Ver "Amplitud baja del número de licencia de conducir: estado de Wisconsin"
en la página 1042.

Wisconsin
La amplitud alta detecta un número de 13 dígitos con la validación de la exclusión
del carácter final.
Tabla 37-198 Patrones de amplitud alta del número de licencia de conducir: estado
de Wisconsin
Patrón
\l\d{3}-\d{4}-\d{4}-\d{2}
\l\d{13}
Tabla 37-199 Validador de amplitud alta del número de licencia de conducir:

estado de Wisconsin
Excluir caracteres de fin Excluye los caracteres siguientes al final del número:
0000000000000, 1111111111111, 2222222222222,

3333333333333, 4444444444444, 5555555555555,
6666666666666, 7777777777777, 8888888888888,
9999999999999.

Wisconsin
del carácter final y la suma de comprobación.

estado de Wisconsin
Patrón
\l\d{3}-\d{4}-\d{4}-\d{2}
\l\d{13}

estado de Wisconsin
conducir: estado de Wisconsin función del resultado.
0000000000000, 1111111111111, 2222222222222,

3333333333333, 4444444444444, 5555555555555,
6666666666666, 7777777777777, 8888888888888,
9999999999999.

Wisconsin
del carácter final y la suma de comprobación. Además requiere la presencia de las
palabras clave relacionadas con el número de licencia de conducir del estado de
Wisconsin.
Tabla 37-202 Patrones de amplitud baja del número de licencia de conducir:

estado de Wisconsin
Patrón
\l\d{3}-\d{4}-\d{4}-\d{2}
\l\d{13}
Tabla 37-203 Validadores de amplitud baja del número de licencia de conducir:

estado de Wisconsin
conducir: estado de Wisconsin función del resultado.
0000000000000, 1111111111111, 2222222222222,

3333333333333, 4444444444444, 5555555555555,
6666666666666, 7777777777777, 8888888888888,
9999999999999.
Número de la Agencia Antidrogas (DEA)
Entradas:
licencia de conducir, licencia conducir, licencias de

conducir, licencias conducir, n.ºldec, n.ºlc, n.ºlic,
n.ºlics, wisc., wisconsin, wi

Un número de la DEA es un número asignado a un proveedor de cuidado de la
salud (por ejemplo, un médico, un dentista o un veterinario) por la Agencia
Antidrogas de Estados Unidos para que pueda escribir recetas de sustancias
controladas.
El identificador de datos del número de la Agencia Antidrogas (DEA) proporciona
tres amplitudes de detección:
■ La amplitud alta detecta un número de 8 o 9 dígitos sin validación.
Ver " Amplitud alta del número de la Agencia Antidrogas (DEA)" en la página 1043.
■ La amplitud media detecta un número de 8 o 9 caracteres con la validación de
la exclusión del carácter final y la validación de la suma de comprobación.
Ver "Amplitud media del número de la Agencia Antidrogas (DEA)"
en la página 1044.
■ La amplitud baja detecta un número de 8 o 9 caracteres con la validación de la
exclusión del carácter final y la validación de la suma de comprobación. Además
requiere la presencia de palabras clave relacionadas con el número de la DEA.
Ver "Amplitud baja del número de la Agencia Antidrogas (DEA)" en la página 1044.
Amplitud alta del número de la Agencia Antidrogas (DEA)

La amplitud alta detecta un número de 8 o 9 dígitos sin validación.
Tabla 37-204 Patrones de amplitud alta del número de la Agencia Antidrogas

(DEA)
Patrón
[ABFGMPR]\l\d{7}
[ABFGMPR]\d{8}
La amplitud alta del identificador de datos del número de la Agencia Antidrogas

(DEA) no incluye ningún validador.
Amplitud media del número de la Agencia Antidrogas (DEA)

La amplitud media detecta un número de 8 o 9 caracteres con la validación de la
exclusión del carácter final y la validación de la suma de comprobación.
Tabla 37-205 Patrones de amplitud media del número de la Agencia Antidrogas

(DEA)
Patrón
[ABFGMPR]\l\d{7}
[ABFGMPR]\d{8}
Tabla 37-206 Validadores de amplitud media del número de la Agencia Antidrogas

(DEA)
Comprobación de validación del número de la Agencia Computa la suma de comprobación y valida el patrón en
Antidrogas de los Estados Unidos función del resultado.
Excluir caracteres de fin Excluye estos caracteres finales:
5555555, 55555555.
Amplitud baja del número de la Agencia Antidrogas (DEA)

La amplitud baja detecta un número de 8 o 9 caracteres con la validación de la
exclusión del carácter final y la validación de la suma de comprobación. Además
requiere la presencia de palabras clave relacionadas con el número de la DEA.
Tabla 37-207 Patrones de amplitud baja del número de la Agencia Antidrogas

(DEA)
Patrón
[ABFGMPR]\l\d{7}
[ABFGMPR]\d{8}
Número de identificación personal de Finlandia
Tabla 37-208 Validadores de amplitud baja del número de la Agencia Antidrogas

(DEA)
Comprobación de validación del número de la Agencia Computa la suma de comprobación y valida el patrón en
Antidrogas de los Estados Unidos función del resultado.
Excluir caracteres de fin Excluye estos caracteres finales:
5555555, 55555555.
Entradas:
número de dea, DEA, núm. de DEA, Número de

Registro de DEA, núm. de registro de DEA, n.º de DEA,
n.º DEA, Número de la Agencia Antidrogas, Núm. de
la Agencia Antidrogas

El número de identificación personal o el código de identidad personal de Finlandia
es un identificador personal único usado para identificar a los ciudadanos en el
gobierno y muchas otras transacciones.
El identificador de datos del número de identificación personal de Finlandia
■ La amplitud alta detecta un número de identificación personal de Finlandia sin
validación.
Ver " Amplitud alta del número de identificación personal de Finlandia"
en la página 1046.
■ La amplitud media detecta un número de identificación personal de Finlandia
con la validación de la suma de comprobación.
Ver "Amplitud media del número de identificación personal de Finlandia"
en la página 1046.
■ La amplitud baja detecta un número de identificación personal de Finlandia con
la validación de la suma de comprobación. Además requiere la presencia de
palabras clave relacionadas con el número de identificación personal de
Finlandia.
Ver "Amplitud baja del número de identificación personal de Finlandia"
en la página 1046.
Amplitud alta del número de identificación personal de Finlandia

La amplitud alta detecta un número de identificación personal de Finlandia sin
validación.
Tabla 37-209 Patrón de amplitud alta del número de identificación personal de

Finlandia
Patrón
\d{6}[-+Aa]\d{3}\w
La amplitud alta del número de identificación personal de Finlandia no incluye

ningún validador.
Amplitud media del número de identificación personal de Finlandia

La amplitud media detecta un número de identificación personal de Finlandia con

de Finlandia
Patrón
\d{6}[-+Aa]\d{3}\w

personal de Finlandia
personal de Finlandia función del resultado.
Amplitud baja del número de identificación personal de Finlandia

La amplitud baja detecta un número de identificación personal de Finlandia con la
validación de la suma de comprobación. Además requiere la presencia de palabras
clave relacionadas con el número de identificación personal de Finlandia.
Tabla 37-212 Patrón de amplitud baja del número de identificación personal de

Finlandia
Patrón
\d{6}[-+Aa]\d{3}\w
Número de licencia de conducir de Francia

de Finlandia
personal de Finlandia función del resultado.
Entradas:
número de identificación, Id. personal, número de

identidad, Número de Id. nacional de Finlandia,
n.ºdeId.personal, Número de Identificación Nacional,
número de id., Núm. de id. nacional, Número de Id.
nacional, núm. de id., tunnistenumero, henkilötunnus,
yksilöllinen henkilökohtainen tunnistenumero,
Ainutlaatuinen henkilökohtainen tunnus, identiteetti
numero, Suomen kansallinen henkilötunnus,
henkilötunnusnumero#, kansallisen tunnistenumero,
tunnusnumero, kansallinen tunnus numero

Número de identificación de la licencia de conducir de una persona emitida por la
Agencia de Concesión de Licencias de Vehículos y Conductores de Francia.
El identificador de datos del número de licencia de conducir de Francia proporciona
comprobación.
Ver "Amplitud alta del número de licencia de conducir de Francia"
en la página 1047.
Ver "Amplitud baja del número de licencia de conducir de Francia"
en la página 1048.
Amplitud alta del número de licencia de conducir de Francia

comprobación.

Francia
Patrón
\d{12}
Tabla 37-215 Validadores de amplitud alta del número de licencia de conducir de

Francia

circundantes.
Amplitud baja del número de licencia de conducir de Francia

La amplitud baja detecta un número de 12 dígitos sin validación de la suma de
Tabla 37-216 Patrón de amplitud baja del número de licencia de conducir de

Francia
Patrón
\d{12}
Tabla 37-217 Validadores de amplitud baja del número de licencia de conducir

de Francia

circundantes.
Número de seguro de salud de Francia
Entradas:
número de licencia de conducir, número de licencia

de conductor, número de licencia de conducción,
número de licencia de conducir, permis de conduire,
número de licencia, número de licencia, números de
licencia, números de licencia, licencia de conductores,
licencia de conducir, licencia de conducción, #LC, #lc,
lcnum#, LCNUM#, licencia del conductor, número de
licencia del conductor, lic. de conductores, licencia
de conductores, licencia del conductor, número de
licencia del conductor, número de licencia de licencia
de conductor, número de licencia del conductor

Una "Carte Vitale" es una tarjeta de seguro social usada en Francia que contiene
información para el titular de la tarjeta. Tiene un número de serie único de 21 dígitos.
El identificador de datos del número de seguro de salud de Francia proporciona
■ La amplitud alta detecta un número de 21 caracteres sin validación de la suma
de comprobación.
Ver "Amplitud alta del número de seguro de salud de Francia" en la página 1049.
■ La amplitud baja detecta un número de 21 caracteres sin validación de la suma
Ver "Amplitud baja del número de seguro de salud de Francia" en la página 1050.
Amplitud alta del número de seguro de salud de Francia

La amplitud alta detecta un número de 21 caracteres sin validación de la suma de
comprobación.
Tabla 37-218 Patrones de amplitud alta del número de seguro de salud de Francia
Patrón
\d{10} \d{10} \d
Patrón
\d{21}
Tabla 37-219 Validadores de amplitud alta del número de seguro de salud de

Francia

circundantes.
Amplitud baja del número de seguro de salud de Francia

La amplitud baja detecta un número de 21 caracteres sin validación de la suma de
Tabla 37-220 Patrones de amplitud baja del número de seguro de salud de Francia
Patrón
\d{10} \d{10} \d
\d{21}
Tabla 37-221 Validadores de amplitud baja del número de seguro de salud de

Francia

circundantes.
Entradas:
tarjeta de seguro,tarjeta de seguro social,carte

vitale,carte d'assuré social
Número de identificación fiscal de Francia
Número de identificación fiscal de Francia

Francia emite un número de identificación fiscal para todas las personas que tienen
la obligación de declarar impuestos en Francia.
El identificador de datos del número de identificación fiscal de Francia proporciona
comprobación.
Ver "Amplitud alta del número de identificación fiscal de Francia" en la página 1051.
Ver "Amplitud baja del número de identificación fiscal de Francia"
en la página 1051.
Amplitud alta del número de identificación fiscal de Francia

comprobación.

Francia
Patrón
[0123]\d{12}
[0123]\d{1} \d{2} \d{3} \d{3} \d{3}
Tabla 37-223 Validadores de amplitud alta del número de identificación fiscal de

Francia

circundantes.
Amplitud baja del número de identificación fiscal de Francia

Número de impuesto sobre el valor añadido (IVA) de Francia

Francia
Patrón
[0123]\d{12}
[0123]\d{1} \d{2} \d{3} \d{3} \d{3}

de Francia

circundantes.
Entradas:
número de identificación fiscal, número fiscal,

identificación fiscal, numéro d'identification fiscale

Francia
El impuesto sobre el valor añadido (IVA) es un impuesto que se aplica a los bienes
y servicios comercializados en Francia y que se cobra al cliente final. Las empresas
se deben registrar en el Registro de Comercio y de Sociedades de Francia a fin
de que se les asigne un número de IVA.
El identificador de datos del número de impuesto sobre el valor añadido (IVA)
■ La amplitud alta detecta un patrón alfanumérico de 13 caracteres sin validación
■ La amplitud media detecta un patrón alfanumérico de 13 caracteres con
■ La amplitud baja detecta un patrón alfanumérico de 13 caracteres con validación
relacionadas.

de Francia
La amplitud alta detecta un patrón alfanumérico de 13 caracteres sin validación de
añadido (IVA) de Francia
Patrón
[Ff][Rr][0-9A-Za-z]{2}\d{9}
[Ff][Rr][0-9A-Za-z]{2} \d{9}
[Ff][Rr] [0-9A-Za-z]{2}\d{9}
[Ff][Rr]-[0-9A-Za-z]{2}\d{9}
[Ff][Rr][0-9A-Za-z]{2} \d{3}-\d{3}-\d{3}
[Ff][Rr][0-9A-Za-z]{2} \d{3}.\d{3}.\d{3}
[Ff][Rr][0-9A-Za-z]{2} \d{3},\d{3},\d{3}
[Ff][Rr][0-9A-Za-z]{2} \d{3} \d{3} \d{3}

circundantes.

de Francia
La amplitud media detecta un patrón alfanumérico de 13 caracteres con validación
[Ff][Rr][0-9A-Za-z]{2}\d{9}
[Ff][Rr][0-9A-Za-z]{2} \d{9}
[Ff][Rr] [0-9A-Za-z]{2}\d{9}
[Ff][Rr]-[0-9A-Za-z]{2}\d{9}
[Ff][Rr][0-9A-Za-z]{2} \d{3}-\d{3}-\d{3}
[Ff][Rr][0-9A-Za-z]{2} \d{3}.\d{3}.\d{3}
[Ff][Rr][0-9A-Za-z]{2} \d{3},\d{3},\d{3}
[Ff][Rr][0-9A-Za-z]{2} \d{3} \d{3} \d{3}

valor añadido (IVA) de Francia
Comprobación de validación del número de IVA de Francia Validador de la suma de comprobación para el número
de impuesto sobre el valor añadido (IVA) de Francia.

de Francia
La amplitud baja detecta un patrón alfanumérico de 13 caracteres con validación
relacionadas.
Patrón
[Ff][Rr][0-9A-Za-z]{2}\d{9}
Código del INSEE de Francia
Patrón
[Ff][Rr][0-9A-Za-z]{2} \d{9}
[Ff][Rr] [0-9A-Za-z]{2}\d{9}
[Ff][Rr]-[0-9A-Za-z]{2}\d{9}
[Ff][Rr][0-9A-Za-z]{2} \d{3}-\d{3}-\d{3}
[Ff][Rr][0-9A-Za-z]{2} \d{3}.\d{3}.\d{3}
[Ff][Rr][0-9A-Za-z]{2} \d{3},\d{3},\d{3}
[Ff][Rr][0-9A-Za-z]{2} \d{3} \d{3} \d{3}

circundantes.
Comprobación de validación del número de IVA de Francia Validador de la suma de comprobación para el número
de impuesto sobre el valor añadido (IVA) de Francia.
Entradas:
número iva francia, Número iva Francia, Número de

IVA, N.° IVA, IVA#, número de impuesto sobre el valor
añadido, impuesto sobre el valor añadido, N.° de
identificación de SIREN, Numéro d'identification taxe
sur valeur ajoutée, Numéro taxe valeur ajoutée, taxe
valeur ajoutée, Taxe sur la valeur ajoutée, Numéro de
TVA intracommunautaire, n° TVA, numéro de TVA,
Numéro de TVA en France, français numéro de TVA,
Numéro d'identification SIREN

El código del INSEE se usa en Francia como número de seguro social y de
identificación nacional, y con fines laborales y fiscales.
El identificador de datos del código del INSEE de Francia detecta la presencia de

números del INSEE.
El identificador de datos del código del INSEE de Francia ofrece dos amplitudes
de detección:
■ La amplitud alta detecta un número de 15 dígitos que aprueba la validación de
relacionadas con INSEE.
Amplitud alta del código del INSEE de Francia

La amplitud alta detecta un número de 15 dígitos que codifica la fecha de
nacimiento, el departamento de origen, la comuna de origen y un número de orden.
El delimitador de espacio posterior a los primeros 13 dígitos es opcional. Los últimos
dos dígitos del código del INSEE codifican una clave de control que se usa para
validar una suma de comprobación.
Tabla 37-232 Patrones de amplitud alta del código del INSEE de Francia
Patrón
\d{13} \d{2}
d{15}
Tabla 37-233 Validador de amplitud alta del código del INSEE de Francia
Clave de control de INSEE Este validador computa la clave de control del INSEE y la compara con los últimos
dos dígitos del patrón.
Amplitud baja del código del INSEE de Francia

La amplitud baja detecta un número de 15 dígitos que codifica la fecha de
nacimiento, el departamento de origen, la comuna de origen y un número de orden.
El delimitador de espacio posterior a los primeros 13 dígitos es opcional. Los últimos
dos dígitos del código del INSEE codifican una clave de control que se usa para
validar una suma de comprobación. Además requiere la presencia de palabras
clave relacionadas con INSEE.
Número de pasaporte de Francia
Tabla 37-234 Patrones de amplitud baja del código del INSEE de Francia
Patrón
\d{13} \d{2}
d{15}
Tabla 37-235 Validadores de amplitud baja del código del INSEE de Francia
Clave de control de INSEE Este validador computa la clave de control

del INSEE y la compara con los últimos dos
dígitos del patrón.
Encontrar palabras clave Con esta opción seleccionada, al menos una

de las siguientes palabras clave o frases
clave debe estar incluida en los datos para
generar coincidencias.
Entradas:
INSEE, numéro de sécu, code sécu,

número de la seguridad social, código de
seguridad social

El pasaporte de Francia es un documento de identidad emitido para los ciudadanos
franceses. Además de habilitar al portador para viajar internacionalmente y de
servir como indicación de la ciudadanía francesa, el pasaporte facilita el proceso
de asegurar la ayuda de los funcionarios consulares franceses en el extranjero o
de otros Estados miembro de la Unión Europea en caso de que un consular francés
esté ausente, si es necesario.
El identificador de datos del número de pasaporte de Francia ofrece dos amplitudes
de detección:
■ La amplitud alta detecta un identificador de 9 caracteres.
Ver "Amplitud alta del número de pasaporte de Francia" en la página 1058.
■ La amplitud baja detecta un identificador de 9 caracteres. Además requiere la
presencia de palabras clave relacionadas con el número de pasaporte de
Francia.
Ver "Amplitud baja del número de pasaporte de Francia" en la página 1058.
Amplitud alta del número de pasaporte de Francia

La amplitud alta detecta un identificador de 9 caracteres.
Tabla 37-236 Patrón de amplitud alta del número de pasaporte de Francia
Patrón
\d{2}\w{2}\w{5}
Tabla 37-237 Validador de amplitud alta del número de pasaporte de Francia

circundantes.
Amplitud baja del número de pasaporte de Francia

La amplitud baja detecta un identificador de 9 caracteres. Además requiere la
presencia de palabras clave relacionadas con el número de pasaporte de Francia.
Tabla 37-238 Patrón de amplitud baja del número de pasaporte de Francia
Patrón
\d{2}\w{2}\w{5}
Tabla 37-239 Validadores de amplitud baja del número del pasaporte de Francia

circundantes.
Entradas:
passport, Passport, French Passport, french passport,

Passport Card, Passport Book, passport card, passport
book, passport number, passport no, Passport
Number, Passeport français, Passeport, Passeport
livre, Passeport carte, numéro passeport
Número de la seguridad social de Francia

El número de la seguridad social francés (FSSN) es un número único que se asigna
a cada ciudadano francés o extranjero con residencia. Funciona como un número
de identificación nacional.
El identificador de datos del sistema del número de la seguridad social de Francia
comprobación.
Ver "Amplitud alta del número de la seguridad social de Francia" en la página 1059.
de comprobación.
Ver "Amplitud media del número de la seguridad social francés" en la página 1059.
relacionadas con el FSSN.
Ver "Amplitud baja del número de la seguridad social francés" en la página 1060.
Amplitud alta del número de la seguridad social de Francia

comprobación.
Tabla 37-240 Patrón de amplitud alta del número de la seguridad social de Francia
Patrón
[12]\d{2}[012]\d{2}[AB1234567890]\d{8}
Tabla 37-241 Validador de amplitud alta del número de la seguridad social de

Francia
Amplitud media del número de la seguridad social francés

comprobación.
Tabla 37-242 Patrón de amplitud media del número de la seguridad social de

Francia
Patrón
[12]\d{2}[012]\d{2}[AB1234567890]\d{8}
Tabla 37-243 Validador de amplitud media del número de la seguridad social de

Francia
social francés función del resultado.
Amplitud baja del número de la seguridad social francés

relacionadas con el FSSN.
Tabla 37-244 Patrón de amplitud baja del número de la seguridad social de Francia
Patrón
[12]\d{2}[012]\d{2}[AB1234567890]\d{8}

Francia
social francés función del resultado.
Número de pasaporte alemán
Entradas:
Número de la seguridad social francés, número de la

seguridad social, núm.FSSN, núm.SSN, ssn, núm.ssn,
númeroseguridadsocial, número de seguro, número
de Id. nacional, núm.Id.nacional
sécurité sociale non., sécurité sociale numéro, code

sécurité sociale, numéro d'assurance.

Se emite un número de pasaporte alemán a los ciudadanos de Alemania para que
puedan realizar viajes internacionales. Un pasaporte alemán es un documento
oficial que las autoridades alemanas aceptan como prueba de identidad de los
ciudadanos alemanes.
El identificador de datos del sistema del número de pasaporte de Alemania
■ La amplitud alta detecta un identificador alfanumérico de 11 dígitos terminado
con una letra "D" sin validación de la suma de comprobación.
Ver "Amplitud alta del número de pasaporte alemán" en la página 1061.
■ La amplitud media detecta un identificador alfanumérico de 11 dígitos terminado
con una letra "D" con validación de la suma de comprobación.
Ver "Amplitud media del número de pasaporte alemán" en la página 1062.
■ La amplitud baja detecta un identificador alfanumérico de 11 dígitos terminado
con una letra "D" que aprueba la validación de la suma de comprobación.
Además requiere la presencia de palabras clave relacionadas con el número
de pasaporte de Alemania.
Ver "Amplitud baja del número de pasaporte alemán" en la página 1062.
Amplitud alta del número de pasaporte alemán

La amplitud alta detecta un identificador alfanumérico de 11 dígitos terminado con
una letra "D" sin validación de la suma de comprobación.
Tabla 37-246 Patrones de amplitud alta del número del pasaporte alemán
Patrón
\w{9}\dD
\w{10}[dD]
Tabla 37-247 Validadores de amplitud alta del número del pasaporte alemán
Amplitud media del número de pasaporte alemán

La amplitud media detecta un identificador alfanumérico de 11 dígitos terminado
con una letra "D" con validación de la suma de comprobación.
Tabla 37-248 Patrones de amplitud media del número del pasaporte alemán
Patrón
\w{9}\dD
\w{10}[dD]
Tabla 37-249 Validador de amplitud media del número del pasaporte alemán
Comprobación de validación del número de pasaporte Computa la suma de comprobación que cada número de
alemán pasaporte alemán debe aprobar.
Amplitud baja del número de pasaporte alemán

La amplitud baja detecta un identificador alfanumérico de 11 dígitos terminado con
una letra "D" que aprueba la validación de la suma de comprobación. Además
requiere la presencia de palabras clave relacionadas con el número de pasaporte
de Alemania.
Tabla 37-250 Patrones de amplitud baja del número del pasaporte alemán
Patrón
\w{9}\dD
Número de Id. personal de Alemania
Patrón
\w{10}[dD]
Tabla 37-251 Validadores de amplitud baja del número del pasaporte alemán
Comprobación de validación del número de pasaporte Computa la suma de comprobación que cada número de
alemán pasaporte alemán debe aprobar.
Número de pasaporte alemán, número de pasaporte,

n.º de pasaporte, núm.pasaporte, númeropasaporte,
Reisepass kein, Reisepass, Passnummer

El número de identificación personal alemán se emite a todos los ciudadanos
alemanes.
■ La amplitud alta detecta un número de 11 dígitos que termina con la letra "D"
sin validación de suma de comprobación.
Ver "Amplitud alta del número de Id. personal de Alemania" en la página 1063.
■ La amplitud media detecta un número de 11 dígitos que termina con la letra "D"
y que aprueba la validación de suma de comprobación.
Ver " Amplitud media del número de Id. personal de Alemania" en la página 1064.
■ La amplitud baja detecta un número de 11 dígitos que termina con la letra "D"
y que aprueba la validación de suma de comprobación. Además requiere la
presencia de palabras clave relacionadas con el número de identificación
personal de Alemania.
Ver "Amplitud baja del número de Id. personal de Alemania" en la página 1064.
Amplitud alta del número de Id. personal de Alemania

La amplitud alta detecta un número de 11 dígitos que termina con la letra "D" sin
validación de suma de comprobación.

Alemania
Patrón
\w{9}\dD

de Alemania
Amplitud media del número de Id. personal de Alemania

La amplitud media detecta un número de 11 dígitos que termina con la letra "D" y
que aprueba la validación de suma de comprobación.

de Alemania
Patrón
\w{9}\dD
Tabla 37-255 Validador de amplitud media del número de Id. personal de Alemania
Comprobación de validación del número de Id. personal Computa la suma de comprobación y valida el patrón en
de Alemania función del resultado.
Amplitud baja del número de Id. personal de Alemania

La amplitud baja detecta un número de 11 dígitos que termina con la letra "D" y
que aprueba la validación de suma de comprobación. Además requiere la presencia
de palabras clave relacionadas con el número de identificación personal de
Alemania.
Tabla 37-256 Patrón de amplitud baja del número de identificación personal de

Alemania
Patrón
\w{9}\dD
Número de licencia de conducir de Alemania

de Alemania
de Alemania función del resultado.
Encontrar palabras clave Si se selecciona esta opción, al menos una de las

Entradas:
Número de Id., número de identificación, número de

Id. personal, Id. perosnal, GPID, núm.GPID, número
de Id. personal único, Id. personal único, número de
seguro, número de identidad, número de Id. personal
alemán, persönliche identifikationsnummer,
ID-Nummer, Deutsch persönliche-ID-Nummer,
persönliche ID Nummer, eindeutige ID-Nummer,
persönliche Nummer, identität nummer,
Versicherungsnummer

Número de identificación de la licencia de conducir de una persona emitida por la
Agencia de Concesión de Licencias de Vehículos y Conductores de Alemania.
El identificador de datos del número de licencia de conducir de Alemania proporciona
Ver "Amplitud alta del número de licencia de conducir de Alemania"
en la página 1066.
■ La amplitud baja detecta un patrón alfanumérico de 13 caracteres sin validación
relacionadas.
Ver "Amplitud baja del número de licencia de conducir de Alemania"
en la página 1066.
Amplitud alta del número de licencia de conducir de Alemania


Alemania
Patrón
\w\d{2}\w{6}\d\w

Alemania

circundantes.
Amplitud baja del número de licencia de conducir de Alemania

La amplitud baja detecta un patrón alfanumérico de 13 caracteres sin validación
relacionadas.
Tabla 37-260 Patrones de amplitud baja del número de licencia de conducir de

Alemania
Patrón
\w\d{2}\w{6}\d\w

de Alemania

circundantes.
Número de impuesto sobre el valor añadido (IVA) de Alemania
Entradas:
Führerschein, Fuhrerschein, Fuehrerschein,

Führerscheinnummer, Fuhrerscheinnummer,
Fuehrerscheinnummer, Führerscheinnummer,
Fuhrerscheinnummer, Fuehrerscheinnummer,
Führerschein- Nr, Fuhrerschein- Nr, Fuehrerschein-
Nr, Licencia de Conducir, Número de Licencia de
Conducir, número de licencia de conducir, Licencia
de Conducir, Lic. de Conducir, Licencia de Conducir,
Licencia de Conducir, Licencia de Conducir, Número
de Licencia de Conducir, número de licencia de
conducir, Número de Licencia de Conducir, número
de Licencia de Conducir, número de licencia de
conducir, LC#, lc#, N.° LC#, N.° lc#, licencia de
conducir, licencia de conducir

Alemania
El impuesto sobre el valor añadido (IVA) es un impuesto que se aplica a los bienes
y servicios comercializados en Francia y que se cobra al cliente final. El impuesto
sobre el valor añadido (IVA) es un impuesto que se aplica a los bienes y servicios
comercializados en Francia y que se cobra al cliente final.
El identificador de datos del número de impuesto sobre el valor añadido (IVA) de
Alemania proporciona tres amplitudes de detección:
■ La amplitud media detecta un patrón alfanumérico de 11 caracteres con
■ La amplitud baja detecta un patrón alfanumérico de 11 caracteres con validación

relacionadas.

de Alemania
añadido (IVA) de Alemania
Patrón
[Dd][Ee]\d{9}
[Dd][Ee] \d{9}
[Dd][Ee]\d{3}[, ]\d{3}[, ]\d{3}
[Dd][Ee] \d{3}[, ]\d{3}[, ]\d{3}
Tabla 37-263 Validadores de amplitud alta del número de impuesto sobre el valor

circundantes.

de Alemania
La amplitud media detecta un patrón alfanumérico de 11 caracteres con validación
Patrón
[Dd][Ee]\d{9}
Patrón
[Dd][Ee] \d{9}
[Dd][Ee]\d{3}[, ]\d{3}[, ]\d{3}
[Dd][Ee] \d{3}[, ]\d{3}[, ]\d{3}

valor añadido (IVA) de Alemania
Comprobación de validación del número de IVA de Validador de la suma de comprobación para el número
Alemania de impuesto sobre el valor añadido (IVA) de Alemania.

de Alemania
La amplitud baja detecta un patrón alfanumérico de 11 caracteres con validación
relacionadas.
Patrón
[Dd][Ee]\d{9}
[Dd][Ee] \d{9}
[Dd][Ee]\d{3}[, ]\d{3}[, ]\d{3}
[Dd][Ee] \d{3}[, ]\d{3}[, ]\d{3}

circundantes.
Comprobación de validación del número de IVA de Validador de la suma de comprobación para el número
Alemania de impuesto sobre el valor añadido (IVA) de Alemania.
Número de identificación del contribuyente de Grecia
Entradas:
Número de IVA, n.° IVA, número de IVA, IVA#, iva#,

Mehrwertsteuer, MwSt, Mehrwertsteuer
Identifikationsnummer, Mehrwertsteuer nummer

El Arithmo Forologiko Mitro (AFM) es un número de identificación único del
contribuyente personal asignado a cualquier residente de Grecia o a cualquier
persona que posea una propiedad en Grecia.
El identificador de datos del sistema del número de identificación del contribuyente
de Grecia proporciona tres amplitudes de detección:
comprobación.
Ver "Amplitud alta del número de identificación del contribuyente de Grecia"
en la página 1070.
de comprobación.
Ver "Amplitud media del número de identificación del contribuyente de Grecia"
en la página 1071.
relacionadas con el AFM.
Ver "Amplitud baja del número de identificación del contribuyente de Grecia"
en la página 1071.
Amplitud alta del número de identificación del contribuyente de Grecia

comprobación.
Tabla 37-268 Patrón de amplitud alta del número de identificación del

Patrón
\d{9}


Grecia
comprobación.
Tabla 37-270 Patrón de amplitud media del número de identificación del

Patrón
\d{9}


circundantes.
del contribuyente de Grecia identificación del contribuyente de Grecia que cada número
de identificación del contribuyente de Grecia debe aprobar.

Grecia
relacionadas con el AFM.
Identificación de Hong Kong
Tabla 37-272 Patrón de amplitud baja del número de identificación del

Patrón
\d{9}


circundantes.
del contribuyente de Grecia identificación del contribuyente de Grecia que cada número
de identificación del contribuyente de Grecia debe aprobar.
Entradas:
AFM, TIN, N.º de Id. del contribuyente, n.º de Id. del

contribuyente, número de identificación del
contribuyente, n.º Id. contribuyente, número de
registro del contribuyente, n.º de registro del
contribuyente, núm.AFM, núm.TIN, número de
identificación del contribuyente, núm.Id.contribuyente,
núm.registrocontribuyente
Αριθμός Φορολογικού Μητρώου, AΦΜ, AΦΜ αριθμός,

Φορολογικού Μητρώου Νο., τον αριθμό φορολογικού
μητρώου

La identificación de Hong Kong es el código particular para todos los residentes
de este país y se detalla en la tarjeta de identidad de Hong Kong.
El identificador de datos de identificación de Hong Kong detecta la presencia de
identificaciones de Hong Kong.
El identificador de datos de identificación de Hong Kong ofrece dos amplitudes de
detección:
■ La amplitud alta detecta ocho caracteres con el formato LDDDDDD(D) o

LDDDDDD(A). El último carácter de la cadena detectada se usa para validar
una suma de comprobación.
Ver "Amplitud alta de identificación de Hong Kong" en la página 1073.
■ La amplitud baja detecta ocho caracteres con el formato LDDDDDD(D) o
LDDDDDD(A). El último carácter de la cadena detectada se usa para validar
una suma de comprobación. Además requiere la presencia de palabras clave
relacionadas con Identificación de Hong Kong.
Ver "Amplitud baja de identificación de Hong Kong" en la página 1073.
Amplitud alta de identificación de Hong Kong

La amplitud alta detecta ocho caracteres con el formato LDDDDDD(D) o
LDDDDDD(A). El último carácter de la cadena detectada se usa para validar una
Tabla 37-274 Patrones de amplitud alta de identificación de Hong Kong
Patrones
\w\d{6}(\d)
\w\d{6}(A)
U\w\d{6}(\d)
U\w\d{6}(A)
\w{2}\d{6}(\d)
\w{2}\d{6}(A)
Tabla 37-275 Validador de amplitud alta de identificación de Hong Kong
Identificación de Hong Kong Computa la suma de comprobación y valida el patrón en función del resultado.
Amplitud baja de identificación de Hong Kong

La amplitud baja detecta ocho caracteres con el formato LDDDDDD(D) o
LDDDDDD(A). El último carácter de la cadena detectada se usa para validar una
relacionadas con Identificación de Hong Kong.
Número de la seguridad social de Hungría
Tabla 37-276 Patrones de amplitud baja de identificación de Hong Kong
Patrones
\w\d{6}(\d)
\w\d{6}(A)
U\w\d{6}(\d)
U\w\d{6}(A)
\w{2}\d{6}(\d)
\w{2}\d{6}(A)
Tabla 37-277 Validadores de amplitud baja de identificación de Hong Kong
Identificación de Hong Kong Computa la suma de comprobación y valida el patrón en

Entradas:
身份證,三顆星, Tarjeta de identidad, Tarjeta de identidad

de residente permanente de Hong Kong, HKID

El número de la seguridad social de Hungría (TAJ) es un identificador único emitido
por el gobierno húngaro.
El identificador de datos del sistema del número de seguro social de Hungría
comprobación.
Ver "Amplitud alta del número de la seguridad social húngaro" en la página 1075.
de comprobación.
Ver "Amplitud media del número de la seguridad social húngaro" en la página 1075.

la suma de comprobación. Además requiere las palabras clave relacionadas
con TAJ.
Ver "Amplitud baja del número de la seguridad social húngaro" en la página 1076.
Amplitud alta del número de la seguridad social húngaro

comprobación.
Tabla 37-278 Patrón de amplitud alta del número de la seguridad social de

Hungría
Patrón
\d{9}

Hungría
Amplitud media del número de la seguridad social húngaro

comprobación.

Hungría
Patrón
\d{9}
Tabla 37-281 Validadores de amplitud media del número de la seguridad social

de Hungría

circundantes.
social húngaro función del resultado.
Número de identificación del contribuyente de Hungría
Amplitud baja del número de la seguridad social húngaro

suma de comprobación. Además requiere las palabras clave relacionadas con TAJ.
Tabla 37-282 Patrón de amplitud baja del número de la seguridad social de

Hungría
Patrón
\d{9}

Hungría

circundantes.
social húngaro función del resultado.
Entradas:
Número de la seguridad social húngaro, número de la

seguridad social, núm.seguridadsocial, núm.hssn,
núm.HSSN, n.ºseguridadsocial, HSSN, TAJ, núm.TAJ,
SSN, núm.SSN, n.º de la seguridad social
ÁFA, Közösségi adószám, Általános forgalmi adó

szám, hozzáadottérték adó, ÁFA szám, magyar ÁFA
szám

Hungría
El número de identificación del contribuyente de Hungría es un número de 10
dígitos que comienza siempre con el dígito "8".
El identificador de datos del sistema del número de identificación del contribuyente
de Hungría proporciona tres amplitudes de detección:
■ La amplitud alta detecta un número de 10 dígitos que comienza con el dígito

"8" sin validación de suma de comprobación.
Ver "Amplitud alta del número de identificación del contribuyente de Hungría"
en la página 1077.
■ La amplitud media detecta un número de 10 dígitos que comienza con el dígito
"8" con validación de suma de comprobación.
Ver "Amplitud media del número de identificación del contribuyente de Hungría"
en la página 1077.
■ La amplitud baja detecta un número de 10 dígitos que comienza con el número
"8" y que aprueba la validación de suma de comprobación. Además requiere
la presencia de palabras clave relacionadas con el número de identificación del
contribuyente de Hungría.
Ver "Amplitud baja del número de identificación del contribuyente de Hungría"
en la página 1078.

Hungría
La amplitud alta detecta un número de 10 dígitos que comienza con el dígito "8"
Tabla 37-284 Patrón de amplitud alta del número de identificación del

Patrón
[8]\d{9}


Hungría
La amplitud media detecta un número de 10 dígitos que comienza con el dígito "8"
con validación de suma de comprobación.
Tabla 37-286 Patrón de amplitud media del número de identificación del

Patrón
[8]\d{9}
Tabla 37-287 Validadores amplitud media del número de identificación del


circundantes.
del contribuyente de Hungría función del resultado.

Hungría
La amplitud baja detecta un número de 10 dígitos que comienza con el número "8"
y que aprueba la validación de suma de comprobación. Además requiere la
presencia de palabras clave relacionadas con el número de identificación del
contribuyente de Hungría.
Tabla 37-288 Patrón de amplitud baja del número de identificación del

Patrón
[8]\d{9}


circundantes.
del contribuyente de Hungría función del resultado.
Número de IVA húngaro
Entradas:
Número de identificación del contribuyente de Hungría,

TIN de Hungría, número de Id. del contribuyente,
número de IVA, número de autoridad impositiva, Id.
del contribuyente, número de identidad del
contribuyente, núm.Id.contribuyente, núm.tin, núm.TIN,
núm.tinHungría, n.º de identificación del contribuyente,
n.ºId.contribuyente, adóazonosító szám, adószám,
adóhatóság szám

Todas las empresas húngaras (incluidas las organizaciones sin fines de lucro)
obtienen un número de impuesto sobre el valor añadido (IVA) cuando se registran
en el registro comercial.
El identificador de datos del sistema del número de IVA de Hungría proporciona
■ La amplitud alta detecta un número de 8 dígitos que comienza con las letras
"HU/hu" sin validación de suma de comprobación.
Ver "Amplitud alta del número de IVA húngaro" en la página 1079.
■ La amplitud media detecta un número de 8 dígitos que comienza con las letras
"HU/hu" con validación de suma de comprobación.
Ver "Amplitud media del número de IVA húngaro" en la página 1080.
■ La amplitud baja detecta un número de 8 dígitos que comienza con las letras
"HU/hu" y que aprueba la validación de suma de comprobación. Además requiere
la presencia de palabras clave relacionadas con el número de IVA de Hungría.
Ver "Amplitud baja del número de IVA húngaro" en la página 1080.
Amplitud alta del número de IVA húngaro

La amplitud alta detecta un número de 8 dígitos que comienza con las letras "HU/hu"
Tabla 37-290 Patrón de amplitud alta del número de IVA de Hungría
Patrón
HU\d{8}
hu\d{8}
Tabla 37-291 Validador amplitud alta del número de IVA de Hungría
Amplitud media del número de IVA húngaro

La amplitud media detecta un número de 8 dígitos que comienza con las letras
"HU/hu" con validación de suma de comprobación.
Tabla 37-292 Patrón de amplitud media del número de IVA de Hungría
Patrón
HU\d{8}
hu\d{8}
Tabla 37-293 Validadores de amplitud media del número de IVA de Hungría

circundantes.
Comprobación de validación del número de IVA húngaro Computa la suma de comprobación y valida el patrón en
Amplitud baja del número de IVA húngaro

La amplitud baja detecta un número de 8 dígitos que comienza con las letras
"HU/hu" y que aprueba la validación de suma de comprobación. Además requiere
la presencia de palabras clave relacionadas con el número de IVA de Hungría.
IBAN central
Tabla 37-294 Patrón de amplitud baja del número de IVA de Hungría
Patrón
HU\d{8}
hu\d{8}
Tabla 37-295 Validadores de amplitud baja del número de IVA de Hungría

circundantes.
Comprobación de validación del número de IVA húngaro Computa la suma de comprobación y valida el patrón en
Entradas:
IVA, n.º de IVA, número del impuesto sobre el valor

añadido, núm.iva, n.ºiva, núm.ivahúngaro, n.º
impuesto, número de IVA, impuesto sobre el valor
añadido
ÁFA, Közösségi adószám, Általános forgalmi adó

szám, hozzáadottérték adó, ÁFA szám, magyar ÁFA
szám
IBAN central
El número internacional de cuenta bancaria (IBAN, International Bank Account
Number) es un estándar internacional para identificar cuentas bancarias a través
de las fronteras nacionales.
El identificador de datos de IBAN central detecta los números de IBAN para Andorra,
Austria, Bélgica, Alemania, Italia, Liechtenstein, Luxemburgo, Malta, Mónaco, San
Marino y Suiza.
El identificador de datos de IBAN central proporciona dos amplitudes de detección:
■ La amplitud alta detecta un número de IBAN específico del país que aprueba
Ver "Amplitud alta de IBAN central" en la página 1082.
IBAN central
■ La amplitud baja detecta un número de IBAN específico del país que aprueba
relacionadas con IBAN.
Ver "Amplitud baja de IBAN central" en la página 1084.
Nota: No añada la validación de NIB a ningún identificador de datos IBAN que se

aplique a los agentes de DLP. El validador IBAN solamente se usa para detecciones
del lado servidor.
Amplitud alta de IBAN central

La amplitud alta detecta un número de IBAN específico del país que aprueba una
suma de comprobación. Los números de IBAN pueden tener delimitadores de
espacio o de guion largo, o no tener delimitadores.
Tabla 37-296 Patrones de amplitud alta de IBAN central
Patrón Descripción
AD\d{2}\d{4}\d{4}\w{4}\w{4}\w{4} Patrones de Andorra
AD\d{2} \d{4} \d{4} \w{4} \w{4} \w{4}
AD\d{2}-\d{4}-\d{4}-\w{4}-\w{4}-\w{4}
AT\d{2}\d{4}\d{4}\d{4}\d{4} Patrones de Austria
AT\d{2} \d{4} \d{4} \d{4} \d{4}
AT\d{2}-\d{4}-\d{4}-\d{4}-\d{4}
BE\d{2}\d{4}\d{4}\d{4} Patrones de Bélgica
BE\d{2} \d{4} \d{4} \d{4}
BE\d{2}-\d{4}-\d{4}-\d{4}
CH\d{2}\d{4}\d\w{3}\w{4}\w{4}\w Patrones de Suiza
CH\d{2} \d{4} \d\w{3} \w{4} \w{4} \w
CH\d{2}-\d{4}-\d\w{3}-\w{4}-\w{4}-\w
DE\d{2}\d{4}\d{4}\d{4}\d{4}\d{2} Patrones de Alemania
DE\d{2} \d{4} \d{4} \d{4} \d{4} \d{2}
DE\d{2}-\d{4}-\d{4}-\d{4}-\d{4}-\d{2}
IBAN central
IT\d{2}[A-Z]\d{3}\d{4}\d{3}\w\w{4}\w{4}\w{3} Patrones de Italia
IT\d{2} [A-Z]\d{3} \d{4} \d{3}\w \w{4}

\w{4} \w{3}
IT\d{2}-[A-Z]\d{3}-\d{4}-\d{3}\w-\w{4}-\w{4}-\w{3}
LI\d{2}\d{4}\d\w{3}\w{4}\w{4}\w Patrones de Liechtenstein
LI\d{2} \d{4} \d\w{3} \w{4} \w{4} \w
LI\d{2}-\d{4}-\d\w{3}-\w{4}-\w{4}-\w
LU\d{2}\d{3}\w\w{4}\w{4}\w{4} Patrones de Luxemburgo
LU\d{2} \d{3}\w \w{4} \w{4} \w{4}
LU\d{2}-\d{3}\w-\w{4}-\w{4}-\w{4}
MC\d{2}\d{4}\d{4}\d{2}\w{2}\w{4}\w{4}\w\d{2} Patrones de Mónaco
MC\d{2} \d{4} \d{4} \d{2}\w{2} \w{4} \w{4}

\w\d{2}
MC\d{2}-\d{4}-\d{4}-\d{2}\w{2}-\w{4}-\w{4}-\w\d{2}
MT\d{2}[A-Z]{4}\d{4}\d\w{3}\w{4}\w{4}\w{4}\w{3} Patrones de Malta
MT\d{2} [A-Z]{4} \d{4} \d\w{3} \w{4} \w{4}

\w{4} \w{3}
MT\d{2}-[A-Z]{4}-\d{4}-\d\w{3}-\w{4}-\w{4}-\w{4}-\w{3}
SM\d{2}[A-Z]\d{3}\d{4}\d{3}\w\w{4}\w{4}\w{3} Patrones de San Marino
SM\d{2} [A-Z]\d{3} \d{4} \d{3}\w \w{4}

\w{4} \w{3}
SM\d{2}-[A-Z]\d{3}-\d{4}-\d{3}\w-\w{4}-\w{4}-\w{3}
Tabla 37-297 Validador de amplitud alta de IBAN central
Validador del módulo 97 Computa la suma de comprobación del módulo 97 base

10 del estándar ISO 7064 de coincidencia completa.
IBAN central
Amplitud baja de IBAN central

La amplitud baja detecta un número de IBAN específico del país que aprueba una
Tabla 37-298 Patrones de amplitud baja de IBAN central
AD\d{2}\d{4}\d{4}\w{4}\w{4}\w{4} Patrones de Andorra
AD\d{2} \d{4} \d{4} \w{4} \w{4} \w{4}
AD\d{2}-\d{4}-\d{4}-\w{4}-\w{4}-\w{4}
AT\d{2}\d{4}\d{4}\d{4}\d{4} Patrones de Austria
AT\d{2} \d{4} \d{4} \d{4} \d{4}
AT\d{2}-\d{4}-\d{4}-\d{4}-\d{4}
BE\d{2}\d{4}\d{4}\d{4} Patrones de Bélgica
BE\d{2} \d{4} \d{4} \d{4}
BE\d{2}-\d{4}-\d{4}-\d{4}
CH\d{2}\d{4}\d\w{3}\w{4}\w{4}\w Patrones de Suiza
CH\d{2} \d{4} \d\w{3} \w{4} \w{4} \w
CH\d{2}-\d{4}-\d\w{3}-\w{4}-\w{4}-\w
DE\d{2}\d{4}\d{4}\d{4}\d{4}\d{2} Patrones de Alemania
DE\d{2} \d{4} \d{4} \d{4} \d{4} \d{2}
DE\d{2}-\d{4}-\d{4}-\d{4}-\d{4}-\d{2}
IT\d{2}[A-Z]\d{3}\d{4}\d{3}\w\w{4}\w{4}\w{3} Patrones de Italia
IT\d{2} [A-Z]\d{3} \d{4} \d{3}\w \w{4}

\w{4} \w{3}
IT\d{2}-[A-Z]\d{3}-\d{4}-\d{3}\w-\w{4}-\w{4}-\w{3}
LI\d{2}\d{4}\d\w{3}\w{4}\w{4}\w Patrones de Liechtenstein
LI\d{2} \d{4} \d\w{3} \w{4} \w{4} \w
LI\d{2}-\d{4}-\d\w{3}-\w{4}-\w{4}-\w
IBAN oriental
LU\d{2}\d{3}\w\w{4}\w{4}\w{4} Patrones de Luxemburgo
LU\d{2} \d{3}\w \w{4} \w{4} \w{4}
LU\d{2}-\d{3}\w-\w{4}-\w{4}-\w{4}
MC\d{2}\d{4}\d{4}\d{2}\w{2}\w{4}\w{4}\w\d{2} Patrones de Mónaco
MC\d{2} \d{4} \d{4} \d{2}\w{2} \w{4} \w{4}

\w\d{2}
MC\d{2}-\d{4}-\d{4}-\d{2}\w{2}-\w{4}-\w{4}-\w\d{2}
MT\d{2}[A-Z]{4}\d{4}\d\w{3}\w{4}\w{4}\w{4}\w{3} Patrones de Malta
MT\d{2} [A-Z]{4} \d{4} \d\w{3} \w{4} \w{4}

\w{4} \w{3}
MT\d{2}-[A-Z]{4}-\d{4}-\d\w{3}-\w{4}-\w{4}-\w{4}-\w{3}
SM\d{2}[A-Z]\d{3}\d{4}\d{3}\w\w{4}\w{4}\w{3} Patrones de San Marino
SM\d{2} [A-Z]\d{3} \d{4} \d{3}\w \w{4}

\w{4} \w{3}
SM\d{2}-[A-Z]\d{3}-\d{4}-\d{3}\w-\w{4}-\w{4}-\w{3}
Tabla 37-299 Validadores de amplitud baja de IBAN central

Entradas:
Código IBAN, numéro IBAN, IBAN Código, número

IBAN
IBAN oriental
IBAN oriental
El identificador de datos de IBAN oriental detecta los números de IBAN de Bosnia,

Bulgaria, Croacia, Chipre, República Checa, Estonia, Grecia, Hungría, Israel,
Letonia, Lituania, Macedonia, Montenegro, Polonia, Rumania, Serbia, Eslovaquia,
Eslovenia, Turquía y Túnez.
Ver "Amplitud alta de IBAN oriental" en la página 1086.
Ver "Amplitud baja de IBAN oriental" en la página 1089.

del lado servidor.
Amplitud alta de IBAN oriental

Tabla 37-300 Patrones de amplitud alta de IBAN oriental
BA\d{2}\d{4}\d{4}\d{4}\d{4} Patrones de Bosnia
BA\d{2} \d{4} \d{4} \d{4} \d{4}
BA\d{2}-\d{4}-\d{4}-\d{4}-\d{4}
BG\d{2}[A-Z]{4}\d{4}\d{2}\w{2}\w{4}\w{2} Patrones de Bulgaria
BG\d{2} [A-Z]{4} \d{4} \d{2}\w{2} \w{4}

\w{2}
BG\d{2}-[A-Z]{4}-\d{4}-\d{2}\w{2}-\w{4}-\w{2}
CY\d{2}\d{4}\d{4}\w{4}\w{4}\w{4}\w{4} Patrones de Chipre
CY\d{2} \d{4} \d{4} \w{4} \w{4} \w{4} \w{4}
CY\d{2}-\d{4}-\d{4}-\w{4}-\w{4}-\w{4}-\w{4}
IBAN oriental
CZ\d{2}\d{4}\d{4}\d{4}\d{4}\d{4} Patrones de la República Checa
CZ\d{2} \d{4} \d{4} \d{4} \d{4} \d{4}
CZ\d{2}-\d{4}-\d{4}-\d{4}-\d{4}-\d{4}
EE\d{2}\d{4}\d{4}\d{4}\d{4} Patrones de Estonia
EE\d{2} \d{4} \d{4} \d{4} \d{4}
EE\d{2}-\d{4}-\d{4}-\d{4}-\d{4}
GR\d{2}\d{4}\d{3}\w\w{4}\w{4}\w{4}\w{3} Patrones de Grecia
GR\d{2} \d{4} \d{3}\w \w{4} \w{4} \w{4}

\w{3}
GR\d{2}-\d{4}-\d{3}\w-\w{4}-\w{4}-\w{4}-\w{3}
HR\d{2}\d{4}\d{4}\d{4}\d{4}\d Patrones de Croacia
HR\d{2} \d{4} \d{4} \d{4} \d{4} \d
HR\d{2}-\d{4}-\d{4}-\d{4}-\d{4}-\d
HU\d{2}\d{4}\d{4}\d{4}\d{4}\d{4}\d{4} Patrones de Hungría
HU\d{2} \d{4} \d{4} \d{4} \d{4} \d{4} \d{4}
HU\d{2}-\d{4}-\d{4}-\d{4}-\d{4}-\d{4}-\d{4}
IL\d{2}\d{4}\d{4}\d{4}\d{4}\d{3} Patrones de Israel
IL\d{2} \d{4} \d{4} \d{4} \d{4} \d{3}
IL\d{2}-\d{4}-\d{4}-\d{4}-\d{4}-\d{3}
LT\d{2}\d{4}\d{4}\d{4}\d{4} Patrones de Lituania
LT\d{2} \d{4} \d{4} \d{4} \d{4}
LT\d{2}-\d{4}-\d{4}-\d{4}-\d{4}
LV\d{2}[A-Z]{4}\w{4}\w{4}\w{4}\w Patrones de Letonia
LV\d{2} [A-Z]{4} \w{4} \w{4} \w{4} \w
LV\d{2}-[A-Z]{4}-\w{4}-\w{4}-\w{4}-\w
ME\d{2}\d{4}\d{4}\d{4}\d{4}\d{2} Patrones de Montenegro
ME\d{2} \d{4} \d{4} \d{4} \d{4} \d{2}
ME\d{2}-\d{4}-\d{4}-\d{4}-\d{4}-\d{2}
IBAN oriental
MK\d{2}\d{3}\w\w{4}\w{4}\w\d{2} Patrones de Macedonia
MK\d{2} \d{3}\w \w{4} \w{4} \w\d{2}
MK\d{2}-\d{3}\w-\w{4}-\w{4}-\w\d{2}
PL\d{2}\d{4}\d{4}\d{4}\d{4}\d{4}\d{4} Patrones de Polonia
PL\d{2} \d{4} \d{4} \d{4} \d{4} \d{4} \d{4}
PL\d{2}-\d{4}-\d{4}-\d{4}-\d{4}-\d{4}-\d{4}
RO\d{2}[A-Z]{4}\w{4}\w{4}\w{4}\w{4} Patrones de Rumania
RO\d{2} [A-Z]{4} \w{4} \w{4} \w{4} \w{4}
RO\d{2}-[A-Z]{4}-\w{4}-\w{4}-\w{4}-\w{4}
RS\d{2}\d{4}\d{4}\d{4}\d{4}\d{2} Patrones de Serbia
RS\d{2} \d{4} \d{4} \d{4} \d{4} \d{2}
RS\d{2}-\d{4}-\d{4}-\d{4}-\d{4}-\d{2}
SI\d{2}\d{4}\d{4}\d{4}\d{3} Patrones de Eslovenia
SI\d{2} \d{4} \d{4} \d{4} \d{3}
SI\d{2}-\d{4}-\d{4}-\d{4}-\d{3}
SK\d{2}\d{4}\d{4}\d{4}\d{4}\d{4} Patrones de Eslovaquia
SK\d{2} \d{4} \d{4} \d{4} \d{4} \d{4}
SK\d{2}-\d{4}-\d{4}-\d{4}-\d{4}-\d{4}
TN59\d{4}\d{4}\d{4}\d{4}\d{4} Patrones de Túnez
TN59 \d{4} \d{4} \d{4} \d{4} \d{4}
TN59-\d{4}-\d{4}-\d{4}-\d{4}-\d{4}
TR\d{2}\d{4}\d\w{3}\w{4}\w{4}\w{4}\w{2} Patrones de Turquía
TR\d{2} \d{4} \d\w{3} \w{4} \w{4} \w{4}

\w{2}
TR\d{2}-\d{4}-\d\w{3}-\w{4}-\w{4}-\w{4}-\w{2}
IBAN oriental
Tabla 37-301 Validador de amplitud alta de IBAN oriental

Amplitud baja de IBAN oriental

Tabla 37-302 Patrones de amplitud baja de IBAN oriental
BA\d{2}\d{4}\d{4}\d{4}\d{4} Patrones de Bosnia
BA\d{2} \d{4} \d{4} \d{4} \d{4}
BA\d{2}-\d{4}-\d{4}-\d{4}-\d{4}
BG\d{2}[A-Z]{4}\d{4}\d{2}\w{2}\w{4}\w{2} Patrones de Bulgaria
BG\d{2} [A-Z]{4} \d{4} \d{2}\w{2} \w{4}

\w{2}
BG\d{2}-[A-Z]{4}-\d{4}-\d{2}\w{2}-\w{4}-\w{2}
CY\d{2}\d{4}\d{4}\w{4}\w{4}\w{4}\w{4} Patrones de Chipre
CY\d{2} \d{4} \d{4} \w{4} \w{4} \w{4} \w{4}
CY\d{2}-\d{4}-\d{4}-\w{4}-\w{4}-\w{4}-\w{4}
CZ\d{2}\d{4}\d{4}\d{4}\d{4}\d{4} Patrones de la República Checa
CZ\d{2} \d{4} \d{4} \d{4} \d{4} \d{4}
CZ\d{2}-\d{4}-\d{4}-\d{4}-\d{4}-\d{4}
EE\d{2}\d{4}\d{4}\d{4}\d{4} Patrones de Estonia
EE\d{2} \d{4} \d{4} \d{4} \d{4}
EE\d{2}-\d{4}-\d{4}-\d{4}-\d{4}
GR\d{2}\d{4}\d{3}\w\w{4}\w{4}\w{4}\w{3} Patrones de Grecia
GR\d{2} \d{4} \d{3}\w \w{4} \w{4} \w{4}

\w{3}
GR\d{2}-\d{4}-\d{3}\w-\w{4}-\w{4}-\w{4}-\w{3}
IBAN oriental
HR\d{2}\d{4}\d{4}\d{4}\d{4}\d Patrones de Croacia
HR\d{2} \d{4} \d{4} \d{4} \d{4} \d
HR\d{2}-\d{4}-\d{4}-\d{4}-\d{4}-\d
HU\d{2}\d{4}\d{4}\d{4}\d{4}\d{4}\d{4} Patrones de Hungría
HU\d{2} \d{4} \d{4} \d{4} \d{4} \d{4} \d{4}
HU\d{2}-\d{4}-\d{4}-\d{4}-\d{4}-\d{4}-\d{4}
IL\d{2}\d{4}\d{4}\d{4}\d{4}\d{3} Patrones de Israel
IL\d{2} \d{4} \d{4} \d{4} \d{4} \d{3}
IL\d{2}-\d{4}-\d{4}-\d{4}-\d{4}-\d{3}
LT\d{2}\d{4}\d{4}\d{4}\d{4} Patrones de Lituania
LT\d{2} \d{4} \d{4} \d{4} \d{4}
LT\d{2}-\d{4}-\d{4}-\d{4}-\d{4}
LV\d{2}[A-Z]{4}\w{4}\w{4}\w{4}\w Patrones de Letonia
LV\d{2} [A-Z]{4} \w{4} \w{4} \w{4} \w
LV\d{2}-[A-Z]{4}-\w{4}-\w{4}-\w{4}-\w
ME\d{2}\d{4}\d{4}\d{4}\d{4}\d{2} Patrones de Montenegro
ME\d{2} \d{4} \d{4} \d{4} \d{4} \d{2}
ME\d{2}-\d{4}-\d{4}-\d{4}-\d{4}-\d{2}
MK\d{2}\d{3}\w\w{4}\w{4}\w\d{2} Patrones de Macedonia
MK\d{2} \d{3}\w \w{4} \w{4} \w\d{2}
MK\d{2}-\d{3}\w-\w{4}-\w{4}-\w\d{2}
PL\d{2}\d{4}\d{4}\d{4}\d{4}\d{4}\d{4} Patrones de Polonia
PL\d{2} \d{4} \d{4} \d{4} \d{4} \d{4} \d{4}
PL\d{2}-\d{4}-\d{4}-\d{4}-\d{4}-\d{4}-\d{4}
RO\d{2}[A-Z]{4}\w{4}\w{4}\w{4}\w{4} Patrones de Rumania
RO\d{2} [A-Z]{4} \w{4} \w{4} \w{4} \w{4}
RO\d{2}-[A-Z]{4}-\w{4}-\w{4}-\w{4}-\w{4}
IBAN oriental
RS\d{2}\d{4}\d{4}\d{4}\d{4}\d{2} Patrones de Serbia
RS\d{2} \d{4} \d{4} \d{4} \d{4} \d{2}
RS\d{2}-\d{4}-\d{4}-\d{4}-\d{4}-\d{2}
SI\d{2}\d{4}\d{4}\d{4}\d{3} Patrones de Eslovenia
SI\d{2} \d{4} \d{4} \d{4} \d{3}
SI\d{2}-\d{4}-\d{4}-\d{4}-\d{3}
SK\d{2}\d{4}\d{4}\d{4}\d{4}\d{4} Patrones de Eslovaquia
SK\d{2} \d{4} \d{4} \d{4} \d{4} \d{4}
SK\d{2}-\d{4}-\d{4}-\d{4}-\d{4}-\d{4}
TN59\d{4}\d{4}\d{4}\d{4}\d{4} Patrones de Túnez
TN59 \d{4} \d{4} \d{4} \d{4} \d{4}
TN59-\d{4}-\d{4}-\d{4}-\d{4}-\d{4}
TR\d{2}\d{4}\d\w{3}\w{4}\w{4}\w{4}\w{2} Patrones de Turquía
TR\d{2} \d{4} \d\w{3} \w{4} \w{4} \w{4}

\w{2}
TR\d{2}-\d{4}-\d\w{3}-\w{4}-\w{4}-\w{4}-\w{2}
Tabla 37-303 Validadores de amplitud baja de IBAN oriental

Entradas:

IBAN
IBAN occidental
IBAN occidental
El identificador de datos de IBAN occidental detecta los números de IBAN de
Dinamarca, las Islas Feroe, Finlandia, Francia, Gibraltar, Groenlandia, Islandia,
Irlanda, los Países Bajos, Noruega, Portugal, España, Suecia y el Reino Unido.
Ver "Amplitud alta de IBAN occidental" en la página 1092.
Ver "Amplitud baja de IBAN occidental" en la página 1094.

del lado servidor.
Amplitud alta de IBAN occidental

Tabla 37-304 Patrones de amplitud alta de IBAN occidental
DK\d{2}\d{4}\d{4}\d{4}\d{2} Patrones de Dinamarca
DK\d{2} \d{4} \d{4} \d{4} \d{2}
DK\d{2}-\d{4}-\d{4}-\d{4}-\d{2}
ES\d{2}\d{4}\d{4}\d{4}\d{4}\d{4} Patrones de España
ES\d{2} \d{4} \d{4} \d{4} \d{4} \d{4}
ES\d{2}-\d{4}-\d{4}-\d{4}-\d{4}-\d{4}
IBAN occidental
FI\d{2}\d{4}\d{4}\d{4}\d{2} Patrones de Finlandia
FI\d{2} \d{4} \d{4} \d{4} \d{2}
FI\d{2}-\d{4}-\d{4}-\d{4}-\d{2}
FO\d{2}\d{4}\d{4}\d{4}\d{2} Patrones de las Islas Feroe
FO\d{2} \d{4} \d{4} \d{4} \d{2}
FO\d{2}-\d{4}-\d{4}-\d{4}-\d{2}
FR\d{2}\d{4}\d{4}\d{2}\w{2}\w{4}\w{4}\w\d{2} Patrones de Francia
FR\d{2} \d{4} \d{4} \d{2}\w{2} \w{4} \w{4}

\w\d{2}
FR\d{2}-\d{4}-\d{4}-\d{2}\w{2}-\w{4}-\w{4}-\w\d{2}
GB\d{2}[A-Z]{4}\d{4}\d{4}\d{4}\d{2} Patrones del Reino Unido
GB\d{2} [A-Z]{4} \d{4} \d{4} \d{4} \d{2}
GB\d{2}-[A-Z]{4}-\d{4}-\d{4}-\d{4}-\d{2}
GI\d{2}[A-Z]{4}\w{4}\w{4}\w{4}\w{3} Patrones de Gibraltar
GI\d{2} [A-Z]{4} \w{4} \w{4} \w{4} \w{3}
GI\d{2}-[A-Z]{4}-\w{4}-\w{4}-\w{4}-\w{3}
GL\d{2}\d{4}\d{4}\d{4}\d{2} Patrones de Groenlandia
GL\d{2} \d{4} \d{4} \d{4} \d{2}
GL\d{2}-\d{4}-\d{4}-\d{4}-\d{2}
IE\d{2}[A-Z]{4}\d{4}\d{4}\d{4}\d{2} Patrones de Irlanda
IE\d{2} [A-Z]{4} \d{4} \d{4} \d{4} \d{2}
IE\d{2}-[A-Z]{4}-\d{4}-\d{4}-\d{4}-\d{2}
IS\d{2}\d{4}\d{4}\d{4}\d{4}\d{4}\d{2} Patrones de Islandia
IS\d{2} \d{4} \d{4} \d{4} \d{4} \d{4} \d{2}
IS\d{2}-\d{4}-\d{4}-\d{4}-\d{4}-\d{4}-\d{2}
NL\d{2}[A-Z]{4}\d{4}\d{4}\d{2} Patrones de Países Bajos
NL\d{2} [A-Z]{4} \d{4} \d{4} \d{2}
NL\d{2}-[A-Z]{4}-\d{4}-\d{4}-\d{2}
IBAN occidental
NO\d{2}\d{4}\d{4}\d{3} Patrones de Montenegro
NO\d{2} \d{4} \d{4} \d{3}
NO\d{2}-\d{4}-\d{4}-\d{3}
PT\d{2}\d{4}\d{4}\d{4}\d{4}\d{4}\d Patrones de Portugal
PT\d{2} \d{4} \d{4} \d{4} \d{4} \d{4} \d
PT\d{2}-\d{4}-\d{4}-\d{4}-\d{4}-\d{4}-\d
SE\d{2}\d{4}\d{4}\d{4}\d{4}\d{4} Patrones de Suecia
SE\d{2} \d{4} \d{4} \d{4} \d{4} \d{4}
SE\d{2}-\d{4}-\d{4}-\d{4}-\d{4}-\d{4}
Tabla 37-305 Validador de amplitud alta de IBAN occidental

Amplitud baja de IBAN occidental

Tabla 37-306 Patrones de amplitud baja de IBAN occidental
DK\d{2}\d{4}\d{4}\d{4}\d{2} Patrones de Dinamarca
DK\d{2} \d{4} \d{4} \d{4} \d{2}
DK\d{2}-\d{4}-\d{4}-\d{4}-\d{2}
ES\d{2}\d{4}\d{4}\d{4}\d{4}\d{4} Patrones de España
ES\d{2} \d{4} \d{4} \d{4} \d{4} \d{4}
ES\d{2}-\d{4}-\d{4}-\d{4}-\d{4}-\d{4}
IBAN occidental
FI\d{2}\d{4}\d{4}\d{4}\d{2} Patrones de Finlandia
FI\d{2} \d{4} \d{4} \d{4} \d{2}
FI\d{2}-\d{4}-\d{4}-\d{4}-\d{2}
FO\d{2}\d{4}\d{4}\d{4}\d{2} Patrones de las Islas Feroe
FO\d{2} \d{4} \d{4} \d{4} \d{2}
FO\d{2}-\d{4}-\d{4}-\d{4}-\d{2}
FR\d{2}\d{4}\d{4}\d{2}\w{2}\w{4}\w{4}\w\d{2} Patrones de Francia
FR\d{2} \d{4} \d{4} \d{2}\w{2} \w{4} \w{4}

\w\d{2}
FR\d{2}-\d{4}-\d{4}-\d{2}\w{2}-\w{4}-\w{4}-\w\d{2}
GB\d{2}[A-Z]{4}\d{4}\d{4}\d{4}\d{2} Patrones del Reino Unido
GB\d{2} [A-Z]{4} \d{4} \d{4} \d{4} \d{2}
GB\d{2}-[A-Z]{4}-\d{4}-\d{4}-\d{4}-\d{2}
GI\d{2}[A-Z]{4}\w{4}\w{4}\w{4}\w{3} Patrones de Gibraltar
GI\d{2} [A-Z]{4} \w{4} \w{4} \w{4} \w{3}
GI\d{2}-[A-Z]{4}-\w{4}-\w{4}-\w{4}-\w{3}
GL\d{2}\d{4}\d{4}\d{4}\d{2} Patrones de Groenlandia
GL\d{2} \d{4} \d{4} \d{4} \d{2}
GL\d{2}-\d{4}-\d{4}-\d{4}-\d{2}
IE\d{2}[A-Z]{4}\d{4}\d{4}\d{4}\d{2} Patrones de Irlanda
IE\d{2} [A-Z]{4} \d{4} \d{4} \d{4} \d{2}
IE\d{2}-[A-Z]{4}-\d{4}-\d{4}-\d{4}-\d{2}
IS\d{2}\d{4}\d{4}\d{4}\d{4}\d{4}\d{2} Patrones de Islandia
IS\d{2} \d{4} \d{4} \d{4} \d{4} \d{4} \d{2}
IS\d{2}-\d{4}-\d{4}-\d{4}-\d{4}-\d{4}-\d{2}
NL\d{2}[A-Z]{4}\d{4}\d{4}\d{2} Patrones de Países Bajos
NL\d{2} [A-Z]{4} \d{4} \d{4} \d{2}
NL\d{2}-[A-Z]{4}-\d{4}-\d{4}-\d{2}
Número de tarjeta Aadhaar de India
NO\d{2}\d{4}\d{4}\d{3} Patrones de Montenegro
NO\d{2} \d{4} \d{4} \d{3}
NO\d{2}-\d{4}-\d{4}-\d{3}
PT\d{2}\d{4}\d{4}\d{4}\d{4}\d{4}\d Patrones de Portugal
PT\d{2} \d{4} \d{4} \d{4} \d{4} \d{4} \d
PT\d{2}-\d{4}-\d{4}-\d{4}-\d{4}-\d{4}-\d
SE\d{2}\d{4}\d{4}\d{4}\d{4}\d{4} Patrones de Suecia
SE\d{2} \d{4} \d{4} \d{4} \d{4} \d{4}
SE\d{2}-\d{4}-\d{4}-\d{4}-\d{4}-\d{4}
Tabla 37-307 Validadores de amplitud baja de IBAN occidental

Entradas:
IBAN

El UIDAI tiene la orden de asignar un número de UID de 12 dígitos llamado Aadhaar
a todos los residentes de India. El número de Aadhaar es bastante seguro como
para eliminar las identidades duplicadas y falsas, y se puede verificar y autenticar
de una manera rentable en línea.
El identificador de datos del número de tarjeta de Aadhaar de India proporciona
■ La amplitud alta detecta un número de 12 dígitos.
Ver "Amplitud alta del número de tarjeta de Aadhaar de India" en la página 1097.
■ La amplitud media detecta un número de 12 dígitos. Además valida la suma de
comprobación.
Ver "Amplitud media del número de tarjeta de Aadhaar de India" en la página 1097.
■ La amplitud baja detecta un número de 12 dígitos. Además valida la suma de
comprobación y requiere la presencia de palabras claves relacionadas.
Ver "Amplitud baja del número de tarjeta de Aadhaar de India" en la página 1098.
Amplitud alta del número de tarjeta de Aadhaar de India

La amplitud alta detecta un número de 12 dígitos.
Tabla 37-308 Patrones de amplitud alta del número de tarjeta de Aadhaar de

India
Patrón
[2-9]\d{11}
[2-9]\d{3} \d{4} \d{4}
Tabla 37-309 Validador de amplitud alta del número de tarjeta de Aadhaar de

India
Amplitud media del número de tarjeta de Aadhaar de India

La amplitud media detecta un número de 12 dígitos. Además valida la suma de
comprobación.
Tabla 37-310 Patrones de amplitud media del número de tarjeta de Aadhaar de

India
Patrón
[2-9]\d{11}
[2-9]\d{3} \d{4} \d{4}

Tabla 37-311 Validadores de amplitud media del número de tarjeta de Aadhaar

de India
333333333333,666666666666,999999999999

circundantes.
Comprobación de validación de Verheoff Computa la suma de comprobación y valida el patrón en

Amplitud baja del número de tarjeta de Aadhaar de India

La amplitud baja detecta un número de 12 dígitos. Además valida la suma de
comprobación y requiere la presencia de palabras claves relacionadas.
Tabla 37-312 Patrones de amplitud baja del número de tarjeta de Aadhaar de

India
Patrón
[2-9]\d{11}
[2-9]\d{3} \d{4} \d{4}
Tabla 37-313 Validadores de amplitud baja del número de tarjeta de Aadhaar de

India
333333333333,666666666666,999999999999

circundantes.
Comprobación de validación de Verheoff Computa la suma de comprobación y valida el patrón en

Número de cuenta permanente de India
Entradas:
aadhar card no.,uidai,aadhar no.,Aadhar

Number,Aadhar#,Aadhar Card#
Número de cuenta permanente de India

El número de cuenta permanente de India (PAN) es un identificador alfanumérico
único de 10 caracteres emitido por el departamento indio del impuesto sobre la
renta a un individuo.
Este identificador de datos proporciona dos amplitudes de detección:
■ La amplitud alta detecta un identificador alfanumérico de 10 caracteres sin
validación de suma de comprobación.
Ver "Amplitud alta del número de cuenta permanente de India" en la página 1099.
■ La amplitud baja detecta un identificador alfanumérico de 10 caracteres con
validación de suma de comprobación. Además requiere la presencia de palabras
clave relacionadas con el PAN.
Ver "Amplitud baja del número de cuenta permanente de India (PAN)"
en la página 1100.
Amplitud alta del número de cuenta permanente de India

La amplitud alta detecta un identificador alfanumérico de 10 caracteres sin validación
Tabla 37-314 Modelo permanente indio de amplitud alta del número de cuenta
permanente de India
Patrón
[A-Za-z]{3}[CPHFATBLJGcphfatbljg][A-Za-z]\d{4}[A-Za-z]
Tabla 37-315 Validador permanente de amplitud alta del número de cuenta

permanente de India
Número de tarjeta de identidad de Indonesia
Amplitud baja del número de cuenta permanente de India (PAN)

La amplitud baja detecta un identificador alfanumérico de 10 caracteres con
validación de suma de comprobación. Además requiere la presencia de palabras
clave relacionadas con el PAN.
Tabla 37-316 Patrón de amplitud baja del número de cuenta permanente indio
Patrón
[A-Za-z]{3}[CPHFATBLJGcphfatbljg][A-Za-z]\d{4}[A-Za-z]
Tabla 37-317 Validador de amplitud baja del número de cuenta permanente indio
Entradas:
PAN, número de cuenta permanente, pan, núm.pan,

núm.PAN, número de tarjeta PAN, n.º de tarjeta pan,
núm.tarjetapan, n.º tarjeta PAN, n.º pan, núm.Id.PAN

El número de la tarjeta de identidad de Indonesia (Kartu Tanda Penduduk o KTP)
se usa como la base para la emisión del pasaporte, del carné de conducir, del
número de identificación de contribuyente, de la póliza de seguro, del certificado
de derechos sobre la tierra y de los documentos de identidad.
El identificador de datos de sistema del número de tarjeta de identidad de Indonesia
comprobación.
Ver "Amplitud alta del número de tarjeta de identidad de Indonesia"
en la página 1101.
de comprobación.
Ver "Amplitud media del número de tarjeta de identidad de Indonesia"
en la página 1101.

relacionadas con el número de la tarjeta de identidad de Indonesia.
Ver "Amplitud baja del número de tarjeta de identidad de Indonesia"
en la página 1102.
Amplitud alta del número de tarjeta de identidad de Indonesia

comprobación.
Tabla 37-318 Patrón de amplitud alta del número de tarjeta de identidad de

Indonesia
Patrón
\d{2}[01237]\d{3}[01234567]\d[01]\d{7}
Tabla 37-319 Validador de amplitud alta del número de tarjeta de identidad de

Indonesia
Amplitud media del número de tarjeta de identidad de Indonesia

comprobación.
Tabla 37-320 Patrón de amplitud media del número de tarjeta de identidad de

Indonesia
Patrón
\d{2}[01237]\d{3}[01234567]\d[01]\d{7}
Tabla 37-321 Validador de amplitud media del número de tarjeta de identidad de

Indonesia

circundantes.
Comprobación de validación del Kartu Tanda Penduduk El validador computa la suma de comprobación que cada
de Indonesia Kartu Tanda Penduduk de Indonesia debe pasar.
Amplitud baja del número de tarjeta de identidad de Indonesia

relacionadas con el número de la tarjeta de identidad de Indonesia.
Tabla 37-322 Patrón de amplitud baja del número de tarjeta de identidad de

Indonesia
Patrón
\d{2}[01237]\d{3}[01234567]\d[01]\d{7}
Tabla 37-323 Validadores de amplitud baja del número de tarjeta de identidad

de Indonesia

circundantes.
Comprobación de validación del Kartu Tanda Penduduk El validador computa la suma de comprobación que cada
de Indonesia Kartu Tanda Penduduk de Indonesia debe pasar.
Entradas:
número de tarjeta de identidad, n.º de tarjeta de

identidad de Indonesia, número de tarjeta de identidad
de Indonesia, NIK, KTP, Id. única, número de identidad
único, número de identificación nacional, n.º de
identidad nacional, número de identidad
kartu tanda penduduk nomor, nomor Induk

Kependudukan, tanda penduduk nomor, kartu identitas
Indonesia no, kartu identitas Indonesia nomor, nomor
identitas unik
Número de identidad internacional del equipo móvil

La identidad internacional del equipo móvil (IMEI) es un identificador único para
teléfonos móviles 3GPP (GSM, UMTS y LTE) y iDEN, así como teléfonos satelitales.
■ La amplitud alta detecta un número de 15 dígitos con la validación de dígitos
duplicados.
Ver "Amplitud alta del número de identidad internacional del equipo móvil"
en la página 1103.
■ La amplitud media detecta un número de 15 dígitos con la validación de la
comprobación de Luhn y la exclusión del carácter del principio.
Ver "Amplitud media del número de identidad internacional del equipo móvil"
en la página 1104.
■ La amplitud baja detecta un número de 15 dígitos con la validación de dígitos
duplicados y de la comprobación de Luhn. Además requiere la presencia de
palabras clave relacionadas con IMEI.
Ver "Amplitud baja del número de identidad internacional del equipo móvil"
en la página 1104.
Amplitud alta del número de identidad internacional del equipo móvil

La amplitud alta detecta un número de 15 dígitos con la validación de dígitos
duplicados.
Tabla 37-324 Patrones de amplitud alta del número de identidad internacional

del equipo móvil
Patrón
\d{15}
\d{2}-\d{6}-\d{6}-\d\{
Tabla 37-325 Validador de amplitud alta del número de identidad internacional

del equipo móvil
Amplitud media del número de identidad internacional del equipo

móvil
La amplitud media detecta un número de 15 dígitos con la validación de la
comprobación de Luhn y la exclusión del carácter del principio.
Tabla 37-326 Patrones de amplitud media del número de identidad internacional

del equipo móvil
Patrón
\d{15}
\d{2}-\d{6}-\d{6}-\d\{
Tabla 37-327 Validadores de amplitud media del número de identidad

internacional del equipo móvil
Comprobación de Luhn Computa la suma de comprobación de Luhn y valida el

patrón en función del resultado.

circundantes.
000000000000000.
Amplitud baja del número de identidad internacional del equipo móvil

La amplitud baja detecta un número de 15 dígitos con la validación de dígitos
duplicados y de la comprobación de Luhn. Además requiere la presencia de palabras
clave relacionadas con IMEI.
Tabla 37-328 Patrones de amplitud baja del número de identidad internacional

del equipo móvil
Patrón
\d{15}
\d{2}-\d{6}-\d{6}-\d\{
Número de identificación internacional de títulos valores
Tabla 37-329 Validadores de amplitud baja del número de identidad internacional

del equipo móvil


circundantes.
Entradas:
imei, IMEI, núm. de imei, Núm. de IMEI, Número de

IMEI, número de imei, Número de Identidad
Internacional del Equipo Móvil, Identidad Internacional
del Equipo Móvil
Número de identificación internacional de títulos

valores
Un número de identificación internacional de títulos valores (ISIN) es un código
alfanumérico de 12 caracteres que identifica únicamente a un título valor. Los títulos
valores para los cuales se emiten los números ISIN incluyen bonos, papeles
comerciales, acciones y garantías.
■ La amplitud alta detecta un identificador de 12 caracteres sin validación.
Ver " Amplitud alta del número de identificación internacional de títulos valores"
en la página 1106.
■ La amplitud media detecta un identificador de 12 caracteres con la validación
Ver "Amplitud media del número de identificación internacional de títulos valores"
en la página 1106.
■ La amplitud baja detecta un identificador de 12 caracteres con la validación de
relacionadas con ISIN.
Ver "Amplitud baja del número de identificación internacional de títulos valores"
en la página 1106.
Número de identificación internacional de títulos valores
Amplitud alta del número de identificación internacional de títulos

valores
La amplitud alta detecta un identificador de 12 caracteres sin validación.
Tabla 37-330 Patrón de amplitud alta del número de identificación internacional

de títulos valores
Patrón
\l{2}\w{9}\d
La amplitud alta del número de identificación internacional de títulos valores no

incluye ningún validador.
Amplitud media del número de identificación internacional de títulos

valores
La amplitud media detecta un identificador de 12 caracteres con la validación de
Tabla 37-331 Patrones de amplitud media del número de identificación

internacional de títulos valores
Patrón
\l{2}\w{9}\d

internacional de títulos valores función del resultado.
Amplitud baja del número de identificación internacional de títulos

valores
La amplitud baja detecta un identificador de 12 caracteres con la validación de la
relacionadas con ISIN.
Dirección IP
Tabla 37-333 Patrones de amplitud baja del número de identificación internacional

de títulos valores
Patrón
\l{2}\w{9}\d
Tabla 37-334 Validadores de amplitud baja del número de identificación

internacional de títulos valores función del resultado.
Entradas:
isin, i.s.i.n, Número de Identificación Internacional de

Títulos Valores, Standard & Poor's, S&P, Asociación
de Agencias de Numeración Nacionales, Id. de NNA,
número de Id., número de identificación, núm. de Id.,
núm. de Id. internacional de títulos valores, número
de Id. internacional de títulos valores
Dirección IP
Una dirección IP es el código informático de una red que se usa para identificar
los dispositivos y para facilitar comunicaciones.
El identificador de datos de dirección IP detecta direcciones IPv4.
Este identificador de datos ofrece tres amplitudes de detección:
■ La amplitud alta detecta las direcciones IP y valida su formato.
Ver "Amplitud alta de la dirección IP" en la página 1108.
■ La amplitud media detecta las direcciones IP, valida su formato y elimina las
direcciones ficticias.
Ver "Amplitud media de dirección IP" en la página 1108.
■ La amplitud baja detecta las direcciones IP, valida su formato y elimina las
direcciones ficticias y sin asignar.
Ver "Amplitud baja de dirección IP" en la página 1109.
Dirección IP
Amplitud alta de la dirección IP

La amplitud alta del identificador de datos de la dirección IP detecta números con
el formato DDD.DDD.DDD.DDD con /DD opcional. Cada grupo de tres dígitos debe
estar comprendido entre 0 y 255 inclusive, y /DD debe estar comprendido entre 0
y 32. Además, 0.0.0.0 no está permitido.
Tabla 37-335 Patrones de amplitud alta de la dirección IP
Patrón
\d{1,3}.\d{1,3}.\d{1,3}.\d{1,3}
\d{1,3}.\d{1,3}.\d{1,3}.\d{1,3}/[0-9]
\d{1,3}.\d{1,3}.\d{1,3}.\d{1,3}/[1-2][0-9]?
\d{1,3}.\d{1,3}.\d{1,3}.\d{1,3}/[3][0-2]?
Tabla 37-336 Validador de amplitud alta de la dirección IP
Comprobación básica de IP Cada dirección IP debe coincidir con el formato x.x.x.x, y

cada número debe ser menor que 256.
Amplitud media de dirección IP

La amplitud media del identificador de datos de dirección IP detecta números con
el formato DDD.DDD.DDD.DDD con /DD opcional. Cada grupo de tres dígitos debe
y 32. Además, 0.0.0.0 no está permitido. Además, elimina los ejemplos ficticios
comunes de todos los grupos de coincidencia de 1 dígito, como 1.1.1.2.
Tabla 37-337 Patrones de amplitud media de la dirección IP
Patrón
\d{1,3}.\d{1,3}.\d{1,3}.\d{1,3}
\d{1,3}.\d{1,3}.\d{1,3}.\d{1,3}/[0-9]
\d{1,3}.\d{1,3}.\d{1,3}.\d{1,3}/[1-2][0-9]?
\d{1,3}.\d{1,3}.\d{1,3}.\d{1,3}/[3][0-2]?
Dirección IPv6
Tabla 37-338 Validador de amplitud media de la dirección IP
Comprobación de octeto de Cada dirección IP debe coincidir con el formato x.x.x.x, y cada número debe ser menor
IP que 256. Ninguna dirección IP puede contener solo números de un dígito (1.1.1.2).
Amplitud baja de dirección IP

La amplitud baja del identificador de datos de dirección IP detecta números con el
formato DDD.DDD.DDD.DDD con /DD opcional. Cada grupo de tres dígitos debe
y 32. Además, 0.0.0.0 no está permitido. Además, elimina los ejemplos ficticios
comunes de todos los grupos de coincidencia de 1 dígito, como 1.1.1.2. También
elimina las direcciones IP no asignadas ("bogons").
Tabla 37-339 Patrones de amplitud baja de la dirección IP
Patrón
\d{1,3}.\d{1,3}.\d{1,3}.\d{1,3}
\d{1,3}.\d{1,3}.\d{1,3}.\d{1,3}/[0-9]
\d{1,3}.\d{1,3}.\d{1,3}.\d{1,3}/[1-2][0-9]?
\d{1,3}.\d{1,3}.\d{1,3}.\d{1,3}/[3][0-2]?
Tabla 37-340 Validadores de amplitud baja de la dirección IP
Comprobación de octeto de IP Cada dirección IP debe coincidir con el formato x.x.x.x, y cada número debe ser menor
que 256. Ninguna dirección IP puede contener solo números de un dígito (1.1.1.2).
Comprobación de octeto de IP Comprueba si las direcciones IP se incluyen dentro de los rangos de "bogon". En
caso de ser así, la coincidencia no es válida.
Dirección IPv6
La versión 6 del protocolo de Internet (IPv6), es la última versión del protocolo de
Internet (IP): el protocolo de comunicaciones que proporciona un sistema de
identificación y localización para equipos en el tráfico de redes y rutas a través de
Internet.
Este identificador de datos ofrece tres amplitudes de detección:
Dirección IPv6
■ La amplitud alta detecta las direcciones IPv6 y valida su formato.

Ver "Amplitud alta de la dirección IPv6" en la página 1110.
■ La amplitud media detecta las direcciones IPv6 y valida su formato. Además
valida que no comiencen con el número 0.
Ver "Amplitud media de la dirección IPv6" en la página 1110.
■ La amplitud baja detecta las direcciones IPv6 y valida su formato. Además
valida que no comiencen con el número 0. Las cadenas de la dirección se
comprimen completamente, no se normalizan.
Ver "Amplitud baja de la dirección IPv6" en la página 1111.
Amplitud alta de la dirección IPv6

La amplitud alta detecta las direcciones IPv6 y valida que coincidan con el formato
xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx.
Tabla 37-341 Patrones de amplitud alta de la dirección IPv6
Patrón
[0-9A-Fa-f:./%]{11,19}
[0-9A-Fa-f:./%]{2,10}
[0-9A-Fa-f:./%]{20,28}
[0-9A-Fa-f:./%]{29,37}
[0-9A-Fa-f:./%]{38,46}
[0-9A-Fa-f:./%]{47,48}
Tabla 37-342 Validador de amplitud alta de la dirección IPv6
Comprobación de validación básica de la dirección IPv6 Comprueba cada dirección IPv6 y verifica que cada una
de ellas coincida con el formato
xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx.
Amplitud media de la dirección IPv6

La amplitud media detecta las direcciones IPv6 y valida que coincidan con el formato
xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx. Además valida que no comiencen con
el número 0.
Dirección IPv6
Tabla 37-343 Patrones de amplitud media de la dirección IPv6
Patrón
[0-9A-Fa-f:./%]{11,19}
[0-9A-Fa-f:./%]{2,10}
[0-9A-Fa-f:./%]{20,28}
[0-9A-Fa-f:./%]{29,37}
[0-9A-Fa-f:./%]{38,46}
[0-9A-Fa-f:./%]{47,48}
Tabla 37-344 Validador de amplitud media de la dirección IPv6
Comprobación de validación Comprueba cada dirección IPv6 y verifica que coincidan con el formato
media de la dirección IPv6 xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx y que las direcciones no comiencen con el
número 0.
Amplitud baja de la dirección IPv6

La amplitud baja detecta las direcciones IPv6 y valida que coincidan con el formato
xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx. Además valida que no comiencen con
el número 0. Las cadenas de la dirección se comprimen completamente, no se
normalizan.
Tabla 37-345 Patrones de amplitud baja de la dirección IPv6
Patrón
[0-9A-Fa-f:./%]{11,19}
[0-9A-Fa-f:./%]{2,10}
[0-9A-Fa-f:./%]{20,28}
[0-9A-Fa-f:./%]{29,37}
[0-9A-Fa-f:./%]{38,46}
[0-9A-Fa-f:./%]{47,48}
Número personal de servicio público irlandés
Tabla 37-346 Validador de amplitud baja de la dirección IPv6
Comprobación de validación Comprueba cada dirección IPv6 y verifica que coincida con el formato
reservada de la dirección IPv6 xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx, no comience con el número 0 y se comprima
completamente.
Tabla 37-347 Normalizador de amplitud baja de la dirección IPv6
Normalizador Descripción
Noop (sin operación) La cadena se aprueba tal como está, sin normalización.

El formato del número es una cadena alfanumérica única de 8 caracteres que
termina en una letra, tal como 8765432A. El número se asigna en el momento en
que se registra un nacimiento, es único de cada persona y se emite en una tarjeta
de servicios públicos.
El identificador de datos del sistema de números personales de servicio público
irlandés proporciona tres amplitudes de detección:
■ La amplitud alta detecta una cadena alfanumérica de 8 caracteres que termina
con una letra sin la validación de la suma de comprobación.
Ver "Amplitud alta del número personal de servicio público irlandés"
en la página 1112.
■ La amplitud media detecta una cadena alfanumérica de 8 caracteres que termina
con una letra con la validación de la suma de comprobación.
Ver "Amplitud media del número personal de servicio público irlandés"
en la página 1113.
■ La amplitud baja detecta una cadena alfanumérica de 8 caracteres que termina
con una letra que aprueba la validación de la suma de comprobación. Además
requiere la presencia de palabras clave relacionadas con el Número personal
de servicio público irlandés.
Ver "Amplitud baja del número personal de servicio público irlandés"
en la página 1113.
Amplitud alta del número personal de servicio público irlandés

La amplitud alta detecta una cadena alfanumérica de 8 caracteres que termina con
una letra sin la validación de la suma de comprobación.
Tabla 37-348 Patrón de amplitud alta del número personal de servicio público
irlandés
Patrón
\d{7}[a-wA-W]
Tabla 37-349 Validador de amplitud alta del número personal de servicio público
irlandés
Amplitud media del número personal de servicio público irlandés

La amplitud media detecta una cadena alfanumérica de 8 caracteres que termina
con una letra con la validación de la suma de comprobación.
Tabla 37-350 Patrón de amplitud media del número personal de servicio público
irlandés
Patrón
\d{7}[a-wA-W]
Tabla 37-351 Validador de amplitud media del número personal de servicio

público irlandés
Comprobación de validación del número personal de Computa la suma de comprobación y valida el patrón en
servicio público irlandés función del resultado.
Amplitud baja del número personal de servicio público irlandés

La amplitud baja detecta una cadena alfanumérica de 8 caracteres que termina
con una letra que aprueba la validación de la suma de comprobación. Además
requiere la presencia de palabras clave relacionadas con el Número personal de
servicio público irlandés.
Número de identificación personal de Israel
Tabla 37-352 Patrón de amplitud baja del número personal de servicio público
irlandés
Patrón
\d{7}[a-wA-W]
Tabla 37-353 Validadores de amplitud baja del número personal de servicio

público irlandés
Comprobación de validación del número personal de Computa la suma de comprobación y valida el patrón en
servicio público irlandés función del resultado.
Entradas:
n.º de servicio público, n.º personal de servicio

público, n.º de pps, n.º de PPS, n.º personal de
servicio, n.º de servicio PPS, núm.pps, n.º de PPS
irlandés, n.º de pps irlandés, núm.PPS,
núm.serviciopúblico, número personal de servicio
público
uimhir phearsanta seirbhíse poiblí, pps uimh, Uimhir

aitheantais phearsanta

El número de identificación personal de Israel es un número de 9 dígitos emitido
a todos los ciudadanos israelíes en su nacimiento por el Ministerio del Interior. Los
números de identificación personal además se emiten a todos los residentes
mayores de 16 años que tengan estado de residencia legal temporal o permanente.
El identificador de datos del número de identificación personal de Israel proporciona
comprobación.
Ver "Amplitud alta del número de identificación personal de Israel"
en la página 1115.

de comprobación.
Ver "Amplitud media del número de identificación personal de Israel"
en la página 1115.
con el número de identidad de Israel.
Ver "Amplitud baja del número de identificación personal de Israel"
en la página 1116.
Amplitud alta del número de identificación personal de Israel

comprobación.

Israel
Patrón
\d{9}

de Israel
Amplitud media del número de identificación personal de Israel

comprobación.

de Israel
Patrón
\d{9}

personal de Israel
Comprobación de validación del número de identidad de Computa la suma de comprobación y valida el patrón en
Israel función del resultado.

circundantes.
Amplitud baja del número de identificación personal de Israel

el número de identidad de Israel.

de Israel
Patrón
\d{9}

de Israel
personal de Israel función del resultado.

circundantes.
Entradas:
número de identidad, n.ºdeId.,

númerodeidentidaddeisrael, n.ºdeidentidad, núm. de
identidad, Número de identidad de Israel, Id. personal
único, Id. personal, Id. único, número de identidad
único, ‫هو ية‬, ‫זהות ישר אלית‬,‫מספר זיהוי ישר אלי‬,‫מספר זיה וי‬
‫عدد هوية فريدة من نوعها‬,‫رقم الهوية‬,‫هوية إسرائ يلية‬,‫اسرائيل ية عدد‬
Número de licencia de conducir de Italia
Número de licencia de conducir de Italia

Agencia de Concesión de Licencias de Vehículos y Conductores de Italia.
El identificador de datos del número de licencia de conducir de Italia proporciona
Ver "Amplitud alta del número de licencia de conducir de Italia" en la página 1117.
relacionadas.
Ver "Amplitud baja del número de licencia de conducir de Italia" en la página 1118.
Amplitud alta del número de licencia de conducir de Italia

Tabla 37-360 Patrones de amplitud alta del número de licencia de conducir de

Italia
Patrón
\l[AVav]\w{7}\l
\l[AVav] \w{7} \l
\l[AVav]-\w{7}-\l
\l[AVav] [-] \w{7} [-] \l

Italia

circundantes.
Número de seguro de salud de Italia
Amplitud baja del número de licencia de conducir de Italia

La amplitud baja detecta un patrón alfanumérico de 10 caracteres sin validación
relacionadas.

Italia
Patrón
\l[AVav]\w{7}\l
\l[AVav] \w{7} \l
\l[AVav]-\w{7}-\l
\l[AVav] [-] \w{7} [-] \l

de Italia

circundantes.
Entradas:
número de licencia de conducir, número de licencia

de conducir, número de licencia de conducir, número
de licencia de conducir, licencia de conducir, licencia
de conducir, licencia de conducir, patente guida
numero, patente di guida numero, patente di guida,
patente guida, Licencia de Conducir, Número de
Licencia de Conducir, número de licencia de conducir,
Número de Licencia de Conducir

El Ministerio Italiano de Economía y Finanzas, en conjunto con la Agencia de
Ingresos de Italia, emite la tarjeta de seguro de salud de Italia para todos los
ciudadanos de Italia. El objetivo de la tarjeta es mejorar los servicios de seguridad
social mediante el control de gastos y el rendimiento, y optimizar el uso de los

servicios de salud para los ciudadanos.
El identificador de datos del número de seguro de salud de Italia proporciona dos
relacionadas.
Ver "Amplitud alta del número de seguro de salud de Italia" en la página 1119.
■ La amplitud alta detecta un patrón alfanumérico de 16 caracteres con validación
relacionadas.
Ver "Amplitud baja del número de seguro de salud de Italia" en la página 1120.
Amplitud alta del número de seguro de salud de Italia

relacionadas.
Tabla 37-364 Patrones de amplitud alta del número de seguro de salud de Italia
Patrón
[A-Z]{6}[0-9LMNPQRSTUV]{2}[ABCDEHLMPRST][0-9LMNPQRSTUV]
{2}[A-Z][0-9LMNPQRSTUV]{3}[A-Z]
[A-Z]{3} [A-Z]{3} [0-9LMNPQRSTUV]{2}[ABCDEHLMPRST]
[0-9LMNPQRSTUV]{2} [A-Z][0-9LMNPQRSTUV]{3}[A-Z]
Tabla 37-365 Validadores de amplitud alta del número de seguro de salud de

Italia

circundantes.
TESSERA SANITARIA, tessera sanitaria, tessera
sanitaria italiana, Tarjeta de Seguro de Salud, tarjeta
de seguro de salud de Italia, tarjeta de seguro de salud,
EHIC, tarjeta de salud, ehic, Tarjeta de Salud
Amplitud baja del número de seguro de salud de Italia

La amplitud alta detecta un patrón alfanumérico de 16 caracteres con validación
relacionadas.
Tabla 37-366 Patrones de amplitud baja del número de seguro de salud de Italia
Patrón
[A-Z]{6}[0-9LMNPQRSTUV]{2}[ABCDEHLMPRST][0-9LMNPQRSTUV]
{2}[A-Z][0-9LMNPQRSTUV]{3}[A-Z]
[A-Z]{3} [A-Z]{3} [0-9LMNPQRSTUV]{2}[ABCDEHLMPRST]
[0-9LMNPQRSTUV]{2} [A-Z][0-9LMNPQRSTUV]{3}[A-Z]
Tabla 37-367 Validadores de amplitud baja del número de seguro de salud de

Italia

circundantes.
TESSERA SANITARIA, tessera sanitaria, tessera

sanitaria italiana, Tarjeta de Seguro de Salud, tarjeta
de seguro de salud de Italia, tarjeta de seguro de salud,
EHIC, tarjeta de salud, ehic, Tarjeta de Salud
Número de pasaporte de Italia
Número de pasaporte de Italia

Los pasaportes italianos se emiten para los ciudadanos italianos para el transporte
internacional.
El identificador de datos del número de pasaporte de Italia ofrece dos amplitudes
de detección:
Ver "Amplitud alta del número de pasaporte de Italia" en la página 1121.
relacionadas.
Ver "Amplitud baja del número de pasaporte de Italia" en la página 1121.
Amplitud alta del número de pasaporte de Italia

Tabla 37-368 Patrón de amplitud alta del número de pasaporte de Italia
Patrón
\l{2}\d{7}
Tabla 37-369 Validadores de amplitud alta del número de pasaporte de Italia

circundantes.
Amplitud baja del número de pasaporte de Italia

La amplitud baja detecta un patrón alfanumérico de 9 caracteres sin validación de
relacionadas.
Tabla 37-370 Patrones de amplitud baja del número de pasaporte de Italia
Patrón
\l{2}\d{7}
Número de impuesto sobre el valor añadido (IVA) de Italia
Tabla 37-371 Validadores de amplitud baja del número de pasaporte de Italia

circundantes.
Entradas:
Repubblica Italiana Passaporto, Passaporto,

Passaporto Italiana, número de pasaporte, Italiana
Passaporto numero, Passaporto numero, Numéro
passeport italien, numéro passeport, Número de
pasaporte de Italia

Italia
se paga en cada transacción del proceso de fabricación y distribución. En Italia, el
impuesto sobre el valor añadido es emitido por la oficina de IVA correspondiente
a la región en la que está establecida la empresa.
Italia proporciona tres amplitudes de detección:
■ La amplitud alta detecta un patrón alfanumérico de 13 caracteres precedido por
IT, sin validación de la suma de comprobación.
■ La amplitud media detecta un patrón alfanumérico de 13 caracteres precedido
por IT, con validación de la suma de comprobación.
■ La amplitud baja detecta un patrón alfanumérico de 13 caracteres precedido
por IT, con validación de la suma de comprobación. Además requiere la

de Italia
La amplitud alta detecta un patrón alfanumérico de 13 caracteres precedido por
IT, sin validación de la suma de comprobación.
añadido (IVA) de Italia
Patrón
[Ii][Tt]\d{11}
[Ii][Tt] \d{11}
[Ii][Tt].\d{11}
[Ii][Tt]-\d{11}
[Ii][Tt],\d{11}

circundantes.

de Italia
La amplitud media detecta un patrón alfanumérico de 13 caracteres precedido por
IT, con validación de la suma de comprobación.
[Ii][Tt]\d{11}
[Ii][Tt] \d{11}
[Ii][Tt].\d{11}
[Ii][Tt]-\d{11}
[Ii][Tt],\d{11}
Tabla 37-375 Validador de amplitud media del número de impuesto sobre el valor
Comprobación de validación del número de Validador de la suma de comprobación para

IVA de Italia el número de impuesto sobre el valor añadido
(IVA) de Italia.

de Italia
La amplitud baja detecta un patrón alfanumérico de 13 caracteres precedido por
IT, con validación de la suma de comprobación. Además requiere la presencia de
Patrón
[Ii][Tt]\d{11}
[Ii][Tt] \d{11}
[Ii][Tt].\d{11}
[Ii][Tt]-\d{11}
[Ii][Tt],\d{11}

circundantes.
Comprobación de validación del número de IVA de Italia Validador de la suma de comprobación para el número
de impuesto sobre el valor añadido (IVA) de Italia.
Número de pasaporte de Japón
Entradas:
Número de IVA, n.° iva, IVA#, IVA, numero partita IVA,

IVA#, numero IVA

Los números de pasaporte de Japón se otorgan a los ciudadanos japoneses para
realizar viajes internacionales.
El identificador de datos del número de pasaporte de Japón ofrece dos amplitudes
de detección:
■ La amplitud alta detecta un patrón válido de número de pasaporte de Japón.
Ver "Amplitud alta del número de pasaporte de Japón" en la página 1125.
■ La amplitud baja detecta un patrón válido de número de pasaporte de Japón.
Además requiere la presencia de palabras clave relacionadas.
Ver "Amplitud baja del número de pasaporte de Japón" en la página 1126.
Amplitud alta del número de pasaporte de Japón

La amplitud alta detecta un patrón válido de número de pasaporte de Japón.
Tabla 37-378 Patrones de amplitud alta del número de pasaporte de Japón
Patrones
\l{2}\d{3}\l\d{2}\l\d
\l{2}\d{4}\l\d\l\d
\l\d{4}\l\d{2}\l\d
\l\d{4}\l\d{2}\l{2}\d
\l{2}\d{3}\l\d{2}\l{2}\d
\l{2}\d{8}
\l{2}\d{7}
\l\d{8}
Tabla 37-379 Validador de amplitud alta del número de pasaporte de Japón
Amplitud baja del número de pasaporte de Japón

La amplitud baja detecta un patrón válido de número de pasaporte de Japón.
Tabla 37-380 Patrones de amplitud baja del número de pasaporte de Japón
Patrones
\l{2}\d{3}\l\d{2}\l\d
\l{2}\d{4}\l\d\l\d
\l\d{4}\l\d{2}\l\d
\l\d{4}\l\d{2}\l{2}\d
\l{2}\d{3}\l\d{2}\l{2}\d
\l{2}\d{8}
\l{2}\d{7}
\l\d{8}
Tabla 37-381 Validadores de amplitud baja del número del pasaporte de Japón
Entradas:
日本国旅券, パスポート, パスポート数, passport,

Passport, JAPAN PASSPORT, Japan Passport, japan
passport, Passport Book, passport book
Número de identificación de Juki-Net de Japón

El número de identificación de Juki-Net de Japón es un número único que se asigna
a japoneses y residentes extranjeros para confirmar su identificación personal.
El identificador de datos del sistema de números de identificación de Juki-Net
comprobación.
Ver "Amplitud alta del número de identificación de Juki-Net de Japón"
en la página 1127.
de comprobación.
Ver "Amplitud media del número de identificación de Juki-Net de Japón"
en la página 1127.
relacionadas con el Id. de Juki-Net.
Ver "Amplitud baja del número de identificación de Juki-Net de Japón"
en la página 1128.
Amplitud alta del número de identificación de Juki-Net de Japón

comprobación.
Tabla 37-382 Patrón de amplitud alta del número de identificación de Juki-Net

de Japón
Patrón
\d{11}
Tabla 37-383 Validador de amplitud alta del número de identificación de Juki-Net

de Japón
Amplitud media del número de identificación de Juki-Net de Japón

de comprobación.
Tabla 37-384 Patrón de amplitud media del número de identificación de Juki-Net

de Japón
Patrón
\d{11}
Tabla 37-385 Validador de amplitud media del número de identificación de

Juki-Net de Japón
Comprobación de validación del Id. de Juki-Net de Japón El validador computa el número de la suma de
comprobación que cada número de Id. de Juki-Net de
Japón debe aprobar.

circundantes.
Amplitud baja del número de identificación de Juki-Net de Japón

relacionadas con el número de identificación de Juki-Net.
Tabla 37-386 Patrón de amplitud baja del número de identificación de Juki-Net

de Japón
Patrón
\d{11}
Tabla 37-387 Validadores de amplitud baja del número de identificación de

Juki-Net de Japón

circundantes.
Comprobación de validación del Id. de Juki-Net de Japón El validador computa el número de la suma de
comprobación que cada número de Id. de Juki-Net de
Japón debe aprobar.
Mi número japonés: empresarial
Entradas:
número de identidad de juki net, número de

juki-net, número de identificación, n.º de
Juki-Net, núm.jukinet, número de
identificación personal, n.º de juki-net,
númerojukinet, Id. único de jukinet
住基ネット識別番号, 住基ネット番号, 識別番号, 個人識

別番号, ID番号, ユニークID番号 .

Mi número japonés: empresarial es un identificador único para las sociedades
japonesas que se usa para la administración fiscal, la administración de seguridad
social y la respuesta después de un desastre.
■ La amplitud alta detecta un número de 13 dígitos con la validación de la suma
de comprobación.
Ver " Amplitud alta de Mi número japonés: empresarial" en la página 1129.
de comprobación. Además requiere la presencia de una palabra clave
relacionada con Mi número japonés.
Ver "Amplitud baja de Mi número japonés: empresarial" en la página 1130.
Amplitud alta de Mi número japonés: empresarial

La amplitud alta detecta un número de 13 dígitos con la validación de la suma de
comprobación.
Tabla 37-388 Patrón de amplitud alta de Mi número japonés: empresarial
Patrón
\d{13}
Tabla 37-389 Validadores de amplitud alta de Mi número japonés: empresarial
Comprobación de validación de mi número japonés Computa la suma de comprobación y valida el patrón en


circundantes.
Amplitud baja de Mi número japonés: empresarial

comprobación. Además requiere la presencia de una palabra clave relacionada
con Mi número japonés.
Tabla 37-390 Patrón de amplitud baja de Mi número japonés: empresarial
Patrón
\d{13}
Tabla 37-391 Validadores de amplitud baja de Mi número japonés: empresarial

000000000000.
Entradas:
マイナンバー, 共通番号
Mi número japonés: personal

Mi número japonés: personal es un identificador único para los ciudadanos y los
residentes japoneses que se usa para la administración fiscal, la administración
de seguridad social y la respuesta después de un desastre.
de comprobación.
Ver "Amplitud alta de Mi número japonés: personal" en la página 1131.
de comprobación.
Ver "Amplitud media de Mi número japonés: personal" en la página 1131.
relacionada con Mi número japonés.
Ver "Amplitud baja de Mi número japonés: personal" en la página 1132.
Amplitud alta de Mi número japonés: personal

comprobación.
Tabla 37-392 Patrón de amplitud alta de Mi número japonés: personal
Patrón
\d{12}
Tabla 37-393 Validadores de amplitud alta de Mi número japonés: personal

000000000000.
Amplitud media de Mi número japonés: personal

comprobación.
Tabla 37-394 Patrones de amplitud media de Mi número japonés: personal
Patrón
\d{12}
\d{4} \d{4} \d{4}
\d{4}-\d{4}-\d{4}
\d{4}.\d{4}.\d{4}
Tabla 37-395 Validadores de amplitud media de Mi número japonés: personal

000000000000.
Amplitud baja de Mi número japonés: personal

con Mi número japonés.
Tabla 37-396 Patrones de amplitud baja de Mi número japonés: personal
Patrón
\d{12}
\d{4} \d{4} \d{4}
\d{4}-\d{4}-\d{4}
\d{4}.\d{4}.\d{4}
Tabla 37-397 Validadores de amplitud baja de Mi número japonés: personal

000000000000.
Número de pasaporte de Corea
Entradas:
マイナンバー, 個人番号, 共通番号
Número de pasaporte de Corea

Los pasaportes de Corea se otorgan a los ciudadanos coreanos para facilitar los
viajes internacionales.
El identificador de datos del número de pasaporte de Corea ofrece dos amplitudes
de detección:
■ La amplitud alta detecta un patrón válido de número de pasaporte de Corea.
Ver "Amplitud alta del número de pasaporte de Corea" en la página 1133.
■ La amplitud baja detecta un patrón válido de número de pasaporte de Corea.
Ver "Amplitud baja del número de pasaporte de Corea" en la página 1134.
Amplitud alta del número de pasaporte de Corea

La amplitud alta detecta un patrón válido de número de pasaporte de Corea.
Tabla 37-398 Patrones de amplitud alta del número de pasaporte de Corea
Patrones
\l{2}\d{7}
\l\d{8}
\d{9}
Tabla 37-399 Validador de amplitud alta del número de pasaporte de Corea
Número de registro de residente de Corea para extranjeros
Amplitud baja del número de pasaporte de Corea

La amplitud baja detecta un patrón válido de número de pasaporte de Corea.
Tabla 37-400 Patrones de amplitud baja del número de pasaporte de Corea
Patrones
\l{2}\d{7}
\l\d{8}
\d{9}
Tabla 37-401 Validadores de amplitud baja del número del pasaporte de Corea
Entradas:
한국어 여권, 여권, 여권 번호, 조선 민주주의 인민 공화국,

대한민국, passport, Passport, KOREA PASSPORT,
Korea Passport, korea passport, Book, passport book,
South Korea, Republic of Korea
Número de registro de residente de Corea para

extranjeros
Un número de registro de residente extranjero es un número de 13 dígitos emitido
para todos los residentes extranjeros de la República de Corea. Se usa para
identificar a las personas en las diversas transacciones privadas, como en las
operaciones bancarias y el empleo, y para la identificación en línea.
El identificador de datos del número de registro de residencia de Corea para
extranjeros proporciona tres amplitudes de detección:
■ La amplitud alta detecta un patrón válido de número de registro de residencia
de Corea para los extranjeros.
Ver "Amplitud alta del número de registro de residente de Corea para
■ La amplitud media detecta un patrón válido de número de registro de residencia

de Corea para los extranjeros. Además valida la suma de comprobación.
Ver "Amplitud media del número de registro de residente de Corea para
■ La amplitud baja detecta un patrón válido de número de registro de residencia
de Corea para los extranjeros. Además valida la suma de comprobación y
requiere la presencia de palabras claves relacionadas.
Ver "Amplitud baja del número de registro de residente de Corea para

extranjeros
La amplitud alta detecta un patrón válido de número de registro de residencia de
Corea para los extranjeros.
Tabla 37-402 Patrones de amplitud alta del número de registro de residencia de

Corea para los extranjeros
Patrones
\d{2}[01]\d[0123]\d-\d{7}
\d{2}[01]\d[0123]\d{8}
\d\d[01]\d[0123]\d-\d{7}
\d{2}[01]\d[0123]\d[ ]\d{7}
Tabla 37-403 Validadores de amplitud alta del número de registro de residencia

de Corea para los extranjeros
Amplitud media del número de registro de residente de Corea para

extranjeros
La amplitud media detecta un patrón válido de número de registro de residencia
de Corea para los extranjeros. Además valida la suma de comprobación.
Tabla 37-404 Patrones de amplitud media del número de registro de residencia

Patrones
\d{2}[01]\d[0123]\d-\d{7}
\d{2}[01]\d[0123]\d{8}
\d\d[01]\d[0123]\d-\d{7}
\d{2}[01]\d[0123]\d[ ]\d{7}
Tabla 37-405 Validadores de amplitud media del número de registro de residencia


circundantes.
Comprobación de validación del KRRN para extranjeros Valida que los terceros y cuartos dígitos representan un
mes válido y que los quintos y sextos dígitos representan
un día válido. Valida la suma de comprobación del patrón.

extranjeros
La amplitud baja detecta un patrón válido de número de registro de residencia de
Corea para los extranjeros. Además valida la suma de comprobación y requiere la
presencia de palabras claves relacionadas.
Tabla 37-406 Patrones de amplitud baja del número de registro de residencia de

Corea para los extranjeros
Patrones
\d{2}[01]\d[0123]\d-\d{7}
\d{2}[01]\d[0123]\d{8}
\d\d[01]\d[0123]\d-\d{7}
\d{2}[01]\d[0123]\d[ ]\d{7}
Número de registro de residencia de Corea para coreanos
Tabla 37-407 Validadores de amplitud baja del número de registro de residencia


circundantes.
Comprobación de validación del KRRN para extranjeros Valida que los terceros y cuartos dígitos representan un
Entradas:
외국인 등록 번호, 주민번호, Foreign Registration

Number, Foreign Resident Number
Número de registro de residencia de Corea para

coreanos
Un número de registro de residente es un número de 13 dígitos emitido para todos
los residentes de la República de Corea. Al igual que los números de identificación
de otros países, se utiliza para identificar a las personas cuando realizan diversas
transacciones privadas, como las bancarias y las laborales. También se utiliza
ampliamente para la identificación en línea.
El identificador de datos del número de registro de residencia de Corea para
coreanos proporciona tres amplitudes de detección:
■ La amplitud alta detecta un patrón válido de número de registro de residencia
de Corea para coreanos.
Ver "Amplitud alta del número de registro de residente de Corea para coreanos"
en la página 1138.
■ La amplitud media detecta un patrón válido de número de registro de residencia
de Corea para coreanos. Además valida la suma de comprobación.
Ver "Amplitud media del número de registro de residente de Corea para
■ La amplitud baja detecta un patrón válido de número de registro de residencia
de Corea para coreanos. Además valida la suma de comprobación y requiere
la presencia de palabras clave relacionadas.
Ver "Amplitud baja del número de registro de residente de Corea para coreanos"
en la página 1139.

coreanos
La amplitud alta detecta un patrón válido de número de registro de residencia de
Corea para coreanos.
Tabla 37-408 Patrones de amplitud alta del número de registro de residencia de

Corea para coreanos
Patrones
\d{2}[01]\d[0123]\d-\d{7}
\d{2}[01]\d[0123]\d{8}
\d\d[01]\d[0123]\d-\d{7}
\d{2}[01]\d[0123]\d[ ]\d{7}
Tabla 37-409 Validador de amplitud alta del número de registro de residencia de

Corea para coreanos
Amplitud media del número de registro de residente de Corea para

coreanos
La amplitud media detecta un patrón válido de número de registro de residencia
de Corea para coreanos. Además valida la suma de comprobación.
Tabla 37-410 Patrones de amplitud media del número de registro de residencia

de Corea para coreanos
Patrones
\d{2}[01]\d[0123]\d-\d{7}
\d{2}[01]\d[0123]\d{8}
\d\d[01]\d[0123]\d-\d{7}
\d{2}[01]\d[0123]\d[ ]\d{7}
Tabla 37-411 Validadores de amplitud media del número de registro de residencia


circundantes.
Validación avanzada de KRRN Valida que los terceros y cuartos dígitos representan un

coreanos
La amplitud baja detecta un patrón válido de número de registro de residencia de
Corea para coreanos. Además valida la suma de comprobación y requiere la
Tabla 37-412 Patrones de amplitud baja del número de registro de residencia de

Corea para coreanos
Patrón
\d{2}[01]\d[0123]\d-\d{7}
\d{2}[01]\d[0123]\d{8}
\d\d[01]\d[0123]\d-\d{7}
\d{2}[01]\d[0123]\d[ ]\d{7}
Tabla 37-413 Validadores de amplitud baja del número de registro de residencia


circundantes.
Validación avanzada de KRRN Valida que los terceros y cuartos dígitos representan un
Número del Registro Nacional de Personas de Luxemburgo
Entradas:
주민등록번호, 주민번호, Resident Registration Number,

Resident Number
Número del Registro Nacional de Personas de

Luxemburgo
El número del Registro Nacional de Personas de Luxemburgo es un número de
identificación de 11 dígitos emitido a todos los ciudadanos de Luxemburgo a la
edad de 15 años.
El identificador de datos del sistema de números del Registro Nacional de Personas
de Luxemburgo proporciona tres amplitudes de detección:
comprobación.
Ver " Amplitud alta del número del Registro Nacional de Personas de
Luxemburgo" en la página 1140.
de comprobación.
Ver " Amplitud media del número del Registro Nacional de Personas de
relacionadas con el número del Registro Nacional de Personas de Luxemburgo.
Ver " Amplitud baja del número del Registro Nacional de Personas de
Amplitud alta del número del Registro Nacional de Personas de

Luxemburgo
comprobación.
Número del Registro Nacional de Personas de Luxemburgo
Tabla 37-414 Patrón de amplitud alta del número del Registro Nacional de
Personas de Luxemburgo
Patrón
\d{11}
Tabla 37-415 Validador de amplitud alta del número del Registro Nacional de
Amplitud media del número del Registro Nacional de Personas de

Luxemburgo
de comprobación.
Tabla 37-416 Patrones de amplitud media del número del Registro Nacional de
Patrón
\d{11}
Tabla 37-417 Validador de amplitud media del número del Registro Nacional de
Comprobación de validación del número del Registro El validador computa el número de la suma de
Nacional de Personas de Luxemburgo comprobación que cada número del Luxembourg registre
national des personnes physiques debe aprobar.

circundantes.
Amplitud baja del número del Registro Nacional de Personas de

Luxemburgo
relacionadas con el número del Registro Nacional de Personas de Luxemburgo.
Número MyKad de Malasia (MyKad)
Tabla 37-418 Patrones de amplitud baja del número del Registro Nacional de
Patrón
\d{11}
Tabla 37-419 Validador de amplitud baja del número del Registro Nacional de

circundantes.
Comprobación de validación del número del Registro El validador computa el número de la suma de
Nacional de Personas de Luxemburgo comprobación que cada número del Luxembourg registre
national des personnes physiques debe aprobar.
Entradas:
Id. personal, número de Id. personal, n.ºdeid.personal,

número de Id. único, númerodeid.personal, clave de
Id. única, Código de Id. Personal, clavedeid.única,
código individual, Id. individual, Eindeutige
ID-Nummer, Eindeutige ID, ID personnelle, Numéro
d'identification personnel, IDpersonnelle#, Persönliche
Identifikationsnummer, EindeutigeID#

El número de la tarjeta de identidad del registro nacional de Malasia (NRIC) es un
número único de 12 dígitos emitida a los ciudadanos y los residentes permanentes
de Malasia para fines de identificación, indización y seguimiento.
El identificador de datos del sistema de números MyKad de Malasia (MyKad)
El identificador de datos del sistema de números MyKad de Malasia (MyKad)
comprobación.
Ver " Amplitud alta del número MyKad de Malasia (MyKad)" en la página 1143.
de comprobación.
Ver " Amplitud media del número MyKad de Malasia (MyKad)" en la página 1143.
relacionadas con MyKad.
Ver " Amplitud baja del número MyKad de Malasia (MyKad)" en la página 1144.
Amplitud alta del número MyKad de Malasia (MyKad)

comprobación.
Tabla 37-420 Patrones de amplitud alta del número MyKad de Malasia (MyKad)
Patrón
\d{12}
\d{6}-\d{2}-\d{4}
Tabla 37-421 Validador de amplitud alta del número MyKad de Malasia (MyKad)
Amplitud media del número MyKad de Malasia (MyKad)

comprobación.
Tabla 37-422 Patrones de amplitud media del número MyKad de Malasia (MyKad)
Patrón
\d{12}
\d{6}-\d{2}-\d{4}
Tabla 37-423 Validadores de amplitud media del número MyKad de Malasia

(MyKad)
Comprobación de validación del número MyKad de El validador computa el número de la suma de

Malasia (MyKad) comprobación que cada número MyKad de Malasia
(MyKad) debe aprobar.

circundantes.
Amplitud baja del número MyKad de Malasia (MyKad)

relacionadas con MyKad.
Tabla 37-424 Patrones de amplitud baja del número MyKad de Malasia (MyKad)
Patrón
\d{12}
\d{6}-\d{2}-\d{4}
Tabla 37-425 Validadores de amplitud baja del número MyKad de Malasia (MyKad)

circundantes.
Comprobación de validación del número MyKad de El validador computa el número de la suma de

Malasia (MyKad) comprobación que cada número MyKad de Malasia
(MyKad) debe aprobar.
Número de identificación y registro personal de México
Entradas:
Núm. NRIC, n.ºnric, Número MyKad, núm. mykad,

númeromykad, núm. tarjeta identidad, n.ºMyKad,
mykad, n.ºmykad, número tarjeta identidad, núm. nric,
nombor kad pengenalan, kad pengenalan no, kad
pengenalan Malaysia, bilangan identiti unik, nombor
peribadi, nomborperibadi#, kadpengenalanno#
Número de identificación y registro personal de

México
El número de identificación y registro personal de México es un número usado en
los estados mexicanos (a excepción de Ciudad de México) como código de
identificación personal, además de CURP.
El identificador de datos del número de identificación y registro personal de México
■ La amplitud alta detecta un patrón válido de número de identificación y registro
personal de México.
Ver "Amplitud alta de número de identificación y registro personal de México"
en la página 1146.
■ La amplitud media detecta un número válido de identificación y registro personal
de México. Además valida la suma de comprobación.
Ver "Amplitud media de número de identificación y registro personal de México"
en la página 1146.
■ La amplitud baja detecta un número válido de identificación y registro personal
de México. Además valida la suma de comprobación y requiere la presencia
de palabras claves relacionadas.
Ver "Amplitud baja de número de identificación y registro personal de México"
en la página 1147.
Amplitud alta de número de identificación y registro personal de

México
La amplitud alta detecta un patrón válido de número de identificación y registro
personal de México.
Tabla 37-426 Patrón de amplitud alta de número de identificación y registro

personal de México
Patrón
\d{2}-\d{3}-\d{2}-\d{7}-\w
Tabla 37-427 Validador de amplitud alta de número de identificación y registro

personal de México
00000000000000, 11111111111111,
22222222222222, 33333333333333,
44444444444444, 55555555555555,
66666666666666, 77777777777777,
88888888888888, 99999999999999
Amplitud media de número de identificación y registro personal de

México
La amplitud media detecta un número válido de identificación y registro personal
de México. Además valida la suma de comprobación.
Tabla 37-428 Patrón de amplitud media de número de identificación y registro

personal de México
Patrón
\d{2}-\d{3}-\d{2}-\d{7}-\w
Tabla 37-429 Validador de amplitud media de número de identificación y registro

personal de México
00000000000000, 11111111111111,
22222222222222, 33333333333333,
44444444444444, 55555555555555,
66666666666666, 77777777777777,
88888888888888, 99999999999999
Comprobación de validación del CRIP de México Computa la suma de comprobación de cada número
coincidente y valida el patrón en función del resultado.
Amplitud baja de número de identificación y registro personal de

México
La amplitud baja detecta un número válido de identificación y registro personal de
México. Además valida la suma de comprobación y requiere la presencia de
palabras claves relacionadas.
Tabla 37-430 Patrón de amplitud baja de número de identificación y registro

personal de México
Patrón
\d{2}-\d{3}-\d{2}-\d{7}-\w
Tabla 37-431 Validador de amplitud baja de número de identificación y registro

personal de México
00000000000000, 11111111111111, 22222222222222,

33333333333333, 44444444444444, 55555555555555,
66666666666666, 77777777777777, 88888888888888,
99999999999999
Comprobación de validación del CRIP de México Computa la suma de comprobación de cada número
coincidente y valida el patrón en función del resultado.
Número de identificación del contribuyente de México
Entradas:
Personal Registration and Identification Code, CRIP,

crip, CRIP#, crip#, Mexican Personal ID Code, Mexican
personal identification number, Clave de Registro de
Identidad Personal, Código de Identificación Personal
mexicana, número de identificación personal mexicana

En México, asignan a una persona jurídica, como una empresa o una persona, un
número de identificación del contribuyente. Un número RFC para una empresa es
de 12 caracteres, mientras que un número RFC para una persona es de 13
caracteres.
El identificador de datos de número de identificación del contribuyente de México
■ La amplitud alta detecta un patrón válido de número de identificación del
contribuyente de México.
Ver "Amplitud alta del número de identificación del contribuyente de México"
en la página 1148.
■ La amplitud media detecta un patrón válido de número de identificación del
contribuyente de México. Además valida la suma de comprobación.
Ver "Amplitud media del número de identificación del contribuyente de México"
en la página 1149.
■ La amplitud baja detecta un patrón válido de número de identificación del
contribuyente de México. Además valida la suma de comprobación y requiere
la presencia de palabras claves relacionadas.
Ver "Amplitud baja del número de identificación del contribuyente de México"
en la página 1149.

México
La amplitud alta detecta un patrón válido de número de identificación del
contribuyente de México.

contribuyente de México
Patrones
\l{4}\d{2}[01]\d[0-3]\d\w{3}
\l{4}[- ]\d{2}[01]\d[0-3]\d\w{3}
\l{3}\d{2}[01]\d[0-3]\d\w{3}
\l{3}[- ]\d{2}[01]\d[0-3]\d\w{3}

México
La amplitud media detecta un patrón válido de número de identificación del
contribuyente de México. Además valida la suma de comprobación.
Tabla 37-433 Patrones de amplitud media del número de identificación del

Patrones
\l{4}\d{2}[01]\d[0-3]\d\w{3}
\l{4}[- ]\d{2}[01]\d[0-3]\d\w{3}
\l{3}\d{2}[01]\d[0-3]\d\w{3}
\l{3}[- ]\d{2}[01]\d[0-3]\d\w{3}
Tabla 37-434 Validador de amplitud media del número de identificación del

Comprobación de validación del Id. del contribuyente de Computa la suma de comprobación de cada número
México coincidente y valida el patrón en función del resultado.

México
La amplitud baja detecta un patrón válido de número de identificación del
contribuyente de México. Además valida la suma de comprobación y requiere la
Clave Única de Registro de Población de México

Patrones
\l{4}\d{2}[01]\d[0-3]\d\w{3}
\l{4}[- ]\d{2}[01]\d[0-3]\d\w{3}
\l{3}\d{2}[01]\d[0-3]\d\w{3}
\l{3}[- ]\d{2}[01]\d[0-3]\d\w{3}

Comprobación de validación del Id. del contribuyente de Computa la suma de comprobación de cada número
México coincidente y valida el patrón en función del resultado.
Entradas:
Tax Identification Number, Tax ID, Tax ID No., RFC

Number, TIN, TIN#, Federal Taxpayer Registry Code,
Registro Federal de Contribuyentes, número de
identificación de impuestos, Código del Registro
Federal de Contribuyentes, Número RFC, Clave del
RFC

La Clave Única de Registro de Población de México (CURP) de México es el
identificador alfanumérico único asignado a cada persona que vive en México, ya
sea nativa o extranjera, así como a las personas nativas mexicanas que viven en
otros países.
El identificador de datos del sistema de códigos únicos del Registro de Población
de México proporciona tres amplitudes de detección:
■ La amplitud alta detecta un número de 18 dígitos sin validación.
Ver "Amplitud alta de la Clave Única de Registro de Población de México"
en la página 1151.

de comprobación.
Ver "Amplitud media de la Clave Única de Registro de Población de México"
en la página 1151.
■ La amplitud baja detecta un identificador alfanumérico de 18 caracteres que
aprueba la validación de la suma de comprobación. Además requiere la
presencia de palabras clave relacionadas con CURP.
Ver " Amplitud baja de la Clave Única de Registro de Población de México"
en la página 1152.
Amplitud alta de la Clave Única de Registro de Población de México

La amplitud alta detecta un identificador alfanumérico de 18 caracteres sin
validación.
Tabla 37-437 Patrón de amplitud alta de la Clave Única de Registro de Población

de México
Patrón
\w[AEIOUaeiou]\w{2}\d{2}[0-1]\d[0-3]\d[HMhm]\w{7}
Amplitud media de la Clave Única de Registro de Población de

México
La amplitud media detecta un identificador alfanumérico de 18 caracteres con la
Tabla 37-438 Patrón de amplitud media de la Clave Única de Registro de Población

de México
Patrón
Tabla 37-439 Validador de amplitud media de la Clave Única de Registro de

Comprobación de validación del número de código de la El validador computa el número de la suma de

identificación personal de México comprobación que cada número de código de
identificación personal de México debe aprobar.
Número de CLABE de México
Amplitud baja de la Clave Única de Registro de Población de México

La amplitud baja detecta un identificador alfanumérico de 18 caracteres que aprueba
palabras clave relacionadas con CURP.
Tabla 37-440 Patrón de amplitud baja de la Clave Única de Registro de Población

de México
Patrón
Tabla 37-441 Validadores de amplitud baja de la Clave Única de Registro de

Comprobación de validación del número de código de la El validador computa el número de la suma de

identificación personal de México comprobación que cada número de código de
identificación personal de México debe aprobar.
Entradas:
Id. Personal, número de Id. personal, Id. personal,

número de Id. único, clave de Id. única, código de Id.
personal, código único de registro de población,
código único de población, n.ºid.personal,
númeroid.personal, n.ºclaveúnica, CURP, n.ºcurp, clave
Única de registro de Población, clave única, clave
única de identidad, clave personal Identidad, personal
Identidad Clave, ClaveÚnica#, clavepersonalIdentidad#

El número de CLABE (Clave Bancaria Estandarizada) de México es un número de
18 dígitos utilizado como estándar de operaciones bancarias en la numeración de
cuentas bancarias en México.
El identificador de datos del Número de CLABE de México ofrece tres amplitudes
de detección:
comprobación.
Ver " Amplitud alta del número de CLABE de México" en la página 1153.
de comprobación.
Ver "Amplitud media del número de CLABE de México" en la página 1153.
con CLABE.
Ver "Amplitud baja del número de CLABE de México" en la página 1154.
Amplitud alta del número de CLABE de México

comprobación.
Tabla 37-442 Patrones de amplitud alta del número de CLABE de México
Patrón
\d{18}
Tabla 37-443 Validador de amplitud alta del número de CLABE de México
Amplitud media del número de CLABE de México

de comprobación.
Tabla 37-444 Patrones de amplitud media del número de CLABE de México
Patrón
\d{18}
Tabla 37-445 Validadores de amplitud media del número de CLABE de México
Comprobación de validación del número de CLABE de Computa la suma de comprobación y valida el patrón en
México función del resultado.

circundantes.
555555555555555555.
Amplitud baja del número de CLABE de México

CLABE.
Tabla 37-446 Patrones de amplitud baja del número de CLABE de México
Patrón
\d{18}
Tabla 37-447 Validadores de amplitud baja del número de CLABE de México
Comprobación de validación del número de CLABE de Computa la suma de comprobación y valida el patrón en
México función del resultado.

circundantes.
Entradas:
Número de CLABE de México, número de clabe de

méxico, número de clabe, núm. de clabe, N.º de CLABE
de México, núm. de clabe de méxico, N.º de CLABE,
n.º de clabe, Clave Bancaria Estandarizada,
Estandarizado Banco número de clave, número de
clave, clave número, clave#
Código Nacional de Fármacos (NDC)

El Código Nacional de Fármacos (NDC) es un código emitido por la Administración
de Alimentos y Fármacos (FDA) para un fármaco particular en los Estados Unidos.
Las regulaciones de la HIPAA (del inglés Health Insurance Portability and
Accountability Act: Ley de Transferibilidad y Responsabilidad del Seguro de Salud)
definen un formato alternativo.
El identificador de datos del Código Nacional de Fármacos detecta la existencia
de un NDC y la versión de HIPAA.
Este identificador de datos proporciona tres amplitudes de detección:
■ La amplitud alta comprueba la existencia de un número de NDC o de su versión
de HIPAA.
Ver "Amplitud alta del Código Nacional de Fármacos (NDC)" en la página 1155.
■ La amplitud media restringe los patrones para detectar los números.
Ver "Amplitud media del Código Nacional de Fármacos (NDC)" en la página 1156.
■ La amplitud baja necesita una coincidencia de palabra clave.
Ver "Amplitud baja del Código Nacional de Fármacos (NDC)" en la página 1156.
Amplitud alta del Código Nacional de Fármacos (NDC)

La amplitud alta detecta el formato estándar de la FDA, es decir, un número de 10
dígitos con el siguiente formato 4-4-2, 5-4-1 o 5-3-2 separado por guiones largos
o espacios.
También detecta el formato de la HIPAA, un número de 11 dígitos con el siguiente
formato 5-4-2. El formato de la HIPAA puede incluir un solo asterisco, que
representa la falta de un dígito.
Tabla 37-448 Patrones de amplitud alta del Código Nacional de Fármacos (NDC)
Patrones
*?\d{4} \d{4} \d{2}
*?\d{4}-\d{4}-\d{2}
\d{5} *?\d{3} \d{2}
\d{5}-*?\d{3}-\d{2}
\d{5} \d{4} *?\d
\d{5}-\d{4}-*?\d
Patrones
\d{5} \d{4} \d{2}
\d{5}-\d{4}-\d{2}
Amplitud media del Código Nacional de Fármacos (NDC)

La amplitud media detecta el formato estándar de la FDA, es decir, un número de
10 dígitos con el siguiente formato 4-4-2, 5-4-1 o 5-3-2 separado por guiones largos.
representa la falta de un dígito.
Nota: La amplitud media de este identificador de datos no incluye ningún validador.
Tabla 37-449 Patrones de amplitud media del Código Nacional de Fármacos (NDC)
Patrón
*?\d{4}-\d{4}-\d{2}
\d{5}-*?\d{3}-\d{2}
\d{5}-\d{4}-*?\d
\d{5}-\d{4}-\d{2}
Amplitud baja del Código Nacional de Fármacos (NDC)

La amplitud baja detecta el formato estándar de la FDA, es decir, un número de
10 dígitos con el siguiente formato 4-4-2, 5-4-1 o 5-3-2 separado por guiones largos.
representa la falta de un dígito. Este identificador de datos también requiere una
palabra clave relacionada con NDC.
Tabla 37-450 Patrones de amplitud baja del Código Nacional de Fármacos (NDC)
Patrón
*?\d{4}-\d{4}-\d{2}
\d{5}-*?\d{3}-\d{2}
Identificador de Proveedor Nacional
Patrón
\d{5}-\d{4}-*?\d
\d{5}-\d{4}-\d{2}
Tabla 37-451 Validadores de amplitud baja del Código Nacional de Fármacos

(NDC)
Encontrar entrada de palabras ndc, código nacional de fármacos

clave

Identificador de Proveedor Nacional (NPI) es un número de identificación de 10
dígitos emitido a los proveedores de cuidado de la salud en los Estados Unidos
por los Centros de Servicios de Medicare y Medicaid.
El identificador de datos del número del identificador de proveedor nacional
comprobación.
Ver "Amplitud alta del número del identificador de proveedor nacional"
en la página 1157.
de comprobación.
Ver "Amplitud media del número del identificador de proveedor nacional"
en la página 1158.
con NPI.
Ver "Amplitud baja del número del identificador de proveedor nacional"
en la página 1158.
Amplitud alta del número del identificador de proveedor nacional

comprobación.
Tabla 37-452 Patrones de amplitud alta del número del identificador de proveedor
nacional
Patrón
\d{10}
80840\d{10}
Tabla 37-453 Validador de amplitud alta del número del identificador de proveedor
nacional
Amplitud media del número del identificador de proveedor nacional

comprobación.
Tabla 37-454 Patrones de amplitud media del número del identificador de

proveedor nacional
Patrón
\d{10}
80840\d{10}
Tabla 37-455 Validadores de amplitud media del número del identificador de

proveedor nacional
del proveedor nacional función del resultado.

circundantes.
Amplitud baja del número del identificador de proveedor nacional

NPI.
Número de licencia de conducir de los Países Bajos
Tabla 37-456 Patrones de amplitud baja del número del identificador de proveedor
nacional
Patrón
\d{10}
80840\d{10}
Tabla 37-457 Validadores de amplitud baja del número del identificador de

proveedor nacional
del proveedor nacional función del resultado.

circundantes.
Entradas:
Identificador de proveedor nacional, NPI, npi, n.p.i,

hipaa, Id. de proveedor nacional, npiid, número de Id.
de proveedor nacional, Id. de NPI

agencia del Servicio Nacional de Carreteras de los Países Bajos.
El identificador de datos del número de licencia de conducir de los Países Bajos
comprobación.
Ver "Amplitud alta del número de licencia de conducir de los Países Bajos"
en la página 1160.
Ver "Amplitud baja del número de licencia de conducir de los Países Bajos"
en la página 1160.
Amplitud alta del número de licencia de conducir de los Países Bajos

comprobación.
Tabla 37-458 Patrón de amplitud alta del número de licencia de conducir de los
Países Bajos
Patrón
\d{10}

los Países Bajos

circundantes.
Amplitud baja del número de licencia de conducir de los Países

Bajos
Tabla 37-460 Patrón de amplitud baja del número de licencia de conducir de los
Países Bajos
Patrón
\d{10}

de los Países Bajos

circundantes.
Número de pasaporte de los Países Bajos
Entradas:
RIJMEWIJS, Licencia de conducir, Número de licencia

de conducir, número de licencia de conducir, Licencia
de conducir, Lic. de conducir, Licencia de conducir,
Licencia de conducir, Licencia de conducir, Número
conducir, Número de licencia de conducir, Número de
licencia de conducir, número de licencia de conducir,
N.° de LC#, N.° LC#, permis de conduire, rijbewijs,
Rijbewijsnummer, DL#, RIJBEWIJSNUMMER
Número de pasaporte de los Países Bajos

Los pasaportes de los Países Bajos se emiten para los ciudadanos de los Países
Bajos para el transporte internacional.
El identificador de datos del número de pasaporte de los Países Bajos ofrece dos
de comprobación.
Ver "Amplitud alta del número de pasaporte de los Países Bajos"
en la página 1161.
Ver "Amplitud baja del número de pasaporte de los Países Bajos"
en la página 1162.
Amplitud alta del número de pasaporte de los Países Bajos

comprobación.
Tabla 37-462 Patrón de amplitud alta del número de pasaporte de los Países Bajos
Patrón
\w{9}
Número de identificación fiscal de los Países Bajos
Tabla 37-463 Validador de amplitud alta del número de pasaporte de los Países
Bajos

circundantes.
Amplitud baja del número de pasaporte de los Países Bajos

Tabla 37-464 Patrón de amplitud baja del número de pasaporte de los Países
Bajos
Patrón
\w{9}
Tabla 37-465 Validadores de amplitud baja del número de pasaporte de los Países
Bajos

circundantes.
Entradas:
Número de Pasaporte Neerlandés número de

pasaporte neerlandés, número de pasaporte, Número
de pasaporte de los Países Bajos, Nederlanden
paspoort nummer, Paspoort, paspoort, Nederlanden
paspoortnummer, paspoortnummer

Los Países Bajos emiten un número de identificación fiscal cuando nace una
persona o cuando se registra en el municipio.
El identificador de datos del número de identificación fiscal de los Países Bajos

comprobación.
Ver "Amplitud alta del número de identificación fiscal de los Países Bajos"
en la página 1163.
de comprobación.
Ver "Amplitud media del número de identificación fiscal de los Países Bajos"
en la página 1164.
■ La amplitud baja detecta un número de 9 dígitos con validación de la suma de
Ver "Amplitud baja del número de identificación fiscal de los Países Bajos"
en la página 1164.
Amplitud alta del número de identificación fiscal de los Países Bajos

comprobación.
Tabla 37-466 Patrones de amplitud alta del número de identificación fiscal de los
Países Bajos
Patrón
\d{9}
\d{3}-\d{3}-\d{3}
\d{3}.\d{3}.\d{3}
\d{3} \d{3} \d{3}
\d{3} \d{3} \d{3}
Tabla 37-467 Validadores de amplitud alta del número de identificación fiscal de

los Países Bajos

circundantes.
Amplitud media del número de identificación fiscal de los Países

Bajos
comprobación.
Tabla 37-468 Patrones de amplitud media del número de identificación fiscal de

los Países Bajos
Patrón
\d{9}
\d{3}-\d{3}-\d{3}
\d{3}.\d{3}.\d{3}
\d{3} \d{3} \d{3}
\d{3} \d{3} \d{3}
Tabla 37-469 Validador de amplitud media del número de identificación fiscal de

los Países Bajos
fiscal de los Países Bajos función del resultado.
Amplitud baja del número de identificación fiscal de los Países Bajos

La amplitud baja detecta un número de 9 dígitos con validación de la suma de

los Países Bajos
Patrón
\d{9}
\d{3}-\d{3}-\d{3}
\d{3}.\d{3}.\d{3}
\d{3} \d{3} \d{3}
\d{3} \d{3} \d{3}



circundantes.
fiscal de los Países Bajos función del resultado.
Entradas:
número de identificación fiscal de los Países Bajos,

identificación fiscal neerlandesa, número de
identificación fiscal de los Países Bajos, identificación
fiscal de los Países Bajos, número de identificación
fiscal, identificación fiscal neerlandesa, número de
identificación fiscal de los Países Bajos, identificación
fiscal, n.° de identificación fiscal, número fiscal, n.°
fiscal, N.° fiscal, TIN, N.° TIN, n.° tin, tin, tin neerlandés,
tin de los Países Bajos, Nederlands belasting
identificatienummer, identificatienummer van
belasting, identificatienummer belasting, Nederlands
belasting identificatie, Nederlands belasting id
nummer, Nederlands belastingnummer, btw nummer,
Nederlandse belasting identificatie, Nederlands
belastingnummer, netherlands tax identification tal,
netherland's tax identification tal, tax identification tal,
tax tal, Nederlânske tax identification tal, Hollânske
tax identification, Nederlânsk tax tal, Hollânske tax id
tal, netherlands impuesto identification number,
netherland's impuesto identification number, impuesto
identification number, impuesto number, hulandes
impuesto identification number, hulandes impuesto
identification, hulandes impuesto number, hulandes
impuesto id number
Número de impuesto sobre el valor añadido (IVA) de los Países Bajos

los Países Bajos
se paga en cada transacción del proceso de fabricación y distribución. En los Países
Bajos, el impuesto sobre el valor añadido es emitido por la oficina de IVA
correspondiente a la región en la que está establecida la empresa.
los Países Bajos proporciona tres amplitudes de detección:
■ La amplitud alta detecta un patrón alfanumérico de 14 caracteres que empieza
con NL, sin validación de la suma de comprobación.
Ver "Amplitud alta del número de impuesto sobre el valor añadido (IVA) de los
■ La amplitud media detecta un patrón alfanumérico de 14 caracteres que empieza
con NL, con validación de la suma de comprobación.
los Países Bajos" en la página 1167.
■ La amplitud baja detecta un patrón alfanumérico de 14 caracteres que empieza
con NL, con validación de la suma de comprobación. Además requiere la
Ver "Amplitud baja del número de impuesto sobre el valor añadido (IVA) de los

La amplitud alta detecta un patrón alfanumérico de 14 caracteres que empieza con
NL, sin validación de la suma de comprobación
añadido (IVA) de los Países Bajos
Patrón
[Nn][Ll]\d{9}[Bb]\d{2}
[Nn][Ll]-\d{9}-[Bb]\d{2}
[Nn][Ll] \d{9} [Bb]\d{2}
[Nn][Ll].\d{9}.[Bb]\d{2}
Número de impuesto sobre el valor añadido (IVA) de los Países Bajos

circundantes.

La amplitud media detecta un patrón alfanumérico de 14 caracteres que empieza
con NL, con validación de la suma de comprobación.
Patrón
[Nn][Ll]\d{9}[Bb]\d{2}
[Nn][Ll]-\d{9}-[Bb]\d{2}
[Nn][Ll] \d{9} [Bb]\d{2}
[Nn][Ll].\d{9}.[Bb]\d{2}
Tabla 37-475 Validador de amplitud media del número de impuesto sobre el valor
Comprobación de validación del número de IVA de los Validador de la suma de comprobación para el número
Países Bajos de impuesto sobre el valor añadido (IVA) de los Países
Bajos.

La amplitud baja detecta un patrón alfanumérico de 14 caracteres que empieza
con NL, con validación de la suma de comprobación. Además requiere la presencia
Número de Índice de Salud Nacional (NHI) de Nueva Zelanda
Patrón
[Nn][Ll]\d{9}[Bb]\d{2}
[Nn][Ll]-\d{9}-[Bb]\d{2}
[Nn][Ll] \d{9} [Bb]\d{2}
[Nn][Ll].\d{9}.[Bb]\d{2}

circundantes.
Comprobación de validación del número de IVA de los Validador de la suma de comprobación para el número
Países Bajos de impuesto sobre el valor añadido (IVA) de los Países
Bajos.
Entradas:
Número de IVA, n.° iva, número de iva, VAT#, vat#,

BTW, wearde tafoege tax getal, BTW nûmer,
BTW-nummer
Número de Índice de Salud Nacional (NHI) de Nueva

Zelanda
El número de Índice de Salud Nacional (NHI) es un identificador alfanumérico de
7 dígitos asignado a todas las personas que usan los servicios de salud y ayuda
por discapacidad en Nueva Zelanda.
El identificador de datos del número de Índice de Salud Nacional de Nueva Zelanda
■ La amplitud alta detecta un identificador alfanumérico de 7 dígitos sin validación.
Ver "Amplitud alta del número de Índice de Salud Nacional de Nueva Zelanda"
en la página 1169.
Número de Índice de Salud Nacional (NHI) de Nueva Zelanda
■ La amplitud media detecta un identificador alfanumérico de 7 dígitos con la

Ver "Amplitud media del número de Índice de Salud Nacional de Nueva Zelanda"
en la página 1169.
■ La amplitud baja detecta un identificador alfanumérico de 7 dígitos con la
palabras clave relacionadas con el número de NHI.
Ver "New Zealand National Health Index Number narrow breadth"
en la página 1170.
Amplitud alta del número de Índice de Salud Nacional de Nueva

Zelanda
La amplitud alta detecta un identificador alfanumérico de 7 dígitos sin validación.
Tabla 37-478 Patrón de amplitud alta del número de Índice de Salud Nacional de
Nueva Zelanda
Patrón
\l{3}\d{4}
La amplitud alta no incluye ningún validador.
Amplitud media del número de Índice de Salud Nacional de Nueva

Zelanda
La amplitud media detecta un identificador alfanumérico de 7 dígitos con la
Tabla 37-479 Patrón de amplitud media del número de Índice de Salud Nacional
de Nueva Zelanda
Patrón
\l{3}\d{4}
Tabla 37-480 Validadores de amplitud media del número de Índice de Salud

Nacional de Nueva Zelanda
Comprobación de validación del número de Índice de Computa la suma de comprobación y valida el patrón en
Salud Nacional de Nueva Zelanda función del resultado.
Número de nacimiento noruego

circundantes.
New Zealand National Health Index Number narrow breadth

The narrow breadth detects a 7-digit alphanumeric identifier with checksum
validation. It also requires the presence of NHI number-related keywords.
Tabla 37-481 New Zealand National Health Index Number narrow-breadth patterns
Pattern
\l{3}\d{4}
Tabla 37-482 New Zealand National Health Index Number narrow-breadth

validators
Mandatory validator Description
New Zealand National Health Index Number Validation Computes the checksum and validates the pattern against
Check it.
Duplicate digits Ensures that a string of digits is not all the same.
Number delimiter Validates a match by checking the surrounding numbers.
Find keywords With this option selected, at least one of the following
keywords or key phrases must be present for the data to
be matched.
Inputs:
New Zealand National Health Index Number Validation

Check Find keywords: National Health Index Number,
nhi number, NHI Number, nhi no., NHI number, National
Health Index No., National Health Index Id

El número de nacimiento noruego es asignado en el nacimiento o al ingresar en
el registro de población nacional. El número de nacimiento se escribe en los
documentos de identidad, lo que permite hacer coincidir una cuenta bancaria o un
documento de autoridad con una persona.
El identificador de datos del sistema de números de nacimiento de Noruega

comprobación.
Ver " Amplitud alta del número de nacimiento noruego" en la página 1171.
de comprobación.
Ver " Amplitud media del número de nacimiento noruego" en la página 1171.
relacionadas con el número de nacimiento de Noruega.
Ver " Amplitud baja del número de nacimiento noruego" en la página 1172.
Amplitud alta del número de nacimiento noruego

comprobación.
Tabla 37-483 Patrones de amplitud alta del número de nacimiento noruego
Patrón
[01234567]\d[012345]\d[56789]\d[567]\d{4}
[01234567]\d[012345]\d\d\d[01234]\d{4}
[01234567]\d[012345]\d[456789]\d[9]\d{4}
[01234567]\d[012345]\d[0123]\d[56789]\d{4}
Tabla 37-484 Validador de amplitud alta del número de nacimiento noruego
Amplitud media del número de nacimiento noruego

de comprobación.
Tabla 37-485 Patrones de amplitud media del número de nacimiento noruego
Patrón
[01234567]\d[012345]\d[56789]\d[567]\d{4}
[01234567]\d[012345]\d\d\d[01234]\d{4}
[01234567]\d[012345]\d[456789]\d[9]\d{4}
[01234567]\d[012345]\d[0123]\d[56789]\d{4}
Tabla 37-486 Validador de amplitud media del número de nacimiento noruego

circundantes. La comprobación de validación del número
de nacimiento noruego computa la suma de comprobación
y valida el patrón en función de la amplitud baja del
número de nacimiento noruego.
Comprobación de validación del número de nacimiento Computa la suma de comprobación y valida el patrón en
noruego función del resultado.
Amplitud baja del número de nacimiento noruego

relacionadas con el número de nacimiento de Noruega.
Tabla 37-487 Patrones de amplitud baja del número de nacimiento noruego
Patrón
[01234567]\d[012345]\d[56789]\d[567]\d{4}
[01234567]\d[012345]\d\d\d[01234]\d{4}
[01234567]\d[012345]\d[456789]\d[9]\d{4}
[01234567]\d[012345]\d[0123]\d[56789]\d{4}
Tabla 37-488 Validadores de amplitud baja del número de nacimiento noruego
Id. de la República Popular China

circundantes.
Comprobación de validación del número de nacimiento Computa la suma de comprobación y valida el patrón en
noruego función del resultado.
Comprobación de validación del número de nacimiento Con esta opción seleccionada, al menos una de las
noruego siguientes palabras clave o frases clave debe estar incluida
Entradas:
Número de nacimiento noruego, número de

nacimiento, núm. nacimiento, n.ºnacimiento, n.ºnacim,
fødselsnummer#, fødsel nummer, Fødsel nr, fødsel
nei, fødselnei#

La identificación de la República Popular China se usa para registrar el lugar de
residencia, alistarse en el ejército, registrar matrimonios/divorcios, viajar al exterior,
rendir varios exámenes nacionales y participar en otras cuestiones sociales y civiles
de China.
El identificador de datos de Id. de la República Popular China ofrece dos amplitudes
de detección:
de comprobación.
Ver "Amplitud alta de la identificación de la República Popular China"
en la página 1173.
con Identificación de la República Popular China.
Ver "Amplitud baja de la identificación de la República Popular China"
en la página 1174.
Amplitud alta de la identificación de la República Popular China

comprobación.
Tabla 37-489 Patrón de amplitud alta de la identificación de la República Popular

China
Patrón
\d{17}[Xx]
\d{18}
Tabla 37-490 Validador de amplitud alta de la identificación de la República

Popular China
Validador de suma de comprobación de identidad de China Computa la suma de comprobación y valida el patrón en
Amplitud baja de la identificación de la República Popular China

Identificación de la República Popular China.
Tabla 37-491
Patrón
\d{17}[Xx]
\d{18}
Tabla 37-492
Validador de suma de comprobación de Computa la suma de comprobación y valida

identidad de China el patrón en función del resultado.
Encontrar palabras clave Al menos una de las siguientes palabras

clave o frases clave debe estar incluida en
los datos para generar coincidencias cuando
se usa esta opción.
Entradas:
身份证,居民信息,居民身份信息, Tarjeta de
Identidad, Información de residente,
Información de identificación de residente
Número de identificación de Polonia

Cada ciudadano polaco de 18 años de edad o más con residencia permanente en
Polonia debe tener tarjeta de identidad, con un número personal único. El número
se usa como identificación para casi todos los propósitos.
El identificador de datos del sistema de números de identificación de Polonia
■ La amplitud alta detecta un identificador alfanumérico de 9 dígitos sin la
Ver "Amplitud alta del número de identificación de Polonia" en la página 1175.
Ver "Amplitud media del número de identificación de Polonia" en la página 1175.
■ La amplitud baja detecta un identificador alfanumérico de 9 dígitos que aprueba
palabras clave relacionadas con el número de identificación de Polonia.
Ver "Amplitud baja del número de identificación de Polonia" en la página 1176.
Amplitud alta del número de identificación de Polonia

La amplitud alta detecta un identificador alfanumérico de 9 dígitos sin la validación
Tabla 37-493 Patrón de amplitud alta del número de identificación de Polonia
Patrón
[A-Z]{3}\d{6}
Tabla 37-494 Validador de amplitud alta del número de identificación de Polonia
Amplitud media del número de identificación de Polonia

Tabla 37-495 Patrón de amplitud media del número de identificación de Polonia
Patrón
[A-Z]{3}\d{6}
Tabla 37-496 Validadores de amplitud media del número de identificación de

Polonia

circundantes.
de Polonia función del resultado.
Amplitud baja del número de identificación de Polonia

La amplitud baja detecta un identificador alfanumérico de 9 dígitos que aprueba la
clave relacionadas con el número de identificación de Polonia.
Tabla 37-497 Patrón de amplitud baja del número de identificación de Polonia
Patrón
[A-Z]{3}\d{6}

Polonia

circundantes.
de Polonia función del resultado.
Número de REGON de Polonia
Entradas:
número de identificación personal, número de

identificación personal, núm. de identidad personal,
número de identidad único, n.ºidnacional, Id. personal,
identidad personal, n.ºidentidadpersonal, n.ºid.único,
n.ºidnacional, n.ºidentidadnacional, Dowód osobisty,
Tożsamości narodowej, osobisty numer
identyfikacyjny, niepowtarzalny numer, numer
identyfikacyjny, Dowódosobisty#,
niepowtarzalnynumer#

Cada entidad de la economía nacional está obligada a registrarse en el registro
de entidades comerciales llamado REGON en Polonia. Es el único registro integrado
en Polonia que cubre todas las entidades de la economía nacional. Cada compañía
tiene un número único de REGON.
El identificador de datos del sistema de números de REGON de Polonia proporciona
■ La amplitud alta detecta un número de 9 o 14 dígitos sin la validación de la
Ver "Amplitud alta del número de REGON de Polonia" en la página 1177.
Ver "Amplitud media del número de REGON de Polonia" en la página 1178.
relacionadas con REGON.
Ver "Amplitud baja del número de REGON de Polonia" en la página 1179.
Amplitud alta del número de REGON de Polonia

La amplitud alta detecta un número de 9 o 14 dígitos sin la validación de la suma
de comprobación.
Tabla 37-499 Patrones de amplitud alta del número de REGON de Polonia
Patrón
\d{9}
\d{3}-\d{2}-\d{2}-\d{2}
\d{14}
\d{9}-\d{5}
Tabla 37-500 Validador de amplitud alta del número de REGON de Polonia
Amplitud media del número de REGON de Polonia

Tabla 37-501 Patrones de amplitud media del número de REGON de Polonia
Patrón
\d{9}
\d{3}-\d{2}-\d{2}-\d{2}
\d{14}
\d{9}-\d{5}
Tabla 37-502 Validadores de amplitud media del número de REGON de Polonia

circundantes.
Comprobación de validación del número de REGON de Computa la suma de comprobación y valida el patrón en
Polonia función del resultado.
Número de la seguridad social de Polonia (PESEL)
Amplitud baja del número de REGON de Polonia

relacionadas con REGON.
Tabla 37-503 Patrones de amplitud baja del número de REGON de Polonia
Patrón
\d{9}
\d{3}-\d{2}-\d{2}-\d{2}
\d{14}
\d{9}-\d{5}
Tabla 37-504 Validadores de amplitud baja del número de REGON de Polonia

circundantes.
Comprobación de validación del número de REGON de Computa la suma de comprobación y valida el patrón en
Polonia función del resultado.
Entradas:
ID. DE REGON, número estadístico, Id. estadístico,

núm. estadístico, número de REGON, n.ºidregon,
N.ºIDREGON, núm.regon, Id. de empresa,
n.ºId.empresa, núm. de Id. de empresa, número de Id.
de empresa, n.º de Id. de empresa, numer statystyczny,
REGON, numeru REGON, numerstatystyczny#,
numeruREGON#

El número de la seguridad social de Polonia (PESEL) es el número de identificación
nacional usado en Polonia. El número de PESEL es obligatorio para todos los
residentes permanentes de Polonia y para los residentes temporales que viven en

Polonia. Identifica únicamente a una persona y no puede ser transferido a otra.
El identificador de datos del sistema de números de la seguridad social de Polonia
(PESEL) proporciona tres amplitudes de detección:
comprobación.
Ver "Amplitud alta del número de la seguridad social de Polonia (PESEL)"
en la página 1180.
de comprobación.
Ver "Amplitud media del número de la seguridad social de Polonia (PESEL)"
en la página 1180.
relacionadas con PESEL.
Ver "Amplitud baja del número de la seguridad social de Polonia (PESEL)"
en la página 1181.
Amplitud alta del número de la seguridad social de Polonia (PESEL)

comprobación.
Tabla 37-505 Patrón de amplitud alta del número de la seguridad social de Polonia
(PESEL)
Patrón
\d{2}[012389]\d[0-3]\d{6}

Polonia (PESEL)
Amplitud media del número de la seguridad social de Polonia

(PESEL)
de comprobación.

Polonia (PESEL)
Patrón
\d{2}[012389]\d[0-3]\d{6}

de Polonia (PESEL)
Comprobación de validación del número de la seguridad El validador computa el número de la suma de

social de Polonia comprobación que cada número de la seguridad social de
Polonia debe aprobar.

circundantes.
Amplitud baja del número de la seguridad social de Polonia (PESEL)

relacionadas con PESEL.

Polonia (PESEL)
Patrón
\d{2}[012389]\d[0-3]\d{6}
Tabla 37-510 Validador de amplitud baja del número de la seguridad social de

Polonia (PESEL)

circundantes.
Número de identificación fiscal de Polonia

social de Polonia comprobación que cada número de la seguridad social de
El validador computa el número de la suma de
comprobación que cada número de la seguridad social de
Entradas:
ID. DE PESEL, SSN de Polonia, número de la seguridad

social, núm. de la seguridad social, n.º SSN,
N.ºID.PESEL, núm. pesel, número de pesel, código de
seguridad social, PESEL Liczba, społeczny
bezpieczeństwo liczba, społeczny bezpieczeństwo ID,
społeczny bezpieczeństwo kod, PESELliczba#,
społecznybezpieczeństwoliczba#

El número de identificación fiscal de Polonia (NIP) es un número que el gobierno
da a cada ciudadano de Polonia que trabaja o hace negocios en Polonia. Todos
los contribuyentes tienen un número de identificación fiscal llamado NIP.
El identificador de datos del sistema de números de identificación fiscal de Polonia
(PESEL) proporciona tres amplitudes de detección:
comprobación.
Ver "Amplitud alta del número de identificación fiscal de Polonia" en la página 1183.
de comprobación.
Ver "Amplitud media del número de identificación fiscal de Polonia"
en la página 1183.
relacionadas con NIP.
Ver "Amplitud baja del número de identificación fiscal de Polonia"
en la página 1184.
Amplitud alta del número de identificación fiscal de Polonia

comprobación.

Polonia
Patrón
\d{10}
\d{3}[ -]\d{3}[ -]\d{2}[ -]\d{2}
\d{3}[ -]\d{2}[ -]\d{2}[ -]\d{3}

Polonia
Amplitud media del número de identificación fiscal de Polonia

comprobación.
Tabla 37-513 Patrones de amplitud media del número de identificación fiscal de

Polonia
Patrón
\d{10}
\d{3}[ -]\d{3}[ -]\d{2}[ -]\d{2}
\d{3}[ -]\d{2}[ -]\d{2}[ -]\d{3}
Tabla 37-514 Validadores de amplitud media del número de identificación fiscal

de Polonia

social de Polonia comprobación que cada número de identificación fiscal
de Polonia debe aprobar.

circundantes.
Amplitud baja del número de identificación fiscal de Polonia

relacionadas con NIP.

Polonia
Patrón
\d{10}
\d{3}[ -]\d{3}[ -]\d{2}[ -]\d{2}
\d{3}[ -]\d{2}[ -]\d{2}[ -]\d{3}

de Polonia

circundantes.
Comprobación de validación del número de Id. fiscal de El validador computa el número de la suma de
Polonia comprobación que cada número de identificación fiscal
de Polonia debe aprobar.
Número de la seguridad social (SSN) de los EE. UU. calculado de forma aleatoria
Entradas:
Número fiscal, número fiscal, núm. fiscal, n.ºfiscal,

n.ºnúmerofiscal, númerofiscal, NIP, n.ºNIP, Id. fiscal,
n.ºid.fiscal, N.ºID.FISCAL, ID. NIP, N.ºID.FISCAL, n.ºnip,
número de identificación fiscal, núm. identificación
fiscal, Número de IVA, Núm. de IVA, n.ºiva, ID. DE IVA,
N.ºID.IVA, Numer Identyfikacji Podatkowej, Polski
numer identyfikacji podatkowej,
NumerIdentyfikacjiPodatkowej#, NIP
Número de la seguridad social (SSN) de los EE. UU.

calculado de forma aleatoria
El identificador de datos Número de la seguridad social (SSN) de los EE. UU.
calculado de forma aleatoria detecta números de 9 dígitos con el patrón
DDD-DD-DDDD, separado con guiones o espacios o sin los separadores. El número
debe estar en rangos de números asignados válidos. Los validadores de patrones
eliminan los números de prueba comunes, tales como 123456789 o con todos los
dígitos iguales. El identificador de datos es de amplitud baja y requiere la presencia
de una palabra clave relacionada con la seguridad social.
En la versión 12.5 de Symantec Data Loss Prevention, el identificador de datos del
número de la seguridad social (SSN) de los EE. UU. calculado de forma aleatoria
sustituye el identificador de datos del SSN de los EE. UU. Todas las plantillas de
políticas que implementan el identificador de datos SSN de los EE. UU. se actualizan
para utilizar el identificador de datos SSN de los EE. UU. calculado de forma
aleatoria y definido por el sistema. Además, en la versión 14.0 los patrones y los
validadores para el identificador de datos del SSN de los EE. UU. calculado de
forma aleatoria fueron actualizados de la versión 12.5 del identificador de datos
del SSN de los EE. UU. calculado de forma aleatoria. Symantec recomienda que
actualice sus políticas para utilizar el identificador de datos del SSN de los EE. UU.
calculado de forma aleatoria versión 14.0 o posterior.
Ver "Utilice el identificador de datos SSN de los EE. UU. calculado de forma aleatoria
para detectar SSN" en la página 808.
El identificador de datos del SSN de los EE. U.U. calculado de forma aleatoria
■ La amplitud media detecta un número de 9 dígitos con el formato
DDD-DD-DDDD. Los dígitos deben estar en los intervalos de números
asignados.
Ver "Amplitud media del número de la seguridad social (SSN) de los EE. UU.
ordenado aleatoriamente" en la página 1186.
■ La amplitud baja detecta un número de 9 dígitos con el formato DDD-DD-DDDD.
Los dígitos deben estar en los intervalos de números asignados. Además
requiere la presencia de palabras clave relacionadas con SSN.
Ver "Amplitud baja del número de la seguridad social (SSN) de los EE. UU.
ordenado aleatoriamente" en la página 1187.

EE. UU. ordenado aleatoriamente
La amplitud media detecta un número de 9 dígitos con el formato DDD-DD-DDDD.
Los dígitos deben estar en los intervalos de números asignados.
Tabla 37-517 Patrones y normalizador de amplitud media del SSN de los EE. UU.
ordenado aleatoriamente
Componente Valor Descripción
Patrones Detecta números de 9 dígitos con el

[0-8]\d{2} \d{1}[1-9] \d{4} patrón DDD-DD-DDDD separado por
[0-8]\d{3}[1-9]\d{4} guiones, espacios o nada. El número
[0-8]\d{2}[1-9]\d{5} debe estar en rangos de números
[0-8]\d{2}-\d{1}[1-9]-\d{4} asignados válidos.
[0-8]\d{2} [1-9]\d{1} \d{4}
[0-8]\d{2}-[1-9]\d{1}-\d{4}
Normalizador de datos Dígitos Ver "Acerca de los normalizadores de

Tabla 37-518 Validadores y entrada de amplitud media del SSN de los EE. UU.
ordenado aleatoriamente
Validadores activos Entrada (si corresponde) Descripción
Excluir caracteres de inicio 666, 000, 123456789, 111111111, Ver "Uso de validadores de patrones"
222222222, 333333333, 444444444, en la página 794.
555555555, 666666666, 77777777,
888888888
Delimitador numérico
Excluir caracteres de fin 0000
Comprobación de validación del Computa la suma de comprobación y

número de la seguridad social valida el patrón en función del
de los EE. UU. calculado de resultado.
forma aleatoria
Amplitud baja del número de la seguridad social (SSN) de los

EE. UU. ordenado aleatoriamente
La amplitud baja detecta un número de 9 dígitos con el formato DDD-DD-DDDD.
Los dígitos deben estar en los intervalos de números asignados. Además requiere
la presencia de palabras clave relacionadas con SSN.
Tabla 37-519 Patrones de amplitud baja del número de la seguridad social (SSN)
de los EE. UU. ordenado aleatoriamente
Patrón
[0-8]\d{2} \d{1}[1-9] \d{4}
[0-8]\d{3}[1-9]\d{4}
[0-8]\d{2}[1-9]\d{5}
[0-8]\d{2}-\d{1}[1-9]-\d{4}
[0-8]\d{2} [1-9]\d{1} \d{4}
[0-8]\d{2}-[1-9]\d{1}-\d{4}
Tabla 37-520

circundantes.
Código personal numérico de Rumania
Excluir caracteres de inicio Excluye los caracteres siguientes del principio:
666, 000, 123456789, 111111111, 222222222,

333333333, 444444444, 555555555, 666666666,
77777777, 888888888
Excluir caracteres de fin Excluye los caracteres finales siguientes:
0000
Entradas:
número de la seguridad social, ssn, ss#
Comprobación de validación del número de la Computa la suma de comprobación y valida el patrón en

seguridad social de los EE. UU. calculado de forma función del resultado.
aleatoria

En Rumania, cada ciudadano tiene un código personal numérico único (o CNP).
El número es usado por las autoridades, la asistencia médica, las escuelas, las
universidades, los bancos y las compañías de seguros para la identificación del
cliente.
El identificador de datos del sistema de códigos personales numéricos de Rumania
comprobación.
Ver " Amplitud alta del código personal numérico de Rumania" en la página 1189.
de comprobación.
Ver " Amplitud media del código personal numérico de Rumania" en la página 1189.
relacionadas con CNP.
Ver " Amplitud baja del código personal numérico de Rumania" en la página 1189.
Amplitud alta del código personal numérico de Rumania

comprobación.
Tabla 37-521 Patrón de amplitud alta del código personal numérico de Rumania
Patrón
[1-9]\d\d[0-1]\d[0-3]\d{7}
Tabla 37-522 Validador de amplitud alta del código personal numérico de Rumania
Amplitud media del código personal numérico de Rumania

comprobación.
Tabla 37-523 Patrón de amplitud media del código personal numérico de Rumania
Patrón
[1-9]\d\d[0-1]\d[0-3]\d{7}
Tabla 37-524 Validadores de amplitud media del código personal numérico de

Rumania
Comprobación del código personal numérico de Rumania El validador computa el número de la suma de
comprobación que cada número de código personal
numérico de Rumania debe aprobar.

circundantes.
Amplitud baja del código personal numérico de Rumania

relacionadas con CNP.
Número de identificación de pasaporte ruso
Tabla 37-525 Patrón de amplitud baja del código personal numérico de Rumania
Patrón
[1-9]\d\d[0-1]\d[0-3]\d{7}
Tabla 37-526 Validadores de amplitud baja del código personal numérico de

Rumania

circundantes.
Comprobación del código personal numérico de Rumania El validador computa la suma de comprobación que cada
código personal numérico de Rumania debe aprobar.
Entradas:
Código Numérico Personal, número de identificación

único, CNP, N.º CNP, PIN, N.º PIN, Número de Seguro,
númerodeseguro, número de identidad único,
n.ºidentidadúnico, Cod Numeric Personal, cod
identificare personal, cod unic identificare, număr
personal unic, număr identitate, număr identificare
personal, număridentitate#, CodNumericPersonal#,
numărpersonalunic#

Rusia emite dos tipos de pasaportes: nacional e internacional. Cada ciudadano
ruso tiene un pasaporte nacional. Es el documento principal usado para la
identificación personal.
El identificador de datos del número de identificación de pasaporte ruso proporciona
comprobación.
Ver "Amplitud alta del número de identificación de pasaporte ruso"
en la página 1191.

relacionadas con el número de identificación de pasaporte ruso.
Ver "Amplitud baja del número de identificación de pasaporte ruso"
en la página 1191.
Amplitud alta del número de identificación de pasaporte ruso

comprobación.
Tabla 37-527 Patrones de amplitud alta del número de identificación de pasaporte

ruso
Patrón
\d{10}
\d{4}[ ]\d{6}
\d{2}[- ]\d{2}[ ]\d{6}
Tabla 37-528 Validador de amplitud alta del número de identificación de

pasaporte ruso
Amplitud baja del número de identificación de pasaporte ruso

relacionadas con el número de identificación de pasaporte ruso.
Tabla 37-529 Patrones de amplitud baja del número de identificación de pasaporte

ruso
Patrón
\d{10}
\d{4}[ ]\d{6}
\d{2}[- ]\d{2}[ ]\d{6}

Número de identificación del contribuyente ruso

pasaporte ruso

circundantes.

Entradas:
número de pasaporte, núm. pasaporte, Id. pasaporte,

n.ºpasaporte, núm.pasaporte, Id. de pasaporte ruso,
паспорт нет, паспорт, номер паспорта, паспорт ID,
Российской паспорт, Русский номер паспорта,
паспорт#, паспортID#, номерпаспорта#

El número de identificación del contribuyente (TIN o INN) ruso es un número de
varios dígitos que permite a la inspección fiscal identificar el estado fiscal de las
personas jurídicas y físicas.
Ver "Amplitud alta del número de identificación del contribuyente ruso"
en la página 1193.
■ La amplitud media valida el número detectado usando el dígito de comprobación
final y elimina los números de prueba comunes.
Ver "Amplitud media del número de identificación del contribuyente ruso"
en la página 1193.
relacionadas con el número de identificación del contribuyente ruso.
Ver "Amplitud baja del número de identificación del contribuyente ruso"
en la página 1194.
Amplitud alta del número de identificación del contribuyente ruso

de comprobación.

contribuyente ruso
Patrón
\d{10}
\d{12}
\d{3}[ -]\d{3}[ -]\d{3}[ -]\d{3}

contribuyente ruso
Amplitud media del número de identificación del contribuyente ruso

Tabla 37-533 Patrones de amplitud media del número de identificación del

contribuyente ruso
Patrón
\d{10}
\d{12}
\d{3}[ -]\d{3}[ -]\d{3}[ -]\d{3}

contribuyente ruso
Comprobación de validación del número de identificación El validador computa el número de la suma de

del contribuyente ruso comprobación que cada número de identificación del
contribuyente ruso debe aprobar.

circundantes.
Amplitud baja del número de identificación del contribuyente ruso

relacionadas con el número de identificación del contribuyente ruso.

contribuyente ruso
Patrón
\d{10}
\d{12}
\d{3}[ -]\d{3}[ -]\d{3}[ -]\d{3}

contribuyente ruso

del contribuyente ruso comprobación que cada número de identificación del
contribuyente ruso debe aprobar.

Entradas:
TIN, número de contribuyente, Id. de contribuyente,

núm. de contribuyente, Id. fiscal, tin, tinno#, inn, inn#,
n.ºcontribuyente, n.ºid.fiscal, núm.id.contribuyente,
n.ºid.contribuyente, НДС, номер налогоплательщика,
Налогоплательщика ИД, налог число, налогчисло#,
ИНН#, НДС#
Identificador de datos de la NRIC de Singapur
Identificador de datos de la NRIC de Singapur

La NRIC (tarjeta de identidad del registro nacional) de Singapur es el documento
de identidad de Singapur. La NRIC es un documento obligatorio para ciertos
procedimientos gubernamentales y transacciones comerciales, como la apertura
de una cuenta bancaria, o para acceder a instalaciones en las que se entrega o
se intercambia por un pase de acceso.
La amplitud alta del identificador de datos de la NRIC de Singapur detecta nueve
caracteres con el patrón LDDDDDDDL. El último carácter se usa para validar la
Tabla 37-537 Patrón de amplitud alta de NRIC de Singapur
Patrón
[SFTGsftg]\d{7}\w
Tabla 37-538 Validador de amplitud alta de NRIC de Singapur
NRIC de Singapur Computa la suma de comprobación de la NRIC de

Singapur y valida el patrón en función del resultado.
Número de identificación personal de Sudáfrica

Cada ciudadano tiene un número de identificación nacional en Sudáfrica. El número
sirve como prueba de la identificación.
comprobación.
Ver "Amplitud alta del número de identificación personal de Sudáfrica"
en la página 1196.
de comprobación.
Ver "Amplitud media del número de identificación personal de Sudáfrica"
en la página 1196.
relacionadas con el número de identificación personal de Sudáfrica.
Ver "Amplitud baja del número de identificación personal de Sudáfrica"

en la página 1197.
Amplitud alta del número de identificación personal de Sudáfrica

comprobación.

de Sudáfrica
Patrón
[0123678]\d{8}
[0123678]\d{3}-\d{4}-\d

de Sudáfrica
Amplitud media del número de identificación personal de Sudáfrica

comprobación.

de Sudáfrica
Patrón
\d{6}[ -]\d{4}[ -][01]\d{2}
\d{10}[01]\d{2}

personal de Sudáfrica

personal de Sudáfrica comprobación que cada número de identificación personal
de Sudáfrica debe aprobar.

circundantes.
Amplitud baja del número de identificación personal de Sudáfrica

relacionadas con el número de identificación personal de Sudáfrica.

de Sudáfrica
Patrón
\d{6}[ -]\d{4}[ -][01]\d{2}
\d{10}[01]\d{2}

de Sudáfrica

circundantes.

personal de Sudáfrica comprobación que cada número de identificación personal
de Sudáfrica debe aprobar.
Número de licencia de conducir de España

Entradas:
número de identificación nacional, número de

identidad nacional, número de seguro nacional,
número de identidad personal, número de
identificación personal, número de seguro,
n.ºid.nacional, n.ºidentidadpersonal, número de
identidad único, n.ºidentidadúnico, nasionale
identifikasie nommer, nasionale identiteitsnommer,
versekering aantal, persoonlike identiteitsnommer,
unieke identiteitsnommer, identiteitsnommer,
identiteitsnommer#, versekeringaantal#,
nasionaleidentiteitsnommer#

Agencia de Concesión de Licencias de Vehículos y Conductores de España.
El identificador de datos del número de licencia de conducir de España proporciona
relacionadas.
Ver "Amplitud alta del número de licencia de conducir de España"
en la página 1198.
■ La amplitud baja detecta un patrón alfanumérico de nueve caracteres con
Ver "Amplitud baja del número de licencia de conducir de España"
en la página 1200.
Amplitud alta del número de licencia de conducir de España

relacionadas.

España
Patrón
\d{8}\w
\d{8}[- ]\w
\d{8}[ ][-]\w
\d{8}[ ][-][ ]\w

España

circundantes.
Entradas:
N.° LC#, n.° LC#, LC#, Lic. de conducir, licencia de

conducir, licencia de conducir, licencia de conducir,
licencia de conducir, licencia de conductor, licencia
de conductor, licencia de conducción, licencia de
conducción, número de licencia de conducir, número
de licencia de conductor, número de licencia de
conducir, número de licencia de conducción, número
de licencia de conducción, driving permit, driving
permit number, permiso de conducción, permiso
conducción, Número licencia conducir, Número de
carnet de conducir, Número carnet conducir, licencia
conducir, Número de permiso de conducir, Número
de permiso conducir, Número permiso conducir,
permiso conducir, licencia de manejo, el carnet de
conducir, carnet conducir
Amplitud baja del número de licencia de conducir de España

La amplitud baja detecta un patrón alfanumérico de nueve caracteres con validación
relacionadas.

España
Patrón
\d{8}\w
\d{8}[- ]\w
\d{8}[ ][-]\w
\d{8}[ ][-][ ]\w

de España

circundantes.
Comprobación de clave de control del DNI Computa la clave de control y comprueba si es válida.
Número de cuenta de cliente español
Entradas:
N.° LC#, n.° LC#, LC#, Lic. de conducir, licencia de

conducir, licencia de conducir, licencia de conducir,
licencia de conducir, licencia de conductor, licencia
de conductor, licencia de conducción, licencia de
de licencia de conductor, número de licencia de
conducir, número de licencia de conducción, número
de licencia de conducción, driving permit, driving
permit number, permiso de conducción, permiso
conducción, Número licencia conducir, Número de
carnet de conducir, Número carnet conducir, licencia
conducir, Número de permiso de conducir, Número
de permiso conducir, Número permiso conducir,
permiso conducir, licencia de manejo, el carnet de
conducir, carnet conducir

El número de cuenta de cliente español es el número de cuenta bancaria de cliente
estándar usado en España.
comprobación.
Ver "Amplitud alta del número de cuenta de cliente español" en la página 1202.
de comprobación.
Ver "Amplitud media del número de cuenta de cliente español" en la página 1202.
relacionadas con el número de cuenta de cliente español.
Ver "Amplitud baja del número de cuenta de cliente español" en la página 1203.
Amplitud alta del número de cuenta de cliente español

comprobación.
Tabla 37-549 Patrones de amplitud alta del número de cuenta de cliente español
Patrón
\d{20}
\d{4}[ -/]\d{4}[ -/]\d{2}[ -/]\d{10}
0128[ -/]\d{4}[ -/]\d{2}[ -/]\d{10}
0128\d{16}
Tabla 37-550 Validadores de amplitud alta del número de cuenta de cliente

español
Amplitud media del número de cuenta de cliente español

comprobación.
Tabla 37-551 Patrones de amplitud media del número de cuenta de cliente español
Patrón
\d{20}
\d{4}[ -/]\d{4}[ -/]\d{2}[ -/]\d{10}
0128[ -/]\d{4}[ -/]\d{2}[ -/]\d{10}
0128\d{16}
Tabla 37-552 Validador de amplitud media del número de cuenta de cliente

español
Comprobación de validación del número de cuenta de El validador computa el número de la suma de

cliente español comprobación que cada número de cuenta de cliente
español debe aprobar.

circundantes.
Amplitud baja del número de cuenta de cliente español

relacionadas con el número de cuenta de cliente español.
Tabla 37-553 Patrones de amplitud baja del número de cuenta de cliente español
Patrón
\d{20}
\d{4}[ -/]\d{4}[ -/]\d{2}[ -/]\d{10}
0128[ -/]\d{4}[ -/]\d{2}[ -/]\d{10}
0128\d{16}
Tabla 37-554 Validadores de amplitud baja del número de cuenta de cliente

español

circundantes.
Comprobación de validación del número de cuenta de Computa la suma de comprobación y valida el patrón en
cliente español función del resultado.
DNI de España
Entradas:
número de cuenta de cliente, código de cuenta, Id. de

cuenta de cliente, Id. de cuenta bancaria de cliente,
número de cuenta bancaria, código de banco de cliente
español, número de cuenta, n.ºdecuenta,
númerodecuenta, número cuenta cliente, código
cuenta, cuenta cliente ID, número cuenta bancaria
cliente, código cuenta bancaria
DNI de España
El DNI de España aparece en el Documento Nacional de Identidad (DNI) y es
emitido por la Hacienda Pública española a todos los ciudadanos de España. Es
el identificador único más importante en España y se utiliza para abrir cuentas,
firmar contratos, pagar impuestos y participar de las elecciones.
El identificador de datos de DNI de España ofrece dos amplitudes de detección:
■ La amplitud alta detecta un número de 8 dígitos seguido por un guion y una
letra. La última letra debe coincidir con un algoritmo de suma de comprobación.
Ver "Amplitud alta del DNI de España" en la página 1204.
■ La amplitud baja detecta un número de 8 dígitos seguido por un guion y una
letra. La última letra debe coincidir con un algoritmo de suma de comprobación.
Además requiere la presencia de palabras clave relacionadas con DNI de
España.
Ver "Amplitud baja del DNI de España" en la página 1205.
Amplitud alta del DNI de España

La amplitud alta detecta un número de 8 dígitos seguido por un guion y una letra.
La última letra debe coincidir con un algoritmo de suma de comprobación.
Tabla 37-555 Patrones de amplitud alta del DNI de España
Patrón
\d{7}\w
\d{7}[- ]\w
DNI de España
Patrón
\d{7}[ ][-]\w
\d{7}[ ][-][ ]\w
Tabla 37-556 Validador de amplitud alta del DNI de España
Amplitud baja del DNI de España

La amplitud baja detecta un número de 8 dígitos seguido por un guion y una letra.
La última letra debe coincidir con un algoritmo de suma de comprobación. Además
requiere la presencia de palabras clave relacionadas con DNI de España.
Tabla 37-557 Patrones de amplitud baja del DNI de España
Patrón
\d{7}\w
\d{7}[- ]\w
\d{7}[ ][-]\w
\d{7}[ ][-][ ]\w
Tabla 37-558 Validadores de amplitud baja del DNI de España
Número de pasaporte de España
Entradas:
DNI, Número de Identificación Nacional, número de

identidad nacional, número de seguro, número de
identificación personal, identidad nacional, núm. de
identidad personal, número de identidad único,
n.ºid.nacional, n.ºid.único, n.ºDNI, n.ºId.nacional,
DNINúmero#, Identidadúnico#, Id. NIE, Id. NIE de
España, Número NIE de España, NIE, n.ºNIE,
NIEnúmero#, NIE número, Documento Nacional de
Identidad, Identidad único, Número nacional identidad,
DNI Número

Los pasaportes de España se otorgan a los ciudadanos españoles con el fin de
que viajen fuera de España.
El identificador de datos del número de pasaporte de España ofrece dos amplitudes
de detección:
■ La amplitud alta detecta un patrón válido de número de pasaporte de España.
Ver "Amplitud alta del número de pasaporte de España" en la página 1206.
■ La amplitud baja detecta un patrón válido de número de pasaporte de España.
Ver "Amplitud baja del número de pasaporte de España" en la página 1207.
Amplitud alta del número de pasaporte de España

La amplitud alta detecta un patrón válido de número de pasaporte de España.
Tabla 37-559 Patrones de amplitud alta del número de pasaporte de España
Patrones
\l{2}\d{6}
\l{2}-\d{6}
\l{2} \d{6}
Patrones
\l{3}\d{6}
\l{3}-\d{6}
\l{3} \d{6}
Tabla 37-560 Validador de amplitud alta del número de pasaporte de España

circundantes.
Amplitud baja del número de pasaporte de España

La amplitud baja detecta un patrón válido de número de pasaporte de España.
Tabla 37-561 Patrones de amplitud baja del número de pasaporte de España
Patrones
\l{2}\d{6}
\l{2}-\d{6}
\l{2} \d{6}
\l{3}\d{6}
\l{3}-\d{6}
\l{3} \d{6}
Tabla 37-562 Validadores de amplitud baja del número del pasaporte de España

circundantes.
Número de la seguridad social de España
Entradas:
passport, Passport, Spain Passport, spain passport,

passport book, Passport Book, passport number,
passport no, Passport Number, libreta pasaporte,
número pasaporte, Número Pasaporte, España
pasaporte, pasaporte

El número de la seguridad social de España es un número de 12 dígitos asignado
a los trabajadores españoles para permitirles el acceso al sistema de salud español.
El identificador de datos del sistema de números de la seguridad social de España
comprobación.
Ver "Amplitud alta del número de la seguridad social de España" en la página 1208.
de comprobación.
Ver "Amplitud media del número de la seguridad social de España"
en la página 1209.
relacionadas con el número de la seguridad social de España.
Ver "Amplitud baja del número de la seguridad social de España"
en la página 1210.
Amplitud alta del número de la seguridad social de España

comprobación.

España
Patrón
\d{12}
\d{2}[/]\d{8}[/]\d{2}
\d{2}[-]\d{8}[-]\d{2}

España
Amplitud media del número de la seguridad social de España

comprobación.

España
Patrón
\d{12}
\d{2}[/]\d{8}[/]\d{2}
\d{2}[-]\d{8}[-]\d{2}

de España

circundantes.
Comprobación de validación del número SSN de España Computa la suma de comprobación y valida el patrón en
Identificación del contribuyente de España (CIF)
Amplitud baja del número de la seguridad social de España

relacionadas con el número de la seguridad social de España.

España
Patrón
\d{12}
\d{2}[/]\d{8}[/]\d{2}
\d{2}[-]\d{8}[-]\d{2}

España

circundantes.
Comprobación de validación del número SSN de España Computa la suma de comprobación y valida el patrón en
Entradas:
SSN, número de seguridad social, n.ºSSN, núm. de la

seguridad social, n.ºseguridadsocial, Número de la
seguridad social, Núm. de la Seguridad Social. Número
de la Seguridad Social, número de la seguridad social

El identificador de impuestos a las sociedades (CIF) de la identificación del
contribuyente de España es equivalente al número de IVA, necesario para realizar
actividades comerciales en España. Este identificador es la identificación de una
compañía para los propósitos tributarios y se requiere para cualquier transacción
legal.
El identificador de datos del sistema de identificación del contribuyente de España

(CIF) proporciona tres amplitudes de detección:
Ver "Amplitud alta de identificación del contribuyente de España (CIF)"
en la página 1211.
Ver "Amplitud media de identificación del contribuyente de España (CIF)"
en la página 1212.
■ La amplitud baja detecta un identificador alfanumérico de 9 dígitos con la
palabras clave relacionadas con CIF.
Ver "Amplitud baja de identificación del contribuyente de España (CIF)"
en la página 1212.
Amplitud alta de identificación del contribuyente de España (CIF)

Tabla 37-569 Patrones de amplitud alta de identificación del contribuyente de

España (CIF)
Patrón
[KPQS]\d{7}[A-J]
[KPQS]-\d{7}[A-J]
[ABEH]\d{7}[0-9]
[ABEH]-\d{7}[0-9]
[CDFGJLMNRUVW]\d{7}[A-J0-9]
[CDFGJLMNRUVW]-\d{7}[A-J0-9]
Tabla 37-570 Validador de amplitud alta de identificación del contribuyente de

España (CIF)
Amplitud media de identificación del contribuyente de España (CIF)

Tabla 37-571 Patrones de amplitud media de identificación del contribuyente de

España (CIF)
Patrón
[KPQS]\d{7}[A-J]
[KPQS]-\d{7}[A-J]
[ABEH]\d{7}[0-9]
[ABEH]-\d{7}[0-9]
Tabla 37-572 Validadores de amplitud media de identificación del contribuyente

de España (CIF)

circundantes.
Comprobación de validación del número de Id. del Computa la suma de comprobación y valida el patrón en
contribuyente de España función del resultado.
Amplitud baja de identificación del contribuyente de España (CIF)

La amplitud baja detecta un identificador alfanumérico de 9 dígitos con la validación
relacionadas con CIF.
Tabla 37-573 Patrones de amplitud baja de identificación del contribuyente de

España (CIF)
Patrón
[KPQS]\d{7}[A-J]
[KPQS]-\d{7}[A-J]
[ABEH]\d{7}[0-9]
Número de pasaporte de Suecia
Patrón
[ABEH]-\d{7}[0-9]
Tabla 37-574 Validadores de amplitud baja de identificación del contribuyente

de España (CIF)

circundantes.
Comprobación de validación del número de Id. del Computa la suma de comprobación y valida el patrón en
contribuyente de España función del resultado.
Entradas:
Id. del contribuyente, número de Id. del contribuyente,

ID. DE CIF, núm. de CIF, Id. de CIF español, cif, núm.
de registro fiscal, número de CIF español, número de
registro fiscal, núm. de CIF español, núm. fiscal,
número fiscal, id. de contribuyente,
n.ºid.contribuyente, núm.contribuyente, n.ºId.CIF,
n.ºID.CIF, n.ºID.CIFespañol, núm.CIFespañol, n.ºid.cif,
número de contribuyente, número de impuesto
corporativo, número de Identificación fiscal, CIF
número, CIFnúmero#

Los pasaportes de Suecia se otorgan a los ciudadanos suecos para que puedan
realizar viajes internacionales. Además de servir como prueba de la ciudadanía
sueca, facilita el proceso de obtención de ayuda de los funcionarios consulares
suecos en el extranjero o de otros Estados miembros de la Unión Europea en caso
de que un funcionario consular sueco esté ausente, si es necesario.
El identificador de datos del número de pasaporte de Suecia ofrece dos amplitudes
de detección:
■ La amplitud alta detecta un patrón válido de número de pasaporte de Suecia.

Ver "Amplitud alta del número de pasaporte de Suecia" en la página 1214.
■ La amplitud baja detecta un patrón válido de número de pasaporte de Suecia.
Ver "Amplitud baja del número de pasaporte de Suecia" en la página 1214.
Amplitud alta del número de pasaporte de Suecia

La amplitud alta detecta un patrón válido de número de pasaporte de Suecia.
Tabla 37-575 Patrones de amplitud alta del número de pasaporte de Suecia
Patrones
\d{8}
\d{2}-\d{6}
\l{2}-\d{6}
Tabla 37-576 Validador de amplitud alta del número de pasaporte de Suecia

circundantes.
Amplitud baja del número de pasaporte de Suecia

La amplitud baja detecta un patrón válido de número de pasaporte de Suecia.
Tabla 37-577 Patrones de amplitud baja del número de pasaporte de Suecia
Patrones
\d{8}
\d{2}-\d{6}
\l{2}-\d{6}
Número de identificación personal de Suecia
Tabla 37-578 Validadores de amplitud baja del número del pasaporte de Suecia

circundantes.
Entradas:
passport, Passport, Sweden Passport, Swedish

passport, passport number, passport no, Passport
Number, Passnummer, pass, sverige pass, SVERIGE
PASS, sverige Passnummer

El número de identificación personal de Suecia es la identificación nacional única
para cada ciudadano sueco. El número es usado por las autoridades, la asistencia
médica, las escuelas, las universidades, los bancos y las compañías de seguros
para la identificación del cliente.
El identificador de datos del sistema de números de identificación personal de
Suecia proporciona tres amplitudes de detección:
Ver "Amplitud alta del número de identificación personal de Suecia"
en la página 1216.
■ La amplitud media detecta un número de 10 o 12 dígitos con la validación de
Ver "Amplitud media del número de identificación personal de Suecia "
en la página 1216.
relacionadas con el número de identificación personal de Suecia.
Ver "Amplitud baja del número de identificación personal de Suecia"
en la página 1217.
Amplitud alta del número de identificación personal de Suecia

de comprobación.

de Suecia
Patrón
\d\d[01]\d[01236789]\d[-]\d\d\d\d
\d\d[01]\d[01236789]\d[+]\d\d\d\d
\d\d[01]\d[01236789]\d\d\d\d\d
[12][098]\d\d[01]\d[01236789]\d[-]\d\d\d\d
[12][098]\d\d[01]\d[01236789]\d[+]\d\d\d\d
[12][098]\d\d[01]\d[01236789]\d\d\d\d\d
Tabla 37-580 Validadores de amplitud alta del número de identificación personal

de Suecia
Amplitud media del número de identificación personal de Suecia


de Suecia
Patrón
\d\d[01]\d[01236789]\d[-]\d\d\d\d
\d\d[01]\d[01236789]\d[+]\d\d\d\d
\d\d[01]\d[01236789]\d\d\d\d\d
[12][098]\d\d[01]\d[01236789]\d[-]\d\d\d\d
[12][098]\d\d[01]\d[01236789]\d[+]\d\d\d\d
Patrón
[12][098]\d\d[01]\d[01236789]\d\d\d\d\d

personal de Suecia

circundantes.
personal de Suecia función del resultado.
Amplitud baja del número de identificación personal de Suecia

relacionadas con el número de identificación personal de Suecia.

de Suecia
Patrón
\d\d[01]\d[01236789]\d[-]\d\d\d\d
\d\d[01]\d[01236789]\d[+]\d\d\d\d
\d\d[01]\d[01236789]\d\d\d\d\d
[12][098]\d\d[01]\d[01236789]\d[-]\d\d\d\d
[12][098]\d\d[01]\d[01236789]\d[+]\d\d\d\d
[12][098]\d\d[01]\d[01236789]\d\d\d\d\d

de Suecia

circundantes.
Código SWIFT
personal de Suecia función del resultado.
Entradas:
número de Id. personal, número de identificación, núm.

de Id. personal, núm. de id. personal, núm. de
identidad, núm. de identificación, núm. de
identificación personal, núm. de id. de persona,
personnummer ID, personligt id-nummer, unikt
id-nummer, personnummer, identifikationsnumret,
personnummer#, identifikationsnumret#
Código SWIFT
El código SWIFT es un código particular de cada banco y es administrado por la
Sociedad de Telecomunicaciones Financieras Interbancarias Mundiales (SWIFT).
Se requiere para realizar transferencias monetarias entre instituciones financieras.
También se denomina Código de Identificación Bancaria (BIC).
El identificador de datos del código SWIFT detecta la presencia del código SWIFT.
■ Amplitud alta
Ver "Amplitud alta del código SWIFT" en la página 1218.
■ Amplitud baja
Ver "Amplitud baja del código SWIFT" en la página 1219.
Amplitud alta del código SWIFT

La amplitud alta del identificador de datos de código SWIFT detecta cadenas de 8
u 11 caracteres. El quinto y sexto carácter indican el código del país. Esta amplitud
también requiere una palabra clave relacionada con SWIFT.
Tabla 37-585 Patrones de amplitud alta del código SWIFT
Patrón
[A-Z]{6}\w{2}
Código SWIFT
Patrón
[A-Z]{6}\w{5}
Tabla 37-586 Validadores de amplitud alta del código SWIFT
Requerir caracteres de inicio Con esta opción seleccionada, se requiere cualquiera de las siguientes listas de
valores al inicio de los datos coincidentes.
Encontrar entrada de palabras bic, #bic, organización internacional para la estandarización 9362, iso 9362,
clave iso9362, swift, #swift, códigoswift, númeroswift, númeroenrutamientoswift.
Amplitud baja del código SWIFT

La amplitud baja del identificador de datos de código SWIFT detecta cadenas de
8 u 11 caracteres. El quinto y sexto carácter son letras que indican el código del
país. También requiere una palabra clave relacionada con SWIFT.
Tabla 37-587 Patrones de amplitud baja del código SWIFT
Patrón
[A-Z]{6}\w{2}
[A-Z]{6}\w{5}
Tabla 37-588 Validadores de amplitud baja del código SWIFT
Requerir caracteres de inicio Con esta opción seleccionada, se requiere cualquiera de las siguientes listas de
valores al inicio de los datos coincidentes.
Encontrar entrada de palabras #bic, organización internacional para la estandarización 9362, iso 9362,
clave iso9362, #swift, códigoswift, númeroswift, númeroenrutamientoswift, código
swift, número swift, número de enrutamiento swift, número de bic, código
de bic, # de bic
Número de AHV de Suiza
Número de AHV de Suiza

En Suiza, el número de Fondo de Seguro para Personas de Edad Avanzada y
Sobrevivientes (Alters- und Hinterlassenenversicherungsnummer o número de
AHV) es el número de identificación pública más importante.
de comprobación.
Ver "Amplitud alta del número de AHV de Suiza" en la página 1220.
con AHV.
Ver "Amplitud baja del número de AHV de Suiza" en la página 1220.
Amplitud alta del número de AHV de Suiza

comprobación.
Tabla 37-589 Patrones de amplitud alta del número de AHV de Suiza
Patrón
\d{3}.\d{2}.\d{3}.\d{3}
\d{11}
Tabla 37-590 Validadores de amplitud alta del número de AHV de Suiza
AHV de Suiza Computa la suma de comprobación del módulo 11 de AHV

de Suiza y valida el patrón en función del resultado.

circundantes.
Amplitud baja del número de AHV de Suiza

AHV.
Número de la seguridad social de Suiza (AHV)
Tabla 37-591 Patrones de amplitud baja del número de AHV de Suiza
Patrón
\d{3}.\d{2}.\d{3}.\d{3}
\d{11}
Tabla 37-592 Validadores de amplitud baja del número de AHV de Suiza
AHV de Suiza Computa la suma de comprobación del módulo 11 de AHV

de Suiza y valida el patrón en función del resultado.

circundantes.
Entradas:
Numéro AVS, identifiant national, numéro de sécurité

sociale, Numéro AVH, número de AVS, número de
seguro, identificador nacional, número de seguro
nacional, número de la seguridad social, número-AVH,
AHV-Nummer, Personenidentifikationsnummer,
Schweizer Registrierungsnummer, número de AHV,
número de registro suizo, PIN, AVH, AVS, numéro
d'assurance vieillesse, numéro d'assuré

El número de la seguridad social (AHV) de Suiza permite a ciudadanos suizos el
acceso al sistema de seguridad social suizo.
El identificador de datos del sistema de números de la seguridad social de Suiza
comprobación.
Ver "Amplitud alta del número de la seguridad social de Suiza (AHV)"
en la página 1222.
■ La amplitud media detecta un número de 13 dígitos sin validación de la suma
de comprobación.
Ver "Amplitud media del número de la seguridad social de Suiza (AHV)"

en la página 1222.
relacionadas con AHV.
Ver "Amplitud baja del número de la seguridad social de Suiza (AHV)"
en la página 1223.
Amplitud alta del número de la seguridad social de Suiza (AHV)

comprobación.

Suiza (AHV)
Patrón
[7][5][6]\d{10}
[7][5][6][.]\d{4}[.]\d{4}[.]\d{2}

Suiza (AHV)
Amplitud media del número de la seguridad social de Suiza (AHV)

La amplitud media detecta un número de 13 dígitos sin validación de la suma de
comprobación.

Suiza (AHV)
Patrón
[7][5][6]\d{10}
[7][5][6][.]\d{4}[.]\d{4}[.]\d{2}

de Suiza (AHV)

circundantes.
social de Suiza función del resultado.
Amplitud baja del número de la seguridad social de Suiza (AHV)

relacionadas con AHV.

Suiza (AHV)
Patrón
[7][5][6]\d{10}
[7][5][6][.]\d{4}[.]\d{4}[.]\d{2}

Suiza (AHV)

circundantes.
social de Suiza función del resultado.
Id. de la República de China (Taiwán)
Entradas:
AHV, SSN, PID, número de seguro,

núm.Id.personal, Número de la Seguridad Social,
número de Id. personal, n.º de identificación personal,
núm.seguro, núm.Id.único, n.º de identificación único,
AVS, número de AHV, número de AVS, número de la
seguridad social, n.ºId.personal, n.º de identidad
personal
Versicherungsnummer, Identifikationsnummer,
einzigartige Identität nicht,
Sozialversicherungsnummer, identification
personnelle ID, numéro de sécurité sociale

En Taiwán, todos los ciudadanos mayores de 14 años deben contar con una tarjeta
de identificación. La tarjeta de identificación se numera de manera uniforme desde
1965.
El identificador de datos del Id. de la República de China (Taiwán) detecta la
presencia del número de identificación de Taiwán basado en dos tipos de patrones
de Id. comunes. El último carácter que coincide se utiliza para validar la suma de
comprobación.
El identificador de datos de Id. de la República de China (Taiwán) ofrece dos
■ La amplitud alta detecta un número de Id. de la República China (Taiwán) con
Ver "Amplitud alta del Id. de la República de China (Taiwán)" en la página 1225.
■ La amplitud baja detecta un número de Id. de la República China (Taiwán) con
palabras clave relacionadas con Id. de la República de China (Taiwán).
Ver "Amplitud baja del Id. de la República de China (Taiwán)" en la página 1225.
Amplitud alta del Id. de la República de China (Taiwán)

La amplitud alta detecta un número de Id. de la República China (Taiwán) con la
Tabla 37-599 Patrones de amplitud alta del Id. de la República China (Taiwán)
Patrones
[A-Z][12][0-3]\d{7}
[A-Z][ABCD]\d{8}
Tabla 37-600 Validador de amplitud alta del Id. de la República China (Taiwán)
Amplitud baja del Id. de la República de China (Taiwán)

La amplitud baja detecta un número de Id. de la República China (Taiwán) con la
clave relacionadas con Id. de la República de China (Taiwán).
Tabla 37-601 Patrones de amplitud baja del Id. de la República China (Taiwán)
Patrones
[A-Z][12][0-3]\d{7}
[A-Z][ABCD]\d{8}
Tabla 37-602 Validadores de amplitud baja del Id. de la República China (Taiwán)
Entradas:
中華民國國民身分證, ROC ID, Tarjeta de Identificación

Nacional, N.ºIDROC
Número de identificación personal de Tailandia

El número de identificación personal de Tailandia es un identificador personal único
asignado en el nacimiento o después de la recepción de la ciudadanía tailandesa.
El identificador de datos del sistema de números de identificación personal de
Tailandia proporciona tres amplitudes de detección:
comprobación.
Ver "Amplitud alta del número de identificación personal de Tailandia"
en la página 1226.
de comprobación.
Ver "Amplitud media del número de identificación personal de Tailandia"
en la página 1227.
relacionada con Id. personal de Tailandia.
Ver "Amplitud baja del número de identificación personal de Tailandia"
en la página 1227.
Amplitud alta del número de identificación personal de Tailandia

comprobación.

de Tailandia
Patrón
[1-8]\d{12}
[1-8][ -]\d{4}[ -]\d{5}[ -]\d{2}[ -]\d

de Tailandia
Amplitud media del número de identificación personal de Tailandia

comprobación.

de Tailandia
Patrón
[1-8]\d{12}
[1-8][ -]\d{4}[ -]\d{5}[ -]\d{2}[ -]\d

personal de Tailandia

circundantes.
personal de Tailandia función del resultado.
Amplitud baja del número de identificación personal de Tailandia

con Id. personal de Tailandia.

de Tailandia
Patrón
[1-8]\d{12}
[1-8][ -]\d{4}[ -]\d{5}[ -]\d{2}[ -]\d

de Tailandia
Número de identificación de Turquía

circundantes.
personal de Tailandia función del resultado.
Entradas:
PID, Número de Seguro, Número de Id. Personal, núm.

de identificación personal, núm. de identificador
único, n.ºId.personal, n.ºseguro,
n.ºdeId.personal, n.ºdeId.único, núm. de identidad
personal
ประกันภัยจำนวน, หมายเลขประจำตัวส่วนบุคคล,
หมายเลขประจำตัวที่ไม่ซ้ำกัน, ประกันภัยจำนวน#,
หมายเลขประจำตัวส่วนบุคคล#, หมายเลขประจำตัวทีไ ่ มซ้ำกัน#

El número de identificación de Turquía (número T.C. Kimlik) es un número de
identificación personal único de 11 dígitos asignado a todos los ciudadanos de
Turquía.
comprobación.
Ver " Amplitud alta del número de identificación de Turquía" en la página 1228.
de comprobación.
Ver "Amplitud media del número de identificación de Turquía" en la página 1229.
con el número de identificación de Turquía.
Ver "Amplitud baja del número de identificación de Turquía" en la página 1229.
Amplitud alta del número de identificación de Turquía

comprobación.
Tabla 37-609 Patrón de amplitud alta del número de identificación de Turquía
Patrón
[123456789]\d{10}
Tabla 37-610 Validador de amplitud alta del número de identificación de Turquía
Amplitud media del número de identificación de Turquía

de comprobación.
Tabla 37-611 Patrón de amplitud media del número de identificación de Turquía
Patrón
[123456789]\d{10}
Tabla 37-612 Validadores de amplitud media del número de identificación de

Turquía
de Turquía función del resultado.

circundantes.
Amplitud baja del número de identificación de Turquía

el número de identificación de Turquía.
Tabla 37-613 Patrones de amplitud baja del número de identificación de Turquía
Patrón
[123456789]\d{10}
Número de licencia de conducir del Reino Unido

Turquía
de Turquía función del resultado.

circundantes.
Entradas:
Número de identificación, Número de identificación

personal, Id. de ciudadano, núm. de id. personal, n.º
de id., núm. de id. de ciudadano, número de identidad,
núm. de identidad personal, Kimlik Numarası, Türkiye
Cumhuriyeti Kimlik Numarası, vatandaş kimliği, kişisel
kimlik no, kimlik Numarası#, vatandaş kimlik numarası,
Kişisel kimlik Numarası

El número de licencia de conducir del Reino Unido es el número de identificación
de la licencia de conducir de un individuo emitida por la Agencia de Licencias para
Conductores y Vehículos del Reino Unido.
El identificador de datos del número de licencia de conducir del Reino Unido detecta
la presencia de números de licencia de conducir del Reino Unido.
■ Alta
Ver "Amplitud alta del número de licencia de conducir del Reino Unido"
en la página 1231.
■ Media
Ver "Amplitud media del número de licencia de conducir del Reino Unido"
en la página 1231.
■ Baja
Ver "Amplitud baja del número de licencia de conducir del Reino Unido"
en la página 1232.
Amplitud alta del número de licencia de conducir del Reino Unido

La amplitud alta detecta cadenas de 16 caracteres con el siguiente formato:
AAAAAD[0,1,5,6]DDDDAAALL, donde A es un carácter alfanumérico, D un dígito
y L una letra.
Tabla 37-615 Patrones de amplitud alta del número de licencia de conducir del
Reino Unido
Patrón
\w{5}\d[0156]\d{4}\w{3}\l{2}
\w{5} \d[0156]\d{4} \w{3}\l{2}
\w{5}\d[0156]\d{4}\w{3}\l{2}\d{2}
\w{5} \d[0156]\d{4} \w{3}\l{2}\d{2}
Amplitud media del número de licencia de conducir del Reino Unido

La amplitud media detecta cadenas de 16 caracteres con el siguiente formato:
y L una letra.
El primer dígito en la sección numérica está restringido a los números 0, 1, 5 y 6.
Además, el cuarto y el quinto dígito de la sección numérica deben estar
comprendidos entre 01 y 31 inclusive.
Tabla 37-616 Patrones de amplitud media del número de licencia de conducir del
Reino Unido
Patrón
\w{5}\d[0156]\d{4}\w{3}\l{2}
\w{5} \d[0156]\d{4} \w{3}\l{2}
\w{5}\d[0156]\d{4}\w{3}\l{2}\d{2}
\w{5} \d[0156]\d{4} \w{3}\l{2}\d{2}

Tabla 37-617 Validador de amplitud media del número de licencia de conducir

del Reino Unido
que 32.
Amplitud baja del número de licencia de conducir del Reino Unido

La amplitud baja detecta cadenas de 16 caracteres con el siguiente formato:
y L una letra.
El primer dígito está restringido a los números 0, 1, 5 y 6. Además, el cuarto y el
quinto dígito de la sección numérica deben estar comprendidos entre 01 y 31
inclusive.
Además, la amplitud baja también requiere una palabra clave relacionada con la
licencia de conducir Y una palabra clave relacionada con el Reino Unido.
Tabla 37-618 Patrones de amplitud baja del número de licencia de conducir del
Reino Unido
Patrón
\w{5}\d[0156]\d{4}\w{3}\l{2}
\w{5} \d[0156]\d{4} \w{3}\l{2}
\w{5}\d[0156]\d{4}\w{3}\l{2}\d{2}
\w{5} \d[0156]\d{4} \w{3}\l{2}\d{2}

del Reino Unido
que 32.
Número de registro electoral del Reino Unido
Encontrar palabras clave: Al menos una de las siguientes palabras clave o frases clave debe estar incluida
Relacionadas con la licencia de en los datos para generar coincidencias:
conducir
licencia de conducir, licencia conducir, licencia de conductor, licencias de
conducir, licencias de conductores, licencias de conductor, licenciar
conductor, licenciar conductores, conductor licencia, conducir licencias,
conductores licencia, licencias conductor, n.ºlc, n.ºlsc, n.ºlic, n.ºlics
Relacionadas con el Reino Unido en los datos para generar coincidencias:
británico, el reino unido, ru, reino unido, reinounido
Número de registro electoral del Reino Unido

El número de registro electoral del Reino Unido es el número de identificación
emitido a un individuo para el registro electoral del Reino Unido. El formato de este
número está especificado por los Estándares del Gobierno del Reino Unido de la
Oficina de Gabinete del Reino Unido.
El identificador de datos de número de registro electoral del Reino Unido detecta
la presencia del número de registro electoral del Reino Unido. Implementa un patrón
para detectar cadenas de 2 ó 3 letras seguidas por 1 a 4 dígitos.
Tabla 37-620 Patrón de amplitud baja del número de registro electoral del Reino
Unido
Patrón
\l{2,3}\d{1,4}
La amplitud baja del identificador de datos del número de registro electoral

implementa dos validadores que requieren una palabra clave relacionada con
número electoral y una palabra clave relacionada con Reino Unido.
Número de Servicio Nacional de Salud (NHS) del Reino Unido
Tabla 37-621 Validadores de amplitud baja del número de registro electoral del
Reino Unido
Relacionadas con el número en los datos para generar coincidencias:
electoral
# electoral, número electoral, # registro electoral, núm. de registro electoral,
número de registro electoral, #registro electoral, #electoral, númeroelectoral,
#registroelectoral, núm.registroelectoral
Relacionadas con el Reino en los datos para generar coincidencias:
Unido
británico, el reino unido, ru, reino unido, reinounido
Número de Servicio Nacional de Salud (NHS) del Reino

Unido
El número de servicio nacional de salud (NHS) del Reino Unido es el número de
identificación personal emitido por el servicio nacional de salud (NHS) del Reino
Unido para administrar la atención médica.
El identificador de datos del número de servicio nacional de salud (NHS) del Reino
Unido detecta la presencia del número de servicio nacional de salud (NHS) del
Reino Unido.
■ Media
Ver "Amplitud media del número de servicio nacional de salud (NHS) del Reino
■ Baja
Ver "Amplitud baja del número de servicio nacional de salud (NHS) del Reino
Nota: Este identificador de datos no proporciona una opción de amplitud alta.
Amplitud media del número de servicio nacional de salud (NHS) del

Reino Unido
La amplitud media implementa patrones para detectar los números en el formato
de NHS actualmente definido: DDD-DDD-DDDD (donde D es un dígito) con
diferentes separadores.
Número de Servicio Nacional de Salud (NHS) del Reino Unido
Tabla 37-622 Patrones de amplitud media del número de servicio nacional de

salud (NHS) del Reino Unido
\d{3}.\d{3}.\d{4} Patrón para detectar el formato DDD-DDD-DDDD

separado por puntos.
\d{3} \d{3} \d{4} Patrón para detectar el formato DDD-DDD-DDDD

separado por espacios.
\d{3}-\d{3}-\d{4} Patrón para detectar el formato DDD-DDD-DDDD

separado por guiones largos.
La amplitud media implementa tres validadores: uno para validar la suma de

comprobación de NHS, otro para realizar la validación numérica usando el dígito
final y un tercero que busca una palabra clave relacionada con NHS.
Tabla 37-623 Validadores de amplitud media del número de servicio nacional de


circundantes.
Encontrar palabras clave: Relacionadas con NHS Al menos una de las siguientes palabras clave o frases
coincidencias:
servicio nacional de salud, NHS
Amplitud baja del número de servicio nacional de salud (NHS) del

Reino Unido
La amplitud baja implementa patrones para detectar los números en el formato
actualmente definido: DDD-DDD-DDDD (donde D es un dígito), separado con
guiones o espacios.
Tabla 37-624 Patrones de amplitud baja del número de servicio nacional de salud
(NHS) del Reino Unido
\d{3} \d{3} \d{4} Patrón para detectar el formato DDD-DDD-DDDD

separado por espacios.
Número de seguro nacional del Reino Unido
\d{3}-\d{3}-\d{4} Patrón para detectar el formato DDD-DDD-DDDD

separado por guiones largos.
La amplitud baja implementa cuatro validadores: uno para validar la suma de

comprobación de NHS, otro para realizar la validación numérica usando el dígito
final, un tercero que requiere una palabra clave relacionada con NHS y un cuarto
que requiere una palabra clave relacionada con Reino Unido.
Tabla 37-625 Validadores de amplitud baja del número de servicio nacional de


circundantes.
Encontrar palabras clave: Relacionadas con NHS Al menos una de las siguientes palabras clave o frases
coincidencias:
servicio nacional de salud, NHS
Encontrar palabras clave: Relacionadas con el Reino Al menos una de las siguientes palabras clave o frases
Unido clave debe estar incluida en los datos para generar
coincidencias:
ru, reino unido, gran bretaña, inglaterra, gb

El número de seguro nacional del Reino Unido es emitido por el Departamento de
Trabajo y Pensiones (DWP) del Reino Unido para identificar individuos para el
programa de seguro nacional. También se lo denomina número de NI, NINO o
NINo.
El identificador de datos del número de seguro nacional del Reino Unido detecta
el número de seguro nacional del Reino Unido.
■ Alta
Ver "Amplitud alta del número de seguro nacional del Reino Unido"
en la página 1237.
■ Media
Ver "Amplitud media del número de seguro nacional del Reino Unido"
en la página 1237.
■ Baja
Ver "Amplitud baja del número de seguro nacional del Reino Unido"
en la página 1238.
Amplitud alta del número de seguro nacional del Reino Unido

La amplitud alta implementa patrones para detectar números de 9 dígitos con el
formato LL DD DD DD L (donde L es una letra y D es un dígito) sin separadores o
separados por espacios, puntos o guiones largos.
La primera y la segunda letra no pueden ser D, F, I, Q, U ni V. La segunda letra
tampoco puede ser O.
Tabla 37-626 Patrones de amplitud alta del número de seguro nacional del Reino
Unido
[A-CEGHJ-PR-TW-Z][A-CEGHJ-NPR-TW-Z].\d{2}.\d{2}.\d{2}-[ABCD] Separado por puntos.
[A-CEGHJ-PR-TW-Z][A-CEGHJ-NPR-TW-Z]\d{2}\d{2}\d{2}[ABCD] Sin separadores.
[A-CEGHJ-PR-TW-Z][A-CEGHJ-NPR-TW-Z] \d{2} \d{2} \d{2} [ABCD] Separado por espacios.
[A-CEGHJ-PR-TW-Z][A-CEGHJ-NPR-TW-Z]-\d{2}-\d{2}-\d{2}-[ABCD] Separado por guiones largos.
[A-CEGHJ-PR-TW-Z][A-CEGHJ-NPR-TW-Z] \d{6} [ABCD] Dígitos en una cadena.
Amplitud media del número de seguro nacional del Reino Unido

La amplitud media implementa patrones para detectar números de 9 dígitos con
el formato LL DD DD DD L (donde L es una letra y D es un dígito) sin separadores
o separados por espacios.
La primera y la segunda letra no pueden ser D, F, I, Q, U ni V, y la segunda letra
Tabla 37-627 Patrones de amplitud media del número de seguro nacional del
Reino Unido
[A-CEGHJ-PR-TW-Z][A-CEGHJ-NPR-TW-Z]\d{2}\d{2}\d{2}[ABCD] No delimitado.
Número de pasaporte del Reino Unido
[A-CEGHJ-PR-TW-Z][A-CEGHJ-NPR-TW-Z] \d{6} [ABCD] Caracteres en una cadena.
Amplitud baja del número de seguro nacional del Reino Unido

La amplitud baja implementa patrones para detectar números de 9 dígitos con el
formato LL DD DD DD L (donde L es una letra y D es un dígito) sin separadores o
separados por espacios.
La primera y la segunda letra no pueden ser D, F, I, Q, U ni V. La segunda letra
Tabla 37-628 Patrones de amplitud baja del número de seguro nacional del Reino
Unido
[A-CEGHJ-PR-TW-Z][A-CEGHJ-NPR-TW-Z]\d{2}\d{2}\d{2}[ABCD] No delimitado.
[A-CEGHJ-PR-TW-Z][A-CEGHJ-NPR-TW-Z] \d{6} [ABCD] Caracteres en una cadena.
La amplitud baja implementa un validador que requiere la presencia de una palabra

clave relacionada con seguro nacional.
Tabla 37-629 Validador de amplitud baja del número de seguro nacional del Reino
Unido
Relacionadas con el seguro en los datos para generar coincidencias:
núm. de seguro, número de seguro, #de seguro, númerodeseguro, número

de seguro nacional, #deseguronacional, númerodeseguronacional, nin,
nino

El número de pasaporte del Reino Unido identifica un pasaporte del Reino Unido
con la especificación oficial actual de los Estándares del Gobierno del Reino Unido
de la Oficina de Gabinete del Reino Unido.
El identificador de datos del número de pasaporte del Reino Unido detecta la

presencia del número de pasaporte del Reino Unido.
■ Alta
Ver "Amplitud alta del número de pasaporte del Reino Unido" en la página 1239.
■ Media
Ver "Amplitud media del número de pasaporte del Reino Unido" en la página 1239.
■ Baja
Ver "Amplitud baja del número de pasaporte del Reino Unido" en la página 1240.
Amplitud alta del número de pasaporte del Reino Unido

La amplitud alta detecta los números de 9 dígitos.
Nota: La amplitud alta no incluye ningún validador.
Tabla 37-630 Patrón de amplitud alta del número de pasaporte del Reino Unido
\d{9} Patrón para detectar números de 9 dígitos.
Amplitud media del número de pasaporte del Reino Unido

La amplitud media detecta los números de 9 dígitos.
Tabla 37-631 Patrón de amplitud media del número de pasaporte del Reino Unido
La amplitud media implementa tres validadores: uno para eliminar números de

prueba comunes, como 123456789; otro para eliminar números con repetición del
mismo dígito, y un tercero que requiere una palabra clave relacionada con
pasaporte.
Tabla 37-632 Validadores de amplitud media del número de pasaporte del Reino
Unido
Excluir caracteres de inicio Los datos que comiencen con cualquiera de las siguientes listas de valores no
generarán coincidencias:
123456789
Relacionadas con el pasaporte en los datos para generar coincidencias:
pasaporte, #pasaporte, IDpasaporte, númdepasaporte, númerodepasaporte
Amplitud baja del número de pasaporte del Reino Unido

La amplitud baja detecta los números de 9 dígitos.
Tabla 37-633 Patrón de amplitud baja del número de pasaporte del Reino Unido
La amplitud baja implementa cuatro validadores: uno para eliminar números de

prueba comunes, como 123456789; otro para eliminar números con repetición del
mismo dígito; un tercero que requiere una palabra clave relacionada con el
pasaporte; y un cuarto que requiere una palabra clave relacionada con el Reino
Unido.
Tabla 37-634 Validadores de amplitud baja del número de pasaporte del Reino
Unido
Excluir caracteres de inicio Los datos que comiencen con cualquiera de las siguientes listas de valores no
generarán coincidencias:
123456789
Relacionadas con el pasaporte en los datos para generar coincidencias:
pasaporte, #pasaporte, IDpasaporte, númdepasaporte, númerodepasaporte

Número de identificación fiscal del Reino Unido
Relacionadas con el Reino Unido en los datos para generar coincidencias:
ru, reino unido, gran bretaña, inglaterra, gb

El número de identificación fiscal del Reino Unido es un número de identificación
personal proporcionado por los Estándares del Gobierno del Reino Unido de la
El identificador de datos del número de identificación fiscal del Reino Unido detecta
la presencia de los números de identificación fiscal del Reino Unido.
■ Alta
Ver "Amplitud alta del número de identificación fiscal del Reino Unido"
en la página 1241.
■ Media
Ver "Amplitud media del número de identificación fiscal del Reino Unido"
en la página 1242.
■ Baja
Ver "Amplitud baja del número de identificación fiscal del Reino Unido"
en la página 1242.
Amplitud alta del número de identificación fiscal del Reino Unido

La amplitud alta detecta los números de 10 dígitos.
Nota: La amplitud alta del identificador de datos del número de identificación fiscal
del Reino Unido no incluye ningún validador.
Tabla 37-635 Patrón de amplitud alta del número de pasaporte del Reino Unido

Amplitud media del número de identificación fiscal del Reino Unido

La amplitud media detecta los números de 10 dígitos.
Tabla 37-636 Patrón de amplitud media del número de identificación fiscal del
Reino Unido
La amplitud media implementa dos validadores: uno para eliminar números de

prueba comunes, como 1234567890, y otro para eliminar números con repetición
del mismo dígito.
Tabla 37-637 Validadores de amplitud media del número de identificación fiscal

del Reino Unido
Excluir caracteres de inicio Los datos que comiencen con cualquiera de las siguientes
listas de valores no generarán coincidencias:
0123456789, 1234567890, 9876543210, 0987654321
Amplitud baja del número de identificación fiscal del Reino Unido

La amplitud baja detecta los números de 10 dígitos.
Tabla 37-638 Patrón de amplitud baja del número de identificación fiscal del
Reino Unido
La amplitud baja implementa tres validadores: uno para eliminar números de prueba
comunes, como 1234567890; otro para eliminar números con repetición del mismo
dígito, y un tercero que requiere una palabra clave relacionada con identificación
fiscal.
Pasaporte de Ucrania (nacional)

del Reino Unido
Excluir caracteres de inicio Los datos que comiencen con cualquiera de las siguientes
listas de valores no generarán coincidencias:
0123456789, 1234567890, 9876543210, 0987654321
Encontrar palabras clave: Relacionadas con la Al menos una de las siguientes palabras clave o frases
identificación fiscal clave debe estar incluida en los datos para generar
coincidencias:
id fiscal, núm. id fiscal, número de id fiscal,

identificación fiscal, # de identificación fiscal, núm.
fiscal, #fiscal, #idfiscal
Pasaporte de Ucrania (nacional)

Documento de identidad emitido para los ciudadanos de Ucrania para uso interno.
A partir de 2016, se reemplazó por la tarjeta de identidad de Ucrania, pero los
pasaportes existentes aún son válidos.
El identificador de datos del pasaporte de Ucrania (nacional) ofrece dos amplitudes
de detección:
de comprobación.
Ver "Amplitud alta del pasaporte de Ucrania (nacional)" en la página 1243.
Ver "Amplitud baja del pasaporte de Ucrania (nacional)" en la página 1244.
Amplitud alta del pasaporte de Ucrania (nacional)

comprobación.
Tabla 37-640 Patrón de amplitud alta del pasaporte de Ucrania (nacional)
Patrón
\d{9}
Tarjeta de identidad de Ucrania
Tabla 37-641 Validador de amplitud alta del pasaporte de Ucrania (nacional)
Amplitud baja del pasaporte de Ucrania (nacional)

Tabla 37-642 Patrón de amplitud baja del pasaporte de Ucrania (nacional)
Patrón
\d{9}
Tabla 37-643 Validadores de amplitud baja del pasaporte de Ucrania (nacional)

circundantes.
Entradas:
pasaporte, Pasaporte de Ucrania, número de

pasaporte, N.° de pasaporte, паспорт, паспорт
України, номер паспорта, персональний

La tarjeta de identidad de Ucrania tiene un número de registro de 15 dígitos emitido
para los ciudadanos de Ucrania. A partir de 2016, se usa como una forma de
identificación en lugar del pasaporte nacional de Ucrania.
El identificador de datos del número de la tarjeta de identidad de Ucrania
comprobación.
Ver "Amplitud alta de la tarjeta de identidad de Ucrania" en la página 1245.

de comprobación.
Ver "Amplitud media de la tarjeta de identidad de Ucrania" en la página 1245.
■ La amplitud baja detecta un número de 15 dígitos con validación de la suma
Ver "Amplitud baja de la tarjeta de identidad de Ucrania" en la página 1246.
Amplitud alta de la tarjeta de identidad de Ucrania

comprobación.
Tabla 37-644 Patrones de amplitud alta de la tarjeta de identidad de Ucrania
Patrón
\d{4}[01]\d[0123]\d-\d{7}
\d{4}[01]\d[0123]\d{8}
\d{4}[01]\d[0123]\d \d{7}
Tabla 37-645 Validador de amplitud alta de la tarjeta de identidad de Ucrania
Amplitud media de la tarjeta de identidad de Ucrania

comprobación.
Tabla 37-646 Patrones de amplitud media de la tarjeta de identidad de Ucrania
\d{4}[01]\d[0123]\d-\d{7}
\d{4}[01]\d[0123]\d{8}
\d{4}[01]\d[0123]\d \d{7}
Tabla 37-647 Validadores de amplitud media de la tarjeta de identidad de Ucrania

circundantes.
Comprobación de tarjeta de identidad de Ucrania Valida que los primeros ocho dígitos tengan un formato
correcto de fecha.
Amplitud baja de la tarjeta de identidad de Ucrania

La amplitud baja detecta un número de 15 dígitos con validación de la suma de
Tabla 37-648 Patrones de amplitud baja de la tarjeta de identidad de Ucrania
Patrón
\d{4}[01]\d[0123]\d-\d{7}
\d{4}[01]\d[0123]\d{8}
\d{4}[01]\d[0123]\d \d{7}
Tabla 37-649 Validadores de amplitud baja de la tarjeta de identidad de Ucrania

circundantes.
Comprobación de tarjeta de identidad de Ucrania Valida que los primeros ocho dígitos tengan un formato
correcto de fecha.
Entradas:
Tarjeta de Identidad de Ucrania, tarjeta de identidad,

посвідчення особи України
Pasaporte de Ucrania (internacional)
Pasaporte de Ucrania (internacional)

El identificador de datos del pasaporte de Ucrania (internacional) ofrece dos
■ La amplitud alta detecta un patrón alfanumérico de ocho caracteres sin validación
Ver "Amplitud alta del pasaporte de Ucrania (internacional)" en la página 1247.
■ La amplitud baja detecta un patrón alfanumérico de ocho caracteres sin
Ver "Amplitud baja del pasaporte de Ucrania (internacional)" en la página 1247.
Amplitud alta del pasaporte de Ucrania (internacional)

La amplitud alta detecta un patrón alfanumérico de ocho caracteres sin validación
Tabla 37-650 Patrón de amplitud alta del pasaporte de Ucrania (internacional)
Patrón
\w{2}\d{6}
Tabla 37-651 Validador de amplitud alta del pasaporte de Ucrania (internacional)
Amplitud baja del pasaporte de Ucrania (internacional)

La amplitud baja detecta un patrón alfanumérico de ocho caracteres sin validación
relacionadas.
Tabla 37-652 Patrón de amplitud baja del pasaporte de Ucrania (internacional)
Patrón
\w{2}\d{6}
Número personal de los Emiratos Árabes Unidos (EAU)
Tabla 37-653 Validadores de amplitud baja del pasaporte de Ucrania

(internacional)

circundantes.
Entradas:
pasaporte, Pasaporte de Ucrania, número de

pasaporte, n.° de pasaporte, паспорт, паспорт
України, номер паспорта

En los Emiratos Árabes Unidos, cada ciudadano o residente tiene un número de
identificación personal único. El número personal de los Emiratos Árabes Unidos
se utiliza para fines de verificación de identidad por parte del gobierno y algunas
entidades privadas.
El identificador de datos del sistema de números de los Emiratos Árabes Unidos
comprobación.
Ver "Amplitud alta del número personal de los Emiratos Árabes Unidos "
en la página 1249.
de comprobación.
Ver "Amplitud media del número personal de los Emiratos Árabes Unidos"
en la página 1249.
con el Número personal de los Emiratos Árabes Unidos.
Ver "Amplitud baja del número personal de los Emiratos Árabes Unidos"
en la página 1250.
Amplitud alta del número personal de los Emiratos Árabes Unidos

comprobación.
Tabla 37-654 Patrones de amplitud alta del número personal de los Emiratos
Árabes Unidos
Patrón
\d{15}
\d{3}-\d{4}-\d{7}-\d{1}
Tabla 37-655 Validadores de amplitud alta del número personal de los Emiratos
Árabes Unidos (EAU)
Amplitud media del número personal de los Emiratos Árabes Unidos

comprobación.
Tabla 37-656 Patrones de amplitud media del número personal de los Emiratos
Patrón
\d{15}
\d{3}-\d{4}-\d{7}-\d{1}
Tabla 37-657 Validador de amplitud media del número personal de los Emiratos

circundantes.

Número de identificación personal del contribuyente (ITIN) de los EE. UU.
Amplitud baja del número personal de los Emiratos Árabes Unidos

el Número personal de los Emiratos Árabes Unidos.
Tabla 37-658 Patrones de amplitud baja del número personal de los Emiratos
Árabes Unidos
Patrón
\d{15}
\d{3}-\d{4}-\d{7}-\d{1}
Tabla 37-659 Validadores de amplitud baja del número personal de los Emiratos
Árabes Unidos

circundantes.

Entradas:
PID, Número de Seguro, Número de Id. Personal, núm.

de identificación personal, núm. de identificación
único, núm. de identidad personal, n.ºdeId.personal,
n.ºdeseguro, n.ºId.personal, n.ºId.único
,‫ هوية فريدة‬,‫ التأمين رقم‬,‫ فريدة من نوعها هوية رقم‬,‫الهوية الشخصية رقم‬
‫التأمينرقم‬#
Número de identificación personal del contribuyente

(ITIN) de los EE. UU.
El número de identificación personal del contribuyente (ITIN) de los EE. UU. es
utilizado como número de procesamiento fiscal y es emitido por el Servicio de
Impuestos Internos (IRS). El IRS emite los ITIN para realizar el seguimiento de
individuos que no cuentan con los requisitos para obtener el Número de la Seguridad
Social (SSN).
El identificador de datos del número de identificación personal del contribuyente
(ITIN) de los EE. UU. detecta la presencia de números de ITIN de los EE. UU.
■ Alta
Ver "Amplitud alta del número de identificación personal del contribuyente (ITIN)
de los EE. UU." en la página 1251.
■ Media
Ver "Amplitud media del número de identificación personal del contribuyente
■ Baja
Ver "Amplitud baja del número de identificación personal del contribuyente
Amplitud alta del número de identificación personal del contribuyente

patrón DDD-DDD-DDD sin separadores o separados por guiones largos, espacios,
puntos o barras diagonales.
El número debe comenzar en 9, y el cuarto dígito debe ser un 7 o un 8.
Nota: La amplitud alta del identificador de datos del número de identificación

personal del contribuyente (ITIN) de los EE. UU. no incluye ningún validador.

del contribuyente (ITIN) de los EE. UU.
9\\d{2}[78]\\d\\d{4} Patrón para detectar el formato de ITIN sin separadores.
9\\d{2}\\\\[78]\\d\\\\\\d{4} Patrón para detectar el formato de ITIN sin separadores.
9\d{2}/[78]\d/\d{4} Patrón para detectar el formato de ITIN separado por

barras diagonales.
9\d{2}.[78]\d.\d{4} Patrón para detectar el formato de ITIN separado por

puntos.
9\d{2} [78]\d \d{4} Patrón para detectar el formato de ITIN separado por
espacios.
9\d{2}-[78]\d-\d{4} Patrón para detectar el formato de ITIN separado por

guiones largos.
Amplitud media del número de identificación personal del

contribuyente (ITIN) de los EE. UU.
el formato DDD-DDD-DDD separados por guiones largos, espacios o puntos.

9\d{2}.[78]\d.\d{4} El patrón para detectar el formato de ITIN separado por

puntos.
9\d{2} [78]\d \d{4} El patrón para detectar el formato de ITIN separado por
espacios.
9\d{2}-[78]\d-\d{4} El patrón para detectar el formato de ITIN separado por

guiones largos.
La amplitud media implementa un único validador para comprobar los caracteres

circundantes.
Tabla 37-662 Validador de amplitud media del número de identificación personal


circundantes.
Amplitud baja del número de identificación personal del contribuyente

patrón DDD-DDD-DDD separados por guiones largos o espacios.
Número del pasaporte de los EE. UU.

9\d{2} [78]\d \d{4} El patrón para detectar el formato de ITIN separado por
espacios.
9\d{2}-[78]\d-\d{4} El patrón para detectar el formato de ITIN separado por

guiones largos.
La amplitud baja implementa tres validadores: uno para comprobar los caracteres
circundantes, otro para asegurarse de que los dígitos en la cadena de ITIN no sean
los mismos y un tercero que requiere una palabra clave relacionada con ITIN.


circundantes.
Encontrar palabras clave: Relacionadas con ITIN Al menos una de las siguientes palabras clave o frases
coincidencias.
número de identificación personal del contribuyente,

itin, i.t.i.n.

Los pasaportes de Estados Unidos son pasaportes que se otorgan a los ciudadanos
y a los residentes no ciudadanos de los Estados Unidos de América. Son emitidos
exclusivamente por el Departamento de Estado de los EE. UU.
El identificador de datos del número de pasaporte de EE. UU. ofrece dos amplitudes
de detección:
■ La amplitud alta detecta un patrón válido de número de pasaporte de EE. UU.
Ver "Amplitud alta del número de pasaporte de EE. UU." en la página 1254.
■ La amplitud baja detecta un patrón válido de número de pasaporte de EE. UU.
Ver "Amplitud baja del número de pasaporte de EE. UU." en la página 1254.
Amplitud alta del número de pasaporte de EE. UU.

La amplitud alta detecta un patrón válido de número de pasaporte de EE. UU.
Tabla 37-665
Patrones
\d{8}
\d{9}
Tabla 37-666

circundantes.
Amplitud baja del número de pasaporte de EE. UU.

La amplitud baja detecta un patrón válido de número de pasaporte de EE. UU.
Tabla 37-667 Patrones de amplitud baja del número de pasaporte de EE. UU.
Patrones
\d{8}
\d{9}
Tabla 37-668 Validadores de amplitud baja del número de pasaporte de EE. UU.

circundantes.
Entradas:
passport, Passport, U.S. Passport, u.s. passport,

Passport Card, Passport Book, passport card, passport
book

Nota: A partir de Symantec Data Loss Prevention versión 12.5, el identificador de
datos del número de la seguridad social (SSN) de los EE. UU. es substituido por
calculado de forma aleatoria. Las plantillas de políticas que utilizan el identificador
de datos SSN de los EE. UU. se actualizan para utilizar el identificador de datos
del número de la seguridad social (SSN) de los EE. UU. calculado de forma
aleatoria. Symantec recomienda que actualice sus políticas de SSN para utilizar
el identificador de datos SSN de EE. UU aleatorio. Ver "Número de la seguridad
social (SSN) de los EE. UU. calculado de forma aleatoria" en la página 1185.
El número de identificación personal del número de la seguridad social (SSN) de

los EE. UU. es un número de identificación personal emitido por la Administración
de Seguridad Social (SSA) del Gobierno de los Estados Unidos. Aunque se usa
principalmente para administrar el programa de seguridad social, es ampliamente
utilizado como número de identificación personal en muchas situaciones.
El identificador de datos del número de la seguridad social (SSN) de los EE. UU.
detecta la presencia de números de la seguridad social de los EE. UU.
■ Alta
Ver "Amplitud alta del número de la seguridad social (SSN) de los EE. UU."
en la página 1256.
■ Media
Ver "Amplitud media del número de la seguridad social (SSN) de los EE. UU."
en la página 1257.
■ Baja
Ver "Amplitud baja (SSN) del número de la seguridad social (SSN) de los EE.
UU." en la página 1257.
Amplitud alta del número de la seguridad social (SSN) de los EE. UU.
patrón DDD-DDD-DDD sin separadores o separados por guiones largos, espacios,
puntos o barras diagonales.
Tabla 37-669 Patrones de amplitud alta del número de la seguridad social (SSN)
\d{3}-\d{2}-\d{4} Coincide con el formato de SSN estándar, que consiste en tres dígitos seguidos
por un guion, dos dígitos, un guion y otros cuatro dígitos.
\d{3}.\d{2}.\d{4} Coincide con el formato de SSN delimitado por puntos.
\d{3} \d{2} \d{4} Coincide con el formato de SSN delimitado por espacios.
\d{3}\\\d{2}\\\d{4} Coincide con el formato de SSN delimitado por barras diagonales inversas.
\d{3}/\d{2}/\d{4} Coincide con el formato de SSN delimitado por barras diagonales.
\d{9} Coincide con cualquier número de 9 dígitos que no esté delimitado.
La amplitud alta implementa tres validadores para asegurarse de que el SSN

detectado esté dentro de los rangos de números asignados válidos y eliminar los
números de prueba comunes, como 123456789, y la repetición del mismo dígito.
Tabla 37-670 Validadores de amplitud alta del número de la seguridad social

(SSN)
SSN avanzado Comprueba si el SSN contiene ceros en algún grupo, si el número de área (primer
grupo) es menor que 773 y no es 666, si el delimitador entre los grupos es el
mismo, si el número no es una repetición del mismo dígito y si el número no está
reservado para publicidad (123-45-6789, 987-65-432x).
Número de área-grupo del SSN Para un número de área determinado (primer grupo), es posible que no todos los
números de grupo (segundo grupo) hayan sido asignados por la SSA. El validador
elimina los SSN con números de grupo no válidos.

EE. UU.
el patrón DDD-DDD-DDD separados por guiones largos, espacios o puntos.
Tabla 37-671 Patrones de amplitud media del número de la seguridad social (SSN)
\d{3}-\d{2}-\d{4} Comprueba la coincidencia con el formato de SSN estándar, que consiste en tres
dígitos seguidos por un guion, dos dígitos, un guion y otros cuatro dígitos.
\d{3}.\d{2}.\d{4} Comprueba la coincidencia con el formato de SSN delimitado por puntos.
\d{3} \d{2} \d{4} Comprueba la coincidencia con el formato de SSN delimitado por espacios.
La amplitud media implementa tres validadores para asegurarse de que el SSN

detectado esté dentro de los rangos de números asignados válidos y no sea un
número de prueba común (como 123456789) ni la repetición del mismo dígito.

(SSN)
SSN avanzado Comprueba si el SSN contiene ceros en algún grupo, si el número de área (primer
grupo) es menor que 773 y no es 666, si el delimitador entre los grupos es el
mismo, si el número no es una repetición del mismo dígito y si el número no está
reservado para publicidad (123-45-6789, 987-65-432x).
Número de área-grupo del SSN Para un número de área determinado (primer grupo), es posible que no todos
los números de grupo (segundo grupo) hayan sido asignados por la SSA. El
validador elimina los SSN con números de grupo no válidos.
Amplitud baja (SSN) del número de la seguridad social (SSN) de

los EE. UU.
patrón DDD-DDD-DDD sin separadores o separados por guiones largos o espacios.
Códigos postales ZIP+4 de los EE. UU.
Tabla 37-673 Patrones de amplitud baja del número de la seguridad social (SSN)
de los EE. UU.
\d{3}-\d{2}-\d{4} Comprueba la coincidencia con el formato de SSN estándar, que consiste en

tres dígitos seguidos por un guion, dos dígitos, un guion y otros cuatro dígitos.
\d{3} \d{2} \d{4} Comprueba la coincidencia con el formato de SSN delimitado por espacios.
\d{9} Coincide con cualquier número de 9 dígitos no delimitado.
La amplitud baja implementa cuatro validadores para asegurarse de que el SSN

detectado esté dentro de los intervalos numéricos asignados válidos, no sea un
número de prueba común (como 123456789), no sea una repetición del mismo
dígito, y el mensaje que contenga el SSN incluya una palabra clave.
Tabla 37-674 Validadores de amplitud baja del número de la seguridad social

(SSN)
SSN avanzado Comprueba si el SSN contiene ceros en algún grupo, si el número de área
(primer grupo) es menor que 773 y no es 666, si el delimitador entre los grupos
es el mismo, si el número no es una repetición del mismo dígito y si el número
no está reservado para publicidad (123-45-6789, 987-65-432x).
Número de área-grupo del SSN Para un número de área determinado (primer grupo), es posible que no todos
los números de grupo (segundo grupo) hayan sido asignados por la SSA. El
validador elimina los SSN con números de grupo no válidos.
Encontrar palabras clave: Por lo menos una de las siguientes palabras o frases clave deben estar
Relacionado con la seguridad social presentes para que los datos coincidan:
número de la seguridad social, ssn, ss#

En Estados Unidos, un código ZIP + 4 usa el código básico de 5 dígitos más 4
dígitos adicionales para identificar un segmento geográfico dentro del área de
entrega de 5 dígitos que podría usar un identificador adicional para agilizar la
clasificación y la entrega del correo.
El identificador de datos de los códigos postales ZIP+4 de los EE. UU. proporciona
■ La amplitud alta detecta un patrón válido de código postal ZIP+4 de los EE. UU.
Ver "Amplitud alta de los códigos postales ZIP+4 de los EE. UU."
en la página 1259.
■ La amplitud media detecta un patrón válido de código postal ZIP+4 de los
EE. UU. Además valida la suma de comprobación.
Ver "Amplitud media de los códigos postales ZIP+4 de los EE. UU."
en la página 1259.
■ La amplitud baja detecta un patrón válido de código postal ZIP+4 de los EE. UU.
Además valida la suma de comprobación y requiere la presencia de palabras
claves relacionadas.
Ver "Amplitud baja de los códigos postales ZIP+4 de los EE. UU."
en la página 1260.
Amplitud alta de los códigos postales ZIP+4 de los EE. UU.

La amplitud alta detecta un patrón válido de código postal ZIP+4 de los EE. UU.
Tabla 37-675 Patrones de amplitud alta de los códigos postales ZIP+4 de los
EE. UU.
Patrón
\l{2}[ ]\d{5}[-]\d{4}
\l{2}[ ]\d{9}
Tabla 37-676 Validador de amplitud alta de los códigos postales ZIP+4 de los
EE. UU.
000000000, 111111111, 222222222, 333333333,

444444444, 555555555, 666666666, 777777777,
888888888, 999999999
Amplitud media de los códigos postales ZIP+4 de los EE. UU.

La amplitud media detecta un patrón válido de código postal ZIP+4 de los EE. UU.
Además valida la suma de comprobación.
Tabla 37-677 Patrones de amplitud media de los códigos postales ZIP+4 de los
EE. UU.
Patrones
\l{2}[ ]\d{5}[-]\d{4}
\l{2}[ ]\d{9}
Tabla 37-678 Validadores de amplitud media de los códigos postales ZIP+4 de

los EE. UU.
000000000, 111111111, 222222222, 333333333,

444444444, 555555555, 666666666, 777777777,
888888888, 999999999
Comprobación de validación de los códigos postales ZIP+4 Computa la suma de comprobación y valida el patrón en
Amplitud baja de los códigos postales ZIP+4 de los EE. UU.

La amplitud baja detecta un patrón válido de código postal ZIP+4 de los EE. UU.
Además valida la suma de comprobación y requiere la presencia de palabras claves
relacionadas.
Tabla 37-679 Patrones de amplitud baja de los códigos postales ZIP+4 de los
EE. UU.
Patrones
\l{2}[ ]\d{5}[-]\d{4}
\l{2}[ ]\d{9}
Número de identificación nacional de Venezuela
Tabla 37-680 Validadores de amplitud baja de los códigos postales ZIP+4 de los
EE. UU.
000000000, 111111111, 222222222, 333333333,

444444444, 555555555, 666666666, 777777777,
888888888, 999999999
Comprobación de validación de los códigos postales ZIP+4 Computa la suma de comprobación y valida el patrón en
Entradas:
US zip code, zip code, zip+4 code, US zip+4 code

En Venezuela, cada ciudadano y residente tiene un número de identificación
nacional único de Venezuela (Cédula de Identidad de Venezuela). El número de
identificación nacional de Venezuela se usa en los documentos de identidad, lo
cual permite hacer coincidir el número con una persona.
Ver "Amplitud alta del número de identificación nacional de Venezuela"
en la página 1262.
Ver "Amplitud media del número de identificación nacional de Venezuela "
en la página 1262.
■ La amplitud baja detecta un identificador alfanumérico de 10 dígitos que aprueba
una palabra clave relacionada con Número de Id. nacional de Venezuela.
Ver "Amplitud baja del número de identificación nacional de Venezuela"
en la página 1263.
Amplitud alta del número de identificación nacional de Venezuela

Tabla 37-681 Patrones de amplitud alta del número de identificación nacional de

Venezuela
Patrón
[VEJPGvejpg][-]\d{2}.\d{3}.\d{3}[-]\d
[VEJPGvejpg][-]\d{8}[-]\d
[VEJPGvejpg]\d{9}
Tabla 37-682 Validador de amplitud alta del número de identificación nacional

de Venezuela
Amplitud media del número de identificación nacional de Venezuela

Tabla 37-683 Patrones de amplitud media del número de identificación nacional

de Venezuela
Patrón
[VEJPGvejpg][-]\d{2}.\d{3}.\d{3}[-]\d
[VEJPGvejpg]\d{9}
Tabla 37-684 Validador de amplitud media del número de identificación nacional

de Venezuela

circundantes.
Comprobación de validación del número de Id. nacional Computa la suma de comprobación y valida el patrón en
de Venezuela función del resultado.
Amplitud baja del número de identificación nacional de Venezuela

La amplitud baja detecta un identificador alfanumérico de 10 dígitos que aprueba
la validación de la suma de comprobación. Además requiere la presencia de una
palabra clave relacionada con Número de identificación nacional de Venezuela.
Tabla 37-685 Patrones de amplitud baja del número de identificación nacional

de Venezuela
Patrón
[VEJPGvejpg][-]\d{2}.\d{3}.\d{3}[-]\d
[VEJPGvejpg]\d{9}
Tabla 37-686 Validadores de amplitud baja del número de identificación nacional

de Venezuela

circundantes.
Comprobación de validación del número de Id. nacional Computa la suma de comprobación y valida el patrón en
de Venezuela función del resultado.
Entradas:
número de Id. nacional, NID, número de identificación

nacional, núm. de Id. nacional, PID, número de seguro,
número de Id. personal, núm. de identificación
personal, núm. de identificación único,
n.ºdeId.personal, n.ºdeId.único, n.ºdeId.nacional,
n.ºdeidentidadnacional, cédula de identidad número,
clave única de identidad, personal de identidad clave,
personal de identidad, número de identificación
nacional, número ID nacional
Capítulo 38
Biblioteca de plantillas de
políticas
■ Plantilla de políticas del informe de Caldicott
■ Plantilla de políticas de los números de seguro social de Canadá
■ Plantilla de políticas de la Ley CAN-SPAM
■ Plantilla de política de Ley 1581 de protección de datos personales de Colombia
■ Plantilla de políticas de sitios comunes de carga de spyware
■ Plantilla de políticas de las comunicaciones con competidores
■ Plantilla de políticas de documentos confidenciales
■ Plantilla de políticas de los números de tarjeta de crédito
■ Plantilla de políticas de protección de datos de clientes
■ Plantilla de la políticas de la Ley de Protección de Datos del año 1998
■ Plantilla de políticas de la protección de datos (UE)
■ Plantilla de políticas Clasificación de GENSER del Sistema de Mensajes de

Defensa (DMS)
■ Plantilla de políticas de documentos de diseño
■ Plantilla de políticas de la protección de datos de empleados
■ Plantilla de políticas de datos cifrados
■ Plantilla de políticas de Regulaciones de Administración de Exportaciones (EAR)

Biblioteca de plantillas de políticas 1266
■ Plantilla de políticas de FACTA 2003 (reglas de alerta)
■ Plantilla de políticas de información financiera
■ Plantilla de políticas de sitios web prohibidos
■ Plantilla de políticas de apuestas
■ Regulación general de protección de datos (sectores bancario y financiero)
■ Regulación general de protección de datos (identidad digital)
■ Regulación general de protección de datos (identificación gubernamental)
■ Regulación general de protección de datos (atención sanitaria y seguros)
■ Regulación general de protección de datos (perfil personal)
■ Regulación general de protección de datos (viaje)
■ Plantilla de políticas de Gramm-Leach-Bliley
■ Plantilla de la política HIPAA e HITECH (incluida PHI [del inglés Protected Health
Information: Información Protegida sobre la Salud])
■ Plantilla de políticas de la Ley de Derechos Humanos del año 1998
■ Plantilla de políticas de drogas ilegales
■ Plantilla de políticas de números de Identificación Personal del Contribuyente

(ITIN)
■ Plantilla de políticas de Regulaciones de Tráfico Internacional de Armas (ITAR)
■ Plantilla de políticas Archivos de soportes
■ Plantilla de políticas Acuerdos de fusión y adquisición
■ Plantilla de políticas de regla 2711 de NASD y reglas 351 y 472 de NYSE
■ Plantilla de políticas de regla 3010 de NASD y regla 342 de NYSE
■ Plantilla de políticas de Pautas de seguridad para empresas de electricidad del

NERC
■ Plantilla de políticas Diagramas de red
■ Plantilla de políticas Seguridad de la red
■ Plantilla de políticas Vocabulario ofensivo
■ Plantilla de políticas de la Oficina de Control de Activos Internacionales (OFAC)

■ Plantilla de políticas de Regulaciones FIPS 199 y Memorándum 06-16 de la

OMB
■ Plantilla de políticas Archivos de contraseña
■ Plantilla de políticas Estándar de Seguridad de los Datos para la Industria de

Pagos con Tarjeta de Crédito (PCI)
■ Plantilla de políticas PIPEDA
■ Plantilla de políticas Información sobre precios
■ Plantilla de políticas Datos de proyectos
■ Plantilla de políticas Archivos de soportes propietarios
■ Plantilla de políticas Documentos de publicación
■ Plantilla de políticas Vocabulario racista
■ Plantilla de políticas Archivos restringidos
■ Plantilla de políticas Destinatarios restringidos
■ Plantilla de políticas Currículum vítae
■ Plantilla de políticas Sarbanes-Oxley
■ Plantilla de políticas Regulación de divulgación equitativa de la SEC
■ Plantilla de políticas Vocabulario sexualmente explícito
■ Plantilla de políticas Código fuente
■ Plantilla de la política Leyes estaduales de privacidad de datos
■ Plantilla de políticas Códigos SWIFT
■ Plantilla de políticas Symantec DLP Awareness and Avoidance
■ Plantilla de políticas de números de licencia de conducir del Reino Unido
■ Plantilla de políticas Números de registro electoral del Reino Unido
■ Plantilla de políticas de número de servicio nacional de salud (NHS) del Reino

Unido
■ Plantilla de políticas Números de seguro nacional del Reino Unido
■ Plantilla de políticas Números de pasaporte del Reino Unido
■ Plantilla de políticas Números de identificación fiscal del Reino Unido

Plantilla de políticas del informe de Caldicott
■ Plantilla de políticas Marcaciones de control de inteligencia de los EE. UU.

(CAPCO) y DCID 1/7
■ Plantilla de políticas de números de la seguridad social de los EE. UU.
■ Plantilla de políticas de violencia y armas
■ Plantilla de políticas Correo web
■ Plantilla de políticas Actividad en paneles de mensajes de Yahoo!
■ Plantilla de políticas Mensajería Yahoo! y MSN en el puerto 80

El Director general de salud del Reino Unido solicitó el Informe de Caldicott
(diciembre de 1997) con el objetivo de mejorar el método de administración y
protección de la información de los pacientes por parte del Servicio Nacional de
Salud. La Comisión de Caldicott analizó la confidencialidad de datos del Servicio
Nacional de Salud (NHS) con fines diferentes a los de cuidado directo, realizar una
investigación sobre medicina o determinar casos con requisitos legales de
información. Sus recomendaciones ahora se están poniendo en práctica en el NHS
y en la Agencia de Protección de la Salud.
enfermedades se actualizaron con palabras clave recientes basadas en la
información de la Administración de Alimentos y Fármacos (FDA) de EE. UU. y
otras fuentes.
Tabla 38-1 Reglas de la plantilla de la política del informe de Caldicott
Regla Tipo Descripción
Palabras clave Regla compuesta de Esta regla compuesta busca una coincidencia entre los campos de
relacionadas con EDM y palabras clave datos siguientes de EDM conjuntamente con una palabra clave del
fármaco y datos del diccionario de "nombres de fármacos de venta con receta”. Las dos
paciente condiciones se deben cumplir para que la regla active un incidente.
■ Número de cuenta
■ Correo electrónico
■ Número de tarjeta de identificación
■ Apellidos
■ Teléfono
■ Número de NHS (Servicio Nacional de Salud) del Reino Unido
■ NIN (número de seguro nacional) del Reino Unido
relacionadas con EDM y palabras clave datos siguientes de EDM conjuntamente con una palabra clave del
enfermedad y datos diccionario de palabras clave relacionadas con “nombres de
del paciente enfermedades”. Las dos condiciones se deben cumplir para que la
regla active un incidente.
■ Apellidos
■ Teléfono
relacionadas con EDM y palabras clave datos siguientes de EDM conjuntamente con una palabra clave "del
tratamiento y datos diccionario de “palabras clave relacionadas con tratamiento médico”.
del paciente Las dos condiciones se deben cumplir para que la regla active un
incidente:
■ Apellidos
■ Teléfono
Plantilla de políticas de los números de seguro social de Canadá
Palabras clave Regla simple de DCM Esta regla busca una palabra clave del diccionario de “palabras clave
relacionadas con relacionadas con el NIN del Reino Unido” junto con un patrón que
fármaco y número coincida con el identificador de datos del NIN del Reino Unido y una
de NHS del Reino palabra clave del diccionario de "nombres de fármacos de venta con
Unido receta”.
Palabras clave Regla simple de DCM Esta regla busca una palabra clave del diccionario de “palabras clave
relacionadas con relacionadas con el NIN del Reino Unido” junto con un patrón que
enfermedad y el coincida con el identificador de datos del NIN del Reino Unido y una
número de NHS del palabra clave del diccionario de palabras clave relacionadas con
Reino Unido "nombres de enfermedades".
Palabras clave Regla simple de DCM Esta regla busca una palabra clave del diccionario de "palabras clave
relacionadas con relacionadas con el NIN del Reino Unido" junto con un patrón que
tratamiento y coincida con el identificador de datos del NIN del Reino Unido y una
número de NHS del palabra clave del diccionario de "palabras clave relacionadas con
Reino Unido tratamiento médico".

Plantilla de políticas de los números de seguro social

de Canadá
Esta política detecta los patrones que indican que los Números de seguro social
de Canadá (SIN) están en peligro de exposición.
Regla de DCM Números de seguro social de Canadá
Esta regla busca una coincidencia con el identificador de datos de

números de seguro social de Canadá y una palabra clave del diccionario
de “palabras de números de seguro social de Canadá”.

Plantilla de políticas de la Ley CAN-SPAM
Plantilla de políticas de la Ley CAN-SPAM

La Ley de Control de Pornografía y Mercadeo No Solicitados (CAN-SPAM) establece
requisitos para quienes envían mensajes de correo electrónico comercial.
La plantilla de la Ley CAN-SPAM detecta actividad del programa de envío de correo
masivo de la organización para ayudar a garantizar el cumplimiento de los requisitos
de la Ley CAN-SPAM.
La excepción de detección Excluir mensajes de correo electrónico que
contengan las palabras clave indicadas permite que pasen los mensajes que
tienen una o más palabras clave del diccionario de “palabras clave de la excepción
de CAN-SPAM” definido por el usuario.
Tabla 38-2 Excepción de detección: Excluir mensajes de correo electrónico que

contengan las palabras clave indicadas
Método Condición Configuración
Excepción simple El contenido coincide Excluir mensajes de correo electrónico que contengan las palabras
con la palabra clave clave indicadas (coincidencia de palabras clave):
(DCM)
■ Palabra clave de coincidencia de “[dirección postal física]” o
“anuncio”.
■ Buscar en sobre, asunto, cuerpo, archivos adjuntos.
■ No distingue mayúsculas y minúsculas.
■ Establecer coincidencia solo con palabras completas.
Nota: Una vez que se definen las palabras clave, se puede elegir
contar todas las coincidencias y necesitar 2 palabras clave de la
lista para coincidir.
La excepción de detección Mensajes de correo electrónico que cumplen con

CAN-SPAM excluye de la detección contenido de documentos del índice
seleccionado de IDM con una coincidencia del 100%.
Plantilla de política de Ley 1581 de protección de datos personales de Colombia
Tabla 38-3 Excepción de detección: Mensajes de correo electrónico que cumplen

con CAN-SPAM
Excepción simple El contenido coincide Excepción para mensajes de correo electrónico que cumplen con
con el perfil del CAN-SPAM (IDM):
documento (IDM)
■ Coincidencia exacta del contenido (100%)
■ Buscar en el cuerpo del mensaje y los archivos adjuntos.
■ Comprobar si existe.
Si una excepción no se resuelve, la regla de detección Supervisar correo

electrónico que proviene de programas de envío de correo masivo busca la
dirección de correo electrónico de un remitente que coincida con una de la lista
“Dirección de correo electrónico de envío de correo masivo”, que es definida por
el usuario.
Tabla 38-4 Regla de detección: Supervisar correo electrónico que proviene de

programas de envío de correo masivo
Regla simple El remitente/usuario Supervisar correo electrónico que proviene de programas de envío de
coincide con el patrón correo masivo (remitente):
(DCM)
■ Coincidir patrones del remitente: [bulk-mailer@company.com]
(definido por el usuario)
■ Gravedad: Alta.

Plantilla de política de Ley 1581 de protección de

datos personales de Colombia
La plantilla de la política de la ley 1581 de protección de datos personales de
Colombia detecta los datos personales de los ciudadanos colombianos en riesgo
de exposición.
Plantilla de políticas de sitios comunes de carga de spyware
Tabla 38-5
Número de la dirección de Regla de Esta regla detecta las direcciones de calle de Colombia que usan el
Colombia (identificadores de DCM identificador de datos de las direcciones de Colombia.
datos)
Número de teléfono celular de Regla de Esta regla detecta los números de teléfono celular de Colombia
Colombia (identificadores de DCM usando el identificador de datos del número de teléfono celular de
datos) Colombia.
Número de identificación Regla de Esta regla detecta los números de identificación personal de
personal de Colombia DCM Colombia usando el identificador de datos del número de
(identificadores de datos) identificación personal de Colombia.
Número de identificación del Regla de Esta regla detecta los números de identificación del contribuyente
contribuyente de Colombia DCM de Colombia usando el identificador de datos del número de
(identificadores de datos) identificación del contribuyente de Colombia.

Plantilla de políticas de sitios comunes de carga de

spyware
La política de sitios comunes de carga de spyware detecta el acceso a los sitios
web comunes de carga de spyware.
Regla de DCM Sitios web prohibidos 1
Esta es una regla compuesta que busca direcciones IP especificadas

o URL en el diccionario de "sitios web prohibidos 1".
Regla de DCM Sitios web prohibidos 2
Esta regla busca una coincidencia de una URL especificada en el

diccionario de "sitios web prohibidos 2".

Plantilla de políticas de las comunicaciones con competidores
Plantilla de políticas de las comunicaciones con

competidores
La política de comunicaciones con competidores detecta comunicaciones prohibidas
con los competidores.
Regla de DCM Lista de competidores
Esta regla busca las palabras clave (dominios) del diccionario de

“Dominios de competidores”, que es definido por el usuario.

Plantilla de políticas de documentos confidenciales

Esta política detecta los documentos confidenciales de la compañía en peligro de
exposición.
Tabla 38-6 Reglas que componen la plantilla de documentos confidenciales
Documentos confidenciales, Regla simple de IDM con Esta regla busca contenido de documentos específicos
indizados una condición registrados como confidenciales; devuelve una coincidencia
si se encuentra el 80% o más del documento de origen.
Si no cuenta con un perfil de documento indizado
configurado, esta regla se omite.
Plantilla de políticas de los números de tarjeta de crédito
Documentos confidenciales Regla compuesta de DCM: Esta regla busca una combinación de palabras clave en
archivo adjunto/tipo de la lista de “palabras claves relacionadas con Confidencial”
archivo y coincidencia de y en los siguientes tipos de archivo:
palabras clave. Ambas
■ Macro de Microsoft Excel
condiciones deben coincidir
■ Microsoft Excel
para que la regla active un
incidente. ■ Hoja de cálculo de Microsoft Works
■ Hoja de cálculo de SYLK
■ Corel Quattro Pro
■ Hoja de cálculo de Multiplan
■ Valores separados por comas
■ Applix Spreadsheets
■ Lotus 1-2-3
■ Microsoft Word
■ Adobe PDF
■ Microsoft PowerPoint
Documentos propietarios Regla compuesta de DCM: Esta regla compuesta busca una combinación de palabras
archivo adjunto/tipo de clave del diccionario de “palabras clave relacionadas con
archivo y coincidencia de la propiedad” y de los tipos de archivos especificados
palabras clave anteriormente.
Documentos de uso interno Regla compuesta de DCM: Esta regla compuesta busca una combinación de palabras
solamente archivo adjunto/tipo de clave del diccionario de “palabras clave relacionadas con
archivo y coincidencia de el uso interno solamente” y de los tipos de archivos
palabras clave especificados anteriormente.
Documentos cuya Regla compuesta de DCM: Esta regla compuesta busca una combinación de palabras
distribución está prohibida archivo adjunto/tipo de clave del diccionario de “palabras cuya distribución está
archivo y coincidencia de prohibida” y de los tipos de archivos especificados
palabras clave anteriormente.

Plantilla de políticas de los números de tarjeta de

crédito
Esta política detecta los patrones que indican que los números de tarjeta de crédito
están en peligro de exposición.
Plantilla de políticas de protección de datos de clientes
Regla de DCM Números de tarjeta de crédito, todos
Esta regla busca una coincidencia con el patrón del sistema de números
de tarjeta de crédito y una palabra clave del diccionario de “palabras
clave relacionadas con el número de tarjeta de crédito”.

Plantilla de políticas de protección de datos de

clientes
Esta política detecta datos de clientes en peligro de exposición.
Tabla 38-7 Condiciones de EDM para la plantilla de la política de protección

de datos de clientes
Nombre de la regla Tipo Descripción Detalles
Combinaciones de Regla de EDM Esta regla busca nombres de usuario y Sin embargo, las
nombre de las contraseñas junto con tres o más de combinaciones siguientes
usuario/contraseña los siguientes campos: no son una infracción:
■ SSN ■ Teléfono, correo

■ Teléfono electrónico y apellidos
■ Correo electrónico ■ Correo electrónico,
■ Nombre nombre y apellidos
■ Apellidos ■ Teléfono, nombre y
apellidos
■ Número de tarjeta bancaria
■ Número de seguro nacional del
Reino Unido
Plantilla de políticas de protección de datos de clientes
Fecha de nacimiento Regla de EDM Esta regla busca cualquiera de las tres Sin embargo, las
zonas siguientes de datos en combinaciones siguientes
combinación: no son una infracción:
■ SSN ■ Teléfono, correo
■ Teléfono electrónico y nombre
■ Correo electrónico ■ Teléfono, correo
■ Nombre electrónico y apellidos
■ Apellidos ■ Correo electrónico,
nombre y apellidos
■ Teléfono, nombre y
apellidos
■ Número de seguro nacional del
Reino Unido
■ Fecha de nacimiento
SSN o CCN exactos Regla de EDM Esta regla busca un número de la

seguridad social o un número de tarjeta
bancaria exacto.
Directorio del cliente Regla de EDM Esta regla busca el teléfono o el correo
electrónico.
Tabla 38-8 Condiciones de DCM para la plantilla de la política de protección

de datos de clientes
Patrones del número de la Regla compuesta Esta regla busca una coincidencia con Ver "Número de la
seguridad social de los de DCM el identificador de datos del número de seguridad social (SSN) de
EE. UU. la seguridad social de los EE. UU. los EE. UU. calculado de
calculado de forma aleatoria y una forma aleatoria"
palabra clave del diccionario de en la página 1185.
“palabras clave relacionadas con el
SSN de los EE. UU.”.
Números de tarjeta de Regla compuesta Esta regla busca una coincidencia con Ver "Número de tarjeta de
crédito, todos de DCM el patrón del sistema de números de crédito " en la página 1012.
tarjeta de crédito y una palabra clave
del diccionario de “palabras clave
relacionadas con el número de tarjeta
de crédito”.
Plantilla de la políticas de la Ley de Protección de Datos del año 1998
Números de ABA Regla compuesta Esta regla busca una coincidencia con Ver "Número de
de DCM el identificador de datos del número de enrutamiento de ABA"
ABA y una palabra clave del diccionario en la página 938.
de “palabras clave relacionadas con el
número de ABA”.

Plantilla de la políticas de la Ley de Protección de

Datos del año 1998
Los estándares establecidos por la Ley de Protección de Datos del año 1998
(reemplazo de la Ley de Protección de Datos del año 1984) que deben ser
satisfechos al obtener, llevar a cabo, utilizar o disponer de datos personales en el
Reino Unido. La Ley de Protección de Datos del año 1998 cubre cualquier
documento con información de identificación personal (como datos sobre salud
personal, empleo, medicina de trabajo, finanzas, proveedores y contratistas).
Plantilla de la políticas de la Ley de Protección de Datos del año 1998
Tabla 38-9 Ley de Protección de Datos del año 1998, regla de detección de
datos personales
Descripción
Esta regla de EDM busca tres de las columnas de datos siguientes: Sin embargo, las combinaciones siguientes no
son un incidente:
■ NIN (número de seguro nacional)
■ Número de cuenta ■ Nombre, apellidos, pin
■ Pin ■ Nombre, apellidos, contraseña

■ Número de tarjeta bancaria ■ Nombre, apellidos, dirección de correo
■ Nombre electrónico
■ Apellidos ■ Nombre, apellidos, número de teléfono
■ Licencia de conducir ■ Nombre, apellidos, apellidos de soltera de la
madre
■ Contraseña
■ Id. de contribuyente
■ Número de NHS del Reino Unido
■ Apellidos de soltera de la madre
Tabla 38-10 Reglas de detección adicionales en la plantilla de políticas de la Ley

de Protección de Datos del año 1998
Descripción
La regla de Números de registro electoral del Reino Unido implementa el identificador de datos de números de
registro electoral del Reino Unido.
Ver "Número de registro electoral del Reino Unido" en la página 1233.
La regla de Números de seguro nacional del Reino Unido implementa la edición estrecha de la amplitud del
identificador de datos de números de seguro nacional del Reino Unido.
Ver "Número de seguro nacional del Reino Unido" en la página 1236.
La regla de Números de identificación fiscal del Reino Unido implementa la edición estrecha del identificador de
datos de números de identificación fiscal del Reino Unido.
Ver "Número de identificación fiscal del Reino Unido" en la página 1241.
La regla de Números de permiso de conducción británico implementa la edición estrecha de la amplitud del
identificador de datos de números de licencias de conducir del Reino Unido.
Ver "Número de licencia de conducir del Reino Unido" en la página 1230.

Plantilla de políticas de la protección de datos (UE)
Descripción
La regla de Números de pasaporte del Reino Unido implementa la edición estrecha de la amplitud del identificador
de datos de números de pasaporte del Reino Unido.
Ver "Número de pasaporte del Reino Unido" en la página 1238.
La regla de Números de NHS del Reino Unido implementa la edición estrecha de la amplitud del identificador de
datos de números de Servicio Nacional de Salud (NHS) del Reino Unido.
Ver "Número de Servicio Nacional de Salud (NHS) del Reino Unido" en la página 1234.


Directivas 95/46/EC del acuerdo del Parlamento Europeo con respecto a la
protección de individuos con respecto al proceso y a la libre circulación de datos
personales. Esta política detecta datos personales específicos de las políticas de
la UE.
Tabla 38-11
Método Descripción
Regla de EDM Políticas de protección de datos de la UE

Esta regla busca elementos en cualquiera de las dos columnas siguientes de datos:
■ Apellidos
■ Número de licencia de conductor
■ PIN
■ Número de cuenta médica
■ Número de Id. de tarjeta médica
■ Contraseña
■ Teléfono
Sin embargo, las combinaciones siguientes no crean una coincidencia:
■ Apellidos, correo electrónico

■ Apellidos, teléfono
■ Apellidos, número de cuenta
■ Apellidos, nombre de usuario
Regla de EDM Protección de datos de la UE, información de contacto
Esta regla busca elementos en cualquiera de las dos columnas siguientes de datos: apellidos,
teléfono, número de cuenta, nombre de usuario y correo electrónico.
Excepción Excepción del correo electrónico interno de la UE
Esta regla es una excepción si el destinatario está dentro de la UE. Esto abarca destinatarios con
cualquier código de país del diccionario de “códigos de país de la UE”.

Plantilla de políticas Clasificación de GENSER del Sistema de Mensajes de Defensa (DMS)
Plantilla de políticas Clasificación de GENSER del

Sistema de Mensajes de Defensa (DMS)
La Agencia de sistemas de información de defensa ha establecido pautas para las
marcaciones, las categorías y las clasificaciones de mensajes de los Servicios
Generales (GENSER) del Sistema de Mensajes de Defensa (DMS). Estos
estándares especifican cómo marcar documentos clasificados y confidenciales
según los estándares de los EE. UU. Estos estándares, además, proporcionan
interoperabilidad con los países de la OTAN y otros aliados de los EE. UU.
La plantilla de políticas de GENSER impone pautas de GENSER, ya que detecta
información que se clasifica como confidencial. La plantilla contiene cuatro reglas
de detección simples (condición única) de coincidencia de palabras clave (DCM).
Si alguna condición de regla coincide, la política informa un incidente.
La regla de detección Información altamente secreta (coincidencia de palabras
clave) busca cualquier palabra clave en el diccionario de “información altamente
secreta”.
Tabla 38-12 Regla de detección: Información altamente secreta (coincidencia

de palabras clave)
Regla simple El contenido Información altamente secreta (coincidencia de palabras clave):

coincide con la
■ Diccionario de palabras clave: "ALTAMENTE SECRETA/"
palabra clave (DCM)
■ Gravedad: Alta
■ Distinguir mayúsculas y minúsculas.
■ Establecer coincidencia con palabras completas o parciales.
La regla de detección Información secreta (coincidencia de palabras clave) busca

cualquier palabra clave en el diccionario de “información secreta”.
Plantilla de políticas Clasificación de GENSER del Sistema de Mensajes de Defensa (DMS)
Tabla 38-13 Regla de detección: Información secreta (coincidencia de palabras

clave)
Regla simple El contenido coincide Información secreta (coincidencia de palabras clave):

con la palabra clave
■ Diccionario de palabras clave: "SECRETA//"
(DCM)
■ Gravedad: Alta
La regla de detección Información clasificada o restringida (coincidencia de

palabras clave) busca cualquier palabra clave en el diccionario de “información
clasificada o restringida”.
Tabla 38-14 Regla de detección: Información clasificada o restringida

(coincidencia de palabras clave)
Regla simple El contenido coincide Información clasificada o restringida (coincidencia de palabras clave):
■ Diccionario de palabras clave: "CLASIFICADA//,//RESTRINGIDA//"
(DCM)
■ Gravedad: Alta
La regla de detección Otra información confidencial busca cualquier palabra

clave en el diccionario de “otra información confidencial”.
Plantilla de políticas de documentos de diseño
Tabla 38-15 Regla de detección Otra información confidencial
Regla simple El contenido coincide Otra información confidencial (coincidencia de palabras clave):
■ Diccionario de palabras clave: INFORMACIÓN NUCLEAR
(DCM)
CONTROLADA SIN CLASIFICAR DEL DEPARTAMENTO DE
DEFENSA ÚNICAMENTE PARA DE USO OFICIAL, CONFIDENCIAL
PERO SIN CLASIFICAR
■ Gravedad: Alta

Plantilla de políticas de documentos de diseño

Esta política detecta diversos tipos de documentos de diseño, tales como CAD/CAM,
en peligro de exposición.
Regla de IDM Documentos del diseño, indizados
Esta regla busca contenido de documentos específicos de diseño

registrados como propietarios. Devuelve una coincidencia si el motor
detecta el 80% o más del documento de origen.
Regla de DCM Extensiones del documento de diseño
Esta regla busca extensiones del nombre de archivo especificadas

encontradas en el diccionario de “extensiones del documento de
diseño”.
Regla de DCM Documentos de diseño
Esta regla busca los siguientes tipos específicos de archivo:
■ cad_draw
■ dwg
Nota: Se usan tanto los tipos como las extensiones del nombre de archivo porque
la política no detecta el tipo verdadero de archivo para todos los documentos
necesarios.
Plantilla de políticas de la protección de datos de empleados

Plantilla de políticas de la protección de datos de

empleados
Esta política detecta datos de empleados en peligro de exposición.
Tabla 38-16 Reglas de EDM para protección de datos de empleados
Nombre Tipo Descripción
Combinaciones de nombre de Regla de EDM Esta regla busca nombres de usuario y contraseñas junto
usuario/contraseña con cualquiera de las tres zonas siguientes de datos.
■ SSN
■ Teléfono
■ Nombre
■ Apellidos
Directorio de empleados Regla de EDM Esta regla busca el teléfono o el correo electrónico.
Tabla 38-17 Reglas de DCM para protección de datos de empleados
Patrones del número de la Regla de DCM Esta regla busca una coincidencia del identificador de
seguridad social de los EE. UU. datos del número de la seguridad social (SSN) de los EE.
UU. calculado de forma aleatoria y una palabra clave del
diccionario de “palabras clave de SSN de los EE. UU.”.
Ver "Número de la seguridad social (SSN) de los EE. UU.

calculado de forma aleatoria" en la página 1185.
Plantilla de políticas de datos cifrados
Números de tarjeta de crédito, Regla de DCM Esta regla busca una coincidencia con el patrón del
todos sistema de números de tarjeta de crédito y una palabra
clave del diccionario de “palabras clave relacionadas con
el número de tarjeta de crédito”.
Ver "Número de tarjeta de crédito " en la página 1012.
Números de ABA Regla de DCM Esta regla busca una coincidencia con el identificador de
datos del número de ABA y una palabra clave del
diccionario de “palabras clave relacionadas con el número
de ABA”.
Ver "Número de enrutamiento de ABA" en la página 938.

Plantilla de políticas de datos cifrados

Esta política detecta el uso del cifrado de una variedad de métodos incluidos
S/MIME, PGP, GPG y la protección por contraseña del archivo.
Regla de DCM Archivos protegidos por contraseña
Esta regla busca los tipos siguientes de archivo: cifrado_zip,

cifrado_doc, cifrado_xls o cifrado_ppt.
Regla de DCM Archivos de PGP
Esta regla busca los tipos siguientes de archivos: PGP.
Regla de DCM Archivos GPG
Esta regla busca una palabra clave del diccionario de “palabras clave
relacionadas con el cifrado de GPG”.
Regla de DCM S/MIME
relacionadas con el cifrado de S/MIME”.
Regla de DCM Transmisiones HushMails
Esta regla busca una coincidencia de una lista de URL receptoras.

Plantilla de políticas de Regulaciones de Administración de Exportaciones (EAR)
Plantilla de políticas de Regulaciones de

Administración de Exportaciones (EAR)
El Departamento de Comercio de los EE. UU. impone las Regulaciones de
Administración de Exportaciones (EAR). Estas regulaciones principalmente incluyen
información técnica y sobre tecnologías con aplicación comercial y militar. Estas
tecnologías también son conocidas como tecnologías de doble uso, por ejemplo,
químicos, satélites, software, equipos, etc.
Esta plantilla de Regulaciones de Administración de Exportaciones (EAR) detecta
infracciones relacionadas con países y tecnologías controladas.
La regla de detección Elementos indizados de la lista de control de comercio
y destinatarios de EAR busca un código de país en el destinatario del diccionario
de “códigos de país de EAR” y un “SKU” específico de un índice de perfil de datos
estructurados (EDM). Ambas condiciones deben coincidir para activar un incidente.
Tabla 38-18 Regla de detección: Elementos indizados de la lista de control de

comercio y destinatarios de EAR
Regla compuesta El contenido coincide con Ver "Selección de un perfil de datos estructurados"
datos estructurados (EDM) en la página 443.
El contenido coincide con Ver "Cómo configurar la condición El contenido coincide con la
la palabra clave (DCM) palabra clave" en la página 819.
La regla de detección Lista de control de comercio y destinatarios de EAR

busca un código de país en el destinatario de la lista “Códigos de país de EAR” y
una palabra clave del diccionario de “palabras clave de EAR”. Ambas condiciones
deben coincidir para activar un incidente.
Plantilla de políticas de FACTA 2003 (reglas de alerta)
Tabla 38-19 Regla de detección: Lista de control de comercio y destinatarios de

EAR
Regla compuesta El destinatario coincide Lista de control de comercio y destinatarios de EAR (destinatario):
con el patrón (DCM)
■ Coincidencia: Dirección de correo electrónico O sufijos de
dominio de URL.
■ Gravedad: Alta.
■ Por lo menos 1 destinatario debe coincidir.
■ Coincide con todo el mensaje.
El contenido coincide con Lista de control de comercio y destinatarios de EAR (coincidencia

la palabra clave (DCM) de palabras clave):
■ Coincidencia: Palabras clave de la CCL de EAR

■ Gravedad: Alta.


Esta política ayuda a abordar las secciones 114 y 315 (o reglas de alerta) de la
Ley de Transacciones de Crédito Imparciales y Exactas (FACTA) del año 2003.
Estas reglas especifican que una institución financiera o un acreedor que ofrece o
mantiene cuentas cubiertas debe desarrollar e implementar un programa de
prevención de robo de identidad. FACTA está diseñada para detectar, impedir y
moderar el robo de identidades con la apertura de una cuenta cubierta o cualquier
cuenta cubierta existente.
La regla de detección Combinaciones de nombre de usuario/contraseña detecta
la presencia de un nombre de usuario y de una contraseña en un índice de base
de datos perfilada.
Tabla 38-20 Regla de detección Combinaciones de nombre de usuario/contraseña
Regla simple El contenido coincide Esta condición detecta los datos exactos que contienen los dos elementos
con datos de datos siguientes:
estructurados (EDM)
■ Contraseña
La regla de detección SSN o CCN exactos detecta la presencia de un número de

la seguridad social o de tarjeta de crédito en una base de datos perfilada.
Tabla 38-21 Regla de detección SSN o CCN exactos
Regla simple El contenido coincide Esta condición detecta los datos exactos que contienen cualquiera de las
con datos columnas de datos siguientes:
estructurados (EDM)
■ Número de la seguridad social (Id. del contribuyente)
La regla de detección Directorio del cliente detecta la presencia de una dirección

de correo electrónico o de un número telefónico en una base de datos perfilada.
Tabla 38-22 Regla de detección Directorio del cliente
Regla simple El contenido coincide Esta condición detecta los datos exactos que contienen cualquiera de las
con datos columnas de datos siguientes:
estructurados (EDM)
La regla de detección Tres o más columnas de los datos detecta los datos
estructurados que contienen tres o más de elementos de datos en un índice de
base de datos perfilada.
Tabla 38-23 Regla de detección Tres o más columnas de los datos
Regla simple El contenido coincide Detecta los datos exactos que contienen tres o más de los elementos de
con datos datos siguientes:
estructurados (EDM)
■ Nombre
■ Apellidos
■ Número de seguro nacional
■ Contraseña
■ Número de seguro social
■ Número de la seguridad social (Id. del contribuyente)
Sin embargo, las combinaciones siguientes no son una coincidencia:
■ Número telefónico, correo electrónico, nombre

■ Número telefónico, nombres, apellidos
La regla de detección Patrones del número de la seguridad social de los EE.

UU. implementa la edición de la amplitud baja del identificador de datos del sistema
del número de la seguridad social (SSN) de los EE. UU. calculado de forma
aleatoria.
Ver "Número de la seguridad social (SSN) de los EE. UU. calculado de forma
aleatoria" en la página 1185.
Este identificador de datos detecta números de nueve dígitos con el patrón
DDD-DD-DDDD separado con guiones largos o espacios, o sin separadores. El
número debe estar en rangos de números asignados válidos. Esta condición elimina
números de prueba comunes, como 123456789 o la repetición del mismo dígito.
Además, necesita la presencia de una palabra clave de la seguridad social.
Tabla 38-24 Regla de detección Patrones del número de la seguridad social de

los EE. UU.
Regla simple El contenido coincide ■ Identificador de datos: Amplitud baja del número de la seguridad social
con el identificador (SSN) de los EE. UU. calculado de forma aleatoria
de datos (DCM) ■ Gravedad: Alta.
■ Contar todas las coincidencias.
La regla de detección Números de tarjeta de crédito, todos implementa la edición

de la amplitud baja del identificador de datos del sistema de numeración de tarjetas
de crédito.
Este identificador de datos detecta los números de tarjeta de crédito válidos
separados por espacios, guiones largos o puntos, o sin separadores. Esta condición
valida comprobaciones de Luhn e incluye formatos para American Express, Diner's
Club, Discover, Japan Credit Bureau (JCB), MasterCard y Visa. Elimina los números
de prueba comunes, incluidos los reservados por los emisores de tarjetas de crédito
con fines de prueba. Además, necesita la presencia de una palabra clave
relacionada con el número de tarjeta de crédito.
Tabla 38-25 Regla de detección Números de tarjeta de crédito, todos
Regla simple El contenido coincide ■ Identificador de datos: Amplitud baja del número de tarjeta de crédito
con el identificador Ver "Amplitud baja del número de tarjeta de crédito" en la página 1017.
La regla de detección Números de ABA implementa la edición de la amplitud baja

del identificador de datos del sistema de números de ABA.
Este identificador de datos detecta números de nueve dígitos. Valida el número
usando el dígito de comprobación final. Esta condición elimina números de prueba
comunes, como 123456789, rangos reservados para uso futuro y repetición del
mismo dígito. Esta condición, además, necesita la presencia de una palabra clave
relacionada con ABA.
Plantilla de políticas de información financiera
Tabla 38-26 Regla de detección Números de ABA
Regla simple El contenido coincide ■ Identificador de datos: Amplitud baja del número de ABA
con el identificador Ver "Número de enrutamiento de ABA" en la página 938.

Plantilla de políticas de información financiera

La política de información financiera detecta datos e información financieros.
Regla de IDM Información financiera, indizada
Esta regla busca el contenido de los archivos de información financieros

específicos registrados como propietarios; devuelve una coincidencia
si se encuentra el 80% o más del documento de origen.
Regla de DCM Información financiera
Esta regla busca la combinación de tipos de archivos especificados,

de palabras clave del diccionario de “palabras clave financieras” y de
palabras clave del diccionario de “palabras confidencial/propietario”.
Los tipos de archivos especificados son los siguientes:
■ excel_macro
■ xls
■ works_spread
■ sylk
■ quattro_pro
■ mod
■ csv
■ applix_spread
■ 123

Plantilla de políticas de sitios web prohibidos
Plantilla de políticas de sitios web prohibidos

La plantilla de la política de sitios web prohibidos está diseñada para detectar el
acceso a los sitios web especificados.
Nota: Para procesar solicitudes HTTP GET apropiadamente, es posible que sea
necesario configurar el servidor de Network Prevent for Web. Ver "Para permitir a
una política de sitios web prohibidos procesar solicitudes GET apropiadamente"
en la página 1293.
Tabla 38-27 Plantilla de políticas de sitios web prohibidos
Regla de palabras clave de DCM Descripción
Sitios web prohibidos Esta regla busca cualquier palabra clave en el diccionario
de los “sitios web prohibidos”, que es definido por el
usuario.
Para permitir a una política de sitios web prohibidos procesar solicitudes GET
apropiadamente
1 Configure su servidor proxy web para reenviar solicitudes GET al servidor de
Network Prevent for Web.
2 Establezca la configuración avanzada del servidor L7.processGets en el
servidor de Network Prevent for Web en "verdadero" (que es el valor
predeterminado).
Plantilla de políticas de apuestas
3 Reduzca el valor de la configuración avanzada del servidor

L7.minSizeofGetURL en el servidor de Network Prevent for Web de la opción
predeterminada de 100 a una cantidad de bytes (caracteres) menor que la de
la longitud del sitio web más corto que la política específica.
Nota: Reducir el tamaño mínimo de GET aumenta el número de URL que

deben ser procesadas, lo que aumenta la carga de tráfico del servidor. Un
enfoque es calcular el número de caracteres en la URL más corta especificada
en la lista de URL prohibidas y configurar el tamaño mínimo en ese número.
Otro enfoque es configurar el tamaño mínimo de la URL a 10, ya que eso debe
cubrir todos los casos.
4 Es posible que sea necesario ajustar la configuración “Omitir solicitudes

menores que” en la configuración del ICAP de Network Prevent Server de la
opción predeterminada 4096 bytes. Este valor detiene el procesamiento de
las páginas web entrantes que contienen menos bytes que el número
especificado. Si una página de una URL de un sitio web prohibido es más
pequeña que ese número, la configuración debe reducirse apropiadamente.
Plantilla de políticas de apuestas

Esta política detecta cualquier referencia a apuestas.
Tabla 38-28 Plantilla de políticas de apuestas
Regla de palabras clave de DCM Regla de DCM
Palabras clave de sospecha de apuesta Esta regla busca cinco sesiones de palabras clave del diccionario de
“palabras clave relacionadas con apuestas, confirmadas”.
Palabras clave menos sospechosas Esta regla busca diez instancias de palabras clave del diccionario de
relacionadas con apuestas “palabras clave relacionadas con apuestas, sospechosas”.

Regulación general de protección de datos (sectores bancario y financiero)
Regulación general de protección de datos (sectores

bancario y financiero)
Esta plantilla se centra en las palabras claves de GDPR relacionadas con los
sectores bancario y financiero, los identificadores de datos y un perfil de EDM con
columnas relacionadas. La GDPR es una regulación por la cual la Comisión Europea
se propone fortalecer y unificar la protección de datos para los individuos dentro
de la UE. Además, aborda la exportación de los datos personales fuera de la UE.
Los objetivos principales de la Comisión del GDPR son devolverles a los ciudadanos
el control de sus datos personales y simplificar el entorno regulador para el negocio
internacional al unificar la regulación dentro de la UE.
Tabla 38-29 Reglas de detección de las regulaciones generales de protección de

datos (sectores bancario y financiero)
Palabras clave de GDPR Coincidencia de palabras clave Coincide con una lista de palabras
relacionadas con los sectores clave relacionadas:
bancario y financiero
account number, bank card number,
driver license number, ID card
number
Número de tarjeta de crédito Identificadores de datos Se necesita el número de cuenta para

procesar transacciones con tarjeta de
crédito. Su sigla suele ser NTC (CCN
en inglés). También se denomina
Número de Cuenta Principal (PAN en
inglés).
Ver "Número de tarjeta de crédito "

en la página 1012.
Número de licencia de conducir del Identificadores de datos El número de licencia de conducir del
Reino Unido Reino Unido es el número de
identificación de la licencia de conducir
de un individuo emitida por la Agencia
de Licencias para Conductores y
Vehículos del Reino Unido.
Ver "Número de licencia de conducir

Número de pasaporte del Reino Identificadores de datos El número de pasaporte del Reino
Unido Unido identifica un pasaporte del
Reino Unido con la especificación
oficial actual de los Estándares del
Gobierno del Reino Unido de la
Ver "Número de pasaporte del Reino

Número de identificación fiscal del Identificadores de datos El número de identificación fiscal del
Reino Unido Reino Unido es un número de
identificación personal proporcionado
por los Estándares del Gobierno del
Reino Unido de la Oficina de Gabinete
del Reino Unido.
Ver "Número de identificación fiscal

Datos de banda magnética de Identificadores de datos La banda magnética de una tarjeta de

tarjetas de crédito crédito contiene información sobre la
tarjeta. El almacenamiento de la
versión completa de estos datos
infringe el Estándar de Seguridad de
los Datos (DSS) para la Industria de
Pagos con Tarjeta de Crédito (PCI).
Ver "Datos de banda magnética de
tarjetas de crédito" en la página 1009.
Número de pasaporte de Francia Identificadores de datos El pasaporte de Francia es un

documento de identidad emitido para
los ciudadanos franceses. Además de
habilitar al portador para viajar
internacionalmente y de servir como
indicación de la ciudadanía francesa,
el pasaporte facilita el proceso de
asegurar la ayuda de los funcionarios
consulares franceses en el extranjero
o de otros Estados miembro de la
Unión Europea en caso de que un
consular francés esté ausente, si es
necesario.
Ver "Número de pasaporte de Francia"

en la página 1057.
Número nacional de Bélgica Identificadores de datos Todos los ciudadanos de Bélgica

tienen un número nacional. Se emite
una tarjeta de identidad para todos los
belgas de 12 años o más.
Ver "Número nacional de Bélgica"

en la página 961.
Número de identificación personal Identificadores de datos El Ministerio del Interior otorga a todos
de República Checa los ciudadanos de República Checa
un número de identificación personal
único.
Ver "Número de identificación personal

de República Checa" en la página 1023.
Código del INSEE de Francia Identificadores de datos El código del INSEE se usa en Francia
como número de seguro social y de
identificación nacional, y con fines
laborales y fiscales.
Ver "Código del INSEE de Francia"

en la página 1055.
Número de la seguridad social de Identificadores de datos El número de la seguridad social

Francia francés (FSSN) es un número único
que se asigna a cada ciudadano
francés o extranjero con residencia.
Funciona como un número de
identificación nacional.
Ver "Número de la seguridad social

de Francia" en la página 1059.
Número de identificación del Identificadores de datos El Arithmo Forologiko Mitro (AFM) es

contribuyente de Grecia un número de identificación único del
contribuyente personal asignado a
cualquier residente de Grecia o a
cualquier persona que posea una
propiedad en Grecia.
Ver "Número de identificación del

contribuyente de Grecia"
en la página 1070.
Número de la seguridad social de Identificadores de datos El número de la seguridad social de

Hungría Hungría (TAJ) es un identificador
único emitido por el gobierno húngaro.
de Hungría" en la página 1074.
Número de identificación del Identificadores de datos El número de identificación del

contribuyente de Hungría contribuyente de Hungría es un
número de 10 dígitos que comienza
siempre con el dígito "8".
Ver "Número de identificación del

contribuyente de Hungría"
en la página 1076.
Número de IVA húngaro Identificadores de datos Todas las empresas húngaras

(incluidas las organizaciones sin fines
de lucro) obtienen un número de
impuesto sobre el valor agregado
(IVA) cuando se registran en el
registro comercial.
Ver "Número de IVA húngaro"

en la página 1079.
Número personal de servicio Identificadores de datos El formato del número es una cadena
público irlandés alfanumérica única de 8 caracteres
que termina en una letra, tal como
8765432A. El número se asigna en el
momento en que se registra un
nacimiento, es único de cada persona
y se emite en una tarjeta de servicios
públicos.
Ver "Número personal de servicio

público irlandés " en la página 1112.
Número del Registro Nacional de Identificadores de datos El número del Registro Nacional de
Personas de Luxemburgo Personas de Luxemburgo es un
número de identificación de 11 dígitos
emitido a todos los ciudadanos de
Luxemburgo a la edad de 15 años.
Ver "Número del Registro Nacional de

Personas de Luxemburgo "
en la página 1140.
Número de identificación de Polonia Identificadores de datos Cada ciudadano polaco de 18 años

de edad o más con residencia
permanente en Polonia debe tener
tarjeta de identidad, con un número
personal único. El número se usa
como identificación para casi todos los
propósitos.
Ver "Número de identificación de

Polonia" en la página 1175.
Número de REGON de Polonia Identificadores de datos Cada entidad de la economía nacional

está obligada a registrarse en el
registro de entidades comerciales
llamado REGON en Polonia. Es el
único registro integrado en Polonia
que cubre todas las entidades de la
economía nacional. Cada compañía
tiene un número único de REGON.
Ver "Número de REGON de Polonia"

en la página 1177.

Polonia (PESEL) Polonia (PESEL) es el número de
identificación nacional usado en
Polonia. El número de PESEL es
obligatorio para todos los residentes
permanentes de Polonia y para los
residentes temporales que viven en
Polonia. Identifica únicamente a una
persona y no puede ser transferido a
otra.

de Polonia (PESEL)" en la página 1179.
Número de identificación fiscal de Identificadores de datos El número de identificación fiscal de

Polonia Polonia (NIP) es un número que el
gobierno da a cada ciudadano de
Polonia que trabaja o hace negocios
en Polonia. Todos los contribuyentes
tienen un número de identificación
fiscal llamado NIP.

de Polonia" en la página 1182.
Código personal numérico de Identificadores de datos En Rumania, cada ciudadano tiene un

Rumania código personal numérico único (o
CNP). El número es usado por las
autoridades, la asistencia médica, las
escuelas, las universidades, los
bancos y las compañías de seguros
para la identificación del cliente.
Ver "Código personal numérico de

Rumania" en la página 1188.
DNI de España Identificadores de datos El DNI de España aparece en el

Documento Nacional de Identidad
(DNI) y es emitido por la Hacienda
Pública española a todos los
ciudadanos de España. Es el
identificador único más importante en
España y se utiliza para abrir cuentas,
firmar contratos, pagar impuestos y
participar de las elecciones.
Ver "DNI de España" en la página 1204.

España España es un número de 12 dígitos
asignado a los trabajadores españoles
para permitirles el acceso al sistema
de salud español.
de España " en la página 1208.
Número de cuenta de cliente de Identificadores de datos El número de cuenta de cliente de

España España es el número de cuenta
bancaria de cliente estándar usado en
España.
Ver "Número de cuenta de cliente

español" en la página 1201.
Id. de contribuyente de España Identificadores de datos El identificador de impuestos a las

(CIF) sociedades (CIF) de la identificación
del contribuyente de España es
equivalente al número de IVA,
necesario para realizar actividades
comerciales en España. Este
identificador es la identificación de una
compañía para los propósitos
tributarios y se requiere para cualquier
transacción legal.
Ver "Identificación del contribuyente

de España (CIF)" en la página 1210.
Número de pasaporte alemán Identificadores de datos Se emite un número de pasaporte

alemán a los ciudadanos de Alemania
para que puedan realizar viajes
internacionales. Un pasaporte alemán
es un documento oficial que las
autoridades alemanas aceptan como
prueba de identidad de los ciudadanos
alemanes.
Ver "Número de pasaporte alemán"

en la página 1061.
Número civil uniforme búlgaro Identificadores de datos El número civil uniforme búlgaro
(EGN) es un número único que se
asigna a cada ciudadano belga o
extranjero con residencia. Funciona
como un número de identificación
nacional. Se asigna un EGN a los
belgas en el momento del nacimiento
o cuando se emite un certificado de
nacimiento.
Ver "Número civil uniforme búlgaro:

EGN" en la página 986.
Número de la seguridad social de Identificadores de datos Se asigna un número de

Austria seguro/seguridad social a los
ciudadanos austríacos que reciben los
beneficios disponibles de la seguridad
social. Lo asigna la asociación marco
de las autoridades de la seguridad
social de Austria.

de Austria" en la página 959.
Número de pasaporte de España Identificadores de datos Los pasaportes de España se otorgan

a los ciudadanos españoles con el fin
de que viajen fuera de España.
Ver "Número de pasaporte de España"

en la página 1206.
Número de pasaporte de Suecia Identificadores de datos Los pasaportes de Suecia se otorgan

a los ciudadanos suecos para que
puedan realizar viajes internacionales.
Además de servir como prueba de la
ciudadanía sueca, facilita el proceso
de obtención de ayuda de los
funcionarios consulares suecos en el
extranjero o de otros Estados
miembros de la Unión Europea en
caso de que un funcionario consular
sueco esté ausente, si es necesario.
Ver "Número de pasaporte de Suecia"

en la página 1213.
Número de Id. personal de Alemania Identificadores de datos El número de identificación personal

de Alemania se emite a todos los
Ver "Número de Id. personal de

IBAN central Identificadores de datos El número internacional de cuenta

bancaria (IBAN, International Bank
Account Number) es un estándar
internacional para identificar cuentas
bancarias a través de las fronteras
nacionales.
El identificador de datos de IBAN

central detecta los números de IBAN
para Andorra, Austria, Bélgica,
Alemania, Italia, Liechtenstein,
Luxemburgo, Malta, Mónaco, San
Marino y Suiza.
Ver "IBAN central" en la página 1081.
IBAN oriental Identificadores de datos El número internacional de cuenta

nacionales.

oriental detecta los números de IBAN
de Bosnia, Bulgaria, Croacia, Chipre,
República Checa, Estonia, Grecia,
Hungría, Israel, Letonia, Lituania,
Macedonia, Montenegro, Polonia,
Rumania, Serbia, Eslovaquia,
Eslovenia, Turquía y Túnez.
Ver "IBAN oriental" en la página 1085.

IBAN occidental Identificadores de datos El número internacional de cuenta

nacionales.

occidental detecta los números de
IBAN de Dinamarca, las Islas Feroe,
Finlandia, Francia, Gibraltar,
Groenlandia, Islandia, Irlanda, los
Países Bajos, Noruega, Portugal,
España, Suecia y el Reino Unido.
Ver "IBAN occidental" en la página 1092.
Burgerservicenummer Identificadores de datos En los Países Bajos, el

Burgerservicenummer se usa para
identificar particularmente a los
ciudadanos y está impreso en las
licencias de conducir, los pasaportes
y las tarjetas de identificación
internacionales debajo del
encabezado Número personal.
Ver "Burgerservicenummer"
en la página 989.
Codice Fiscale Identificadores de datos El Codice Fiscale identifica

exclusivamente a los ciudadanos
italianos y a los extranjeros con
residencia permanente. La emisión de
este código se centraliza en el
Ministerio de Hacienda. El Codice
Fiscale se emite a cada italiano en el
nacimiento.
Ver "Codice Fiscale" en la página 998.

Número de identificación personal Identificadores de datos El número de identificación personal

de Finlandia o el código de identidad personal de
Finlandia es un identificador personal
único usado para identificar a los
ciudadanos en el gobierno y muchas
otras transacciones.

de Finlandia" en la página 1045.
Número de identificación personal Identificadores de datos El número de identificación personal

de Suecia de Suecia es la identificación nacional
única para cada ciudadano sueco. El
número es usado por las autoridades,
la asistencia médica, las escuelas, las
universidades, los bancos y las
compañías de seguros para la
identificación del cliente.

de Suecia" en la página 1215.
Número de pasaporte de Austria Identificadores de datos Los pasaportes de Austria son

documentos de viaje emitidos a
ciudadanos austríacos por la Oficina
de Pasaportes del Departamento de
Asuntos Exteriores y Comercio de
Austria, tanto en Austria como en el
exterior, que habilitan al titular del
pasaporte a viajar internacionalmente.
Ver "Número de pasaporte de Austria"

en la página 955.
Número de identificación fiscal de Identificadores de datos Austria emite números de

Austria identificación de impuestos para
personas según su área de residencia,
con el fin de identificar contribuyentes
y facilitar los impuestos nacionales.

de Austria" en la página 957.
Número de pasaporte de Bélgica Identificadores de datos Los pasaportes de Bélgica son

emitidos por el estado de Bélgica para
los ciudadanos con el fin de facilitar el
transporte internacional. El Servicio
Público Federal de Asuntos Exteriores,
anteriormente conocido como
Ministerio de Asuntos Exteriores, es
responsable de la emisión y la
renovación de pasaportes en Bélgica.
Ver "Número de pasaporte de Bélgica"

en la página 965.
Número de identificación fiscal de Identificadores de datos Bélgica emite un número de

Bélgica identificación fiscal para todas las
personas que tienen la obligación de
declarar impuestos en Bélgica.

de Bélgica" en la página 967.
Número de impuesto sobre el valor Identificadores de datos El IVA es un impuesto sobre el

añadido (IVA) de Bélgica consumo asumido por el consumidor
final. El IVA se paga en cada
transacción del proceso de fabricación
y distribución. En Bélgica, el impuesto
sobre el valor añadido es emitido por
la oficina de IVA correspondiente a la
región en la que está establecida la
empresa.
Ver "Número de impuesto sobre el

valor añadido (IVA) de Bélgica"
en la página 969.
Número de licencia de conducir de Identificadores de datos Número de identificación de la licencia

Bélgica de conducir de una persona, emitida
por la Agencia de Concesión de
Licencias de Vehículos y Conductores
de Bélgica.

Número de identificación personal Identificadores de datos En Dinamarca, todos los ciudadanos

de Dinamarca tienen un número de identificación
nacional. El número se utiliza como
prueba de identificación para casi
todos los propósitos.

de Dinamarca" en la página 1027.

los Países Bajos de conducir de una persona emitida
por la agencia gubernamental RDW
de los Países Bajos.

de los Países Bajos" en la página 1159.
Número de pasaporte de los Países Identificadores de datos Los pasaportes de los Países Bajos
Bajos se emiten para los ciudadanos de los
Países Bajos para el transporte
internacional.
Ver "Número de pasaporte de los


añadido (IVA) de los Países Bajos consumo asumido por el consumidor
y distribución. En los Países Bajos, el
impuesto sobre el valor añadido es
emitido por la oficina de IVA
correspondiente a la región en la que
está establecida la empresa.

valor añadido (IVA) de los Países
Bajos" en la página 1166.

Francia de conducir de una persona emitida
de Francia.

Número de identificación fiscal de Identificadores de datos Francia emite un número de

Francia identificación fiscal para todas las
personas que tienen la obligación de
declarar impuestos en Francia.


Alemania de conducir de una persona emitida
de Alemania.

de Alemania" en la página 1065.
Número de pasaporte de Italia Identificadores de datos Los pasaportes italianos se emiten

para los ciudadanos italianos para el
transporte internacional.
Ver "Número de pasaporte de Italia"

en la página 1121.

añadido (IVA) de Italia consumo asumido por el consumidor
y distribución. En Italia, el impuesto
sobre el valor añadido es emitido por
la oficina de IVA correspondiente a la
región en la que está establecida la
empresa.

valor añadido (IVA) de Italia"
en la página 1122.

Italia de conducir de una persona emitida
de Italia.

de Italia" en la página 1117.
Número de identificación fiscal de Identificadores de datos Los Países Bajos emiten un número
los Países Bajos de identificación fiscal cuando nace
una persona o cuando se registra en
el municipio.

de los Países Bajos" en la página 1162.

España de conducir de una persona, emitida
de España.

de España" en la página 1198.
Tarjeta de identidad de Ucrania Identificadores de datos La tarjeta de identidad de Ucrania

tiene un número de registro de
15 dígitos emitido para los ciudadanos
de Ucrania. A partir de 2016, se usa
como una forma de identificación en
lugar del pasaporte nacional de
Ucrania.
Ver "Tarjeta de identidad de Ucrania"

en la página 1244.
Número de pasaporte nacional de Identificadores de datos Documento de identidad emitido para

Ucrania los ciudadanos de Ucrania para uso
interno. A partir de 2016, se reemplazó
por la tarjeta de identidad de Ucrania,
pero los pasaportes existentes aún
son válidos.
Ver "Pasaporte de Ucrania (nacional)"

en la página 1243.
Número de pasaporte internacional Identificadores de datos Un documento usado por ciudadanos

de Ucrania de Ucrania para viajar fuera de
Ucrania.
Ver "Pasaporte de Ucrania

(internacional)" en la página 1247.
Regulación general de protección de datos (identidad digital)

añadido (IVA) de Alemania consumo asumido por el consumidor
y distribución. En Alemania, el
impuesto sobre el valor añadido es
emitido por la oficina de IVA
correspondiente a la región en la que
está establecida la empresa.

Número de impuesto sobre el valor Identificadores de datos El impuesto sobre el valor añadido
añadido (IVA) de Francia (IVA) es un impuesto que se aplica a
los bienes y servicios comercializados
en Francia y que se cobra al cliente
final. Las empresas se deben registrar
en el Registro de Comercio y de
Sociedades de Francia a fin de que
se les asigne un número de IVA.

valor añadido (IVA) de Francia"
en la página 1052.
Regulación general de protección de datos (identidad

digital)
Esta plantilla se centra en palabras clave relacionadas con la identificación digital,
identificadores de datos y un perfil de EDM con columnas relacionadas. El GDPR
es una regulación por la cual la Comisión Europea se propone fortalecer y unificar
la protección de datos para los individuos dentro de la UE. Además, aborda la
exportación de los datos personales fuera de la UE. Los objetivos principales de
la Comisión del GDPR son devolverles a los ciudadanos el control de sus datos
personales y simplificar el entorno regulador para el negocio internacional al unificar
la regulación dentro de la UE.
Regulación general de protección de datos (identificación gubernamental)
Tabla 38-30 Regla de detección de las regulaciones generales de protección de

datos (identificación digital)
Número de identidad Identificadores de datos La identidad internacional del

internacional del equipo equipo móvil (IMEI) es un
móvil identificador único para
teléfonos móviles 3GPP
(GSM, UMTS y LTE) y iDEN,
así como teléfonos satelitales.
Ver "Número de identidad

internacional del equipo
móvil" en la página 1103.
Regulación general de protección de datos

(identificación gubernamental)
Esta plantilla se centra en palabras clave relacionadas con el sector de identificación
gubernamental, identificadores de datos y un perfil de EDM con columnas
relacionadas. El GDPR es una regulación por la cual la Comisión Europea se
propone fortalecer y unificar la protección de datos para los individuos dentro de
la UE. Además, aborda la exportación de los datos personales fuera de la UE. Los
objetivos principales de la Comisión del GDPR son devolverles a los ciudadanos

datos (identificación gubernamental)
Palabras clave de GDPR Coincidencia de palabras Coincide con una lista de

relacionadas con el sector clave palabras clave relacionadas:
de identificación
driver license number, id
gubernamental
card number, electoral roll
number
Número de licencia de Identificadores de datos El número de licencia de

conducir del Reino Unido conducir del Reino Unido es
el número de identificación de
la licencia de conducir de un
individuo emitida por la
Agencia de Licencias para
Conductores y Vehículos del
Reino Unido.
Ver "Número de licencia de

conducir del Reino Unido"
en la página 1230.
Número de registro Identificadores de datos El número de registro

electoral del Reino Unido electoral del Reino Unido es
el número de identificación
emitido a un individuo para el
registro electoral del Reino
Unido. El formato de este
número está especificado por
los Estándares del Gobierno
del Reino Unido de la Oficina
de Gabinete del Reino Unido.
Ver "Número de registro

electoral del Reino Unido"
en la página 1233.
Número de Servicio Identificadores de datos El número de servicio

Nacional de Salud (NHS) nacional de salud (NHS) del
del Reino Unido Reino Unido es el número de
identificación personal
emitido por el servicio
nacional de salud (NHS) del
Reino Unido para administrar
la atención médica.
Ver "Número de Servicio

Nacional de Salud (NHS) del
Reino Unido" en la página 1234.
Número de seguro nacional Identificadores de datos El número de seguro nacional

del Reino Unido del Reino Unido es emitido
por el Departamento de
Trabajo y Pensiones (DWP)
del Reino Unido para
identificar individuos para el
programa de seguro nacional.
También se lo denomina
número de NI, NINO o NINo.
Ver "Número de seguro

nacional del Reino Unido"
en la página 1236.
Número de pasaporte del Identificadores de datos El número de pasaporte del

Reino Unido Reino Unido identifica un
pasaporte del Reino Unido
con la especificación oficial
actual de los Estándares del
Gobierno del Reino Unido de
la Oficina de Gabinete del
Reino Unido.
Ver "Número de pasaporte

del Reino Unido"
en la página 1238.
Número de identificación Identificadores de datos El número de identificación

fiscal del Reino Unido fiscal del Reino Unido es un
personal proporcionado por
los Estándares del Gobierno
del Reino Unido de la Oficina
de Gabinete del Reino Unido.
Ver "Número de identificación

fiscal del Reino Unido"
en la página 1241.
Número de pasaporte de Identificadores de datos El pasaporte de Francia es

Francia un documento de identidad
emitido para los ciudadanos
franceses. Además de
habilitar al portador para
viajar internacionalmente y de
servir como indicación de la
ciudadanía francesa, el
pasaporte facilita el proceso
de asegurar la ayuda de los
funcionarios consulares
franceses en el extranjero o
de otros Estados miembro de
la Unión Europea en caso de
que un consular francés esté
ausente, si es necesario.
Ver "Número de pasaporte de

Número nacional de Identificadores de datos Todos los ciudadanos de

Bélgica Bélgica tienen un número
nacional. Se emite una tarjeta
de identidad para todos los
Ver "Número nacional de

Número de identificación Identificadores de datos El Ministerio del Interior

personal de República otorga a todos los ciudadanos
Checa de República Checa un
personal único.

personal de República
Código del INSEE de Identificadores de datos El código del INSEE se usa

Francia en Francia como número de
seguro social y de
identificación nacional, y con
fines laborales y fiscales.
Ver "Código del INSEE de

Número de la seguridad Identificadores de datos El número de la seguridad

social de Francia social francés (FSSN) es un
número único que se asigna
a cada ciudadano francés o
extranjero con residencia.
Ver "Número de la seguridad

social de Francia"
en la página 1059.
Número de identificación Identificadores de datos El Arithmo Forologiko Mitro

del contribuyente de Grecia (AFM) es un número de
identificación único del
contribuyente personal
asignado a cualquier
residente de Grecia o a
cualquier persona que posea
una propiedad en Grecia.

del contribuyente de Grecia"
en la página 1070.

social de Hungría social de Hungría (TAJ) es un
identificador único emitido por
el gobierno húngaro.

social de Hungría"
en la página 1074.

del contribuyente de del contribuyente de Hungría
Hungría es un número de 10 dígitos
que comienza siempre con el
dígito "8".

del contribuyente de Hungría"
en la página 1076.
Número de IVA húngaro Identificadores de datos Todas las empresas

húngaras (incluidas las
organizaciones sin fines de
lucro) obtienen un número de
impuesto sobre el valor
agregado (IVA) cuando se
registran en el registro
comercial.
Ver "Número de IVA húngaro"

en la página 1079.
Número personal de Identificadores de datos El formato del número es una

servicio público irlandés cadena alfanumérica única
de 8 caracteres que termina
en una letra, tal como
8765432A. El número se
asigna en el momento en que
se registra un nacimiento, es
único de cada persona y se
emite en una tarjeta de
servicios públicos.
Ver "Número personal de

servicio público irlandés "
en la página 1112.
Número del Registro Identificadores de datos El número del Registro

Nacional de Personas de Nacional de Personas de
Luxemburgo Luxemburgo es un número
de identificación de 11 dígitos
emitido a todos los
ciudadanos de Luxemburgo
a la edad de 15 años.
Ver "Número del Registro

Nacional de Personas de
Luxemburgo "
en la página 1140.
Número de identificación Identificadores de datos Cada ciudadano polaco de 18

de Polonia años de edad o más con
residencia permanente en
Polonia debe tener tarjeta de
identidad, con un número
personal único. El número se
usa como identificación para
casi todos los propósitos.

Número de REGON de Identificadores de datos Cada entidad de la economía

Polonia nacional está obligada a
registrarse en el registro de
entidades comerciales
llamado REGON en Polonia.
Es el único registro integrado
en Polonia que cubre todas
las entidades de la economía
nacional. Cada compañía
tiene un número único de
REGON.
Ver "Número de REGON de


social de Polonia (PESEL) social de Polonia (PESEL) es
nacional usado en Polonia. El
número de PESEL es
obligatorio para todos los
residentes permanentes de
Polonia y para los residentes
temporales que viven en
Polonia. Identifica únicamente
a una persona y no puede ser
transferido a otra.

social de Polonia (PESEL)"
en la página 1179.

fiscal de Polonia fiscal de Polonia (NIP) es un
número que el gobierno da a
cada ciudadano de Polonia
que trabaja o hace negocios
en Polonia. Todos los
contribuyentes tienen un
fiscal llamado NIP.

fiscal de Polonia"
en la página 1182.
Código personal numérico Identificadores de datos En Rumania, cada ciudadano

de Rumania tiene un código personal
numérico único (o CNP). El
número es usado por las
autoridades, la asistencia
médica, las escuelas, las
universidades, los bancos y
las compañías de seguros
para la identificación del
cliente.
Ver "Código personal

numérico de Rumania"
en la página 1188.
DNI de España Identificadores de datos El DNI de España aparece en

el Documento Nacional de
Identidad (DNI) y es emitido
por la Hacienda Pública
española a todos los
identificador único más
importante en España y se
utiliza para abrir cuentas,
firmar contratos, pagar
impuestos y participar de las
elecciones.
Ver "DNI de España"

en la página 1204.

social de España social de España es un
número de 12 dígitos
asignado a los trabajadores
españoles para permitirles el
acceso al sistema de salud
español.

social de España "
en la página 1208.
Número de cuenta de Identificadores de datos El número de cuenta de

cliente de España cliente de España es el
número de cuenta bancaria
de cliente estándar usado en
España.
Ver "Número de cuenta de

cliente español"
en la página 1201.
Id. de contribuyente de Identificadores de datos El identificador de impuestos

España (CIF) a las sociedades (CIF) de la
identificación del
contribuyente de España es
equivalente al número de IVA,
necesario para realizar
actividades comerciales en
España. Este identificador es
la identificación de una
compañía para los propósitos
tributarios y se requiere para
cualquier transacción legal.
Ver "Identificación del

contribuyente de España
(CIF)" en la página 1210.
Número de pasaporte Identificadores de datos Se emite un número de

alemán pasaporte alemán a los
ciudadanos de Alemania para
que puedan realizar viajes
internacionales. Un pasaporte
alemán es un documento
oficial que las autoridades
alemanas aceptan como
prueba de identidad de los

alemán" en la página 1061.
Número civil uniforme Identificadores de datos El número civil uniforme

búlgaro búlgaro (EGN) es un número
único que se asigna a cada
ciudadano belga o extranjero
con residencia. Funciona
como un número de
identificación nacional. Se
asigna un EGN a los belgas
en el momento del nacimiento
o cuando se emite un
certificado de nacimiento.
Ver "Número civil uniforme

búlgaro: EGN"
en la página 986.
Número de la seguridad Identificadores de datos Se asigna un número de

social de Austria seguro/seguridad social a los
ciudadanos austríacos que
reciben los beneficios
disponibles de la seguridad
social. Lo asigna la
asociación marco de las
autoridades de la seguridad
social de Austria.

social de Austria"
en la página 959.
Número de pasaporte de Identificadores de datos Los pasaportes de España se

España otorgan a los ciudadanos
españoles con el fin de que
viajen fuera de España.

España" en la página 1206.
Número de pasaporte de Identificadores de datos Los pasaportes de Suecia se

Suecia otorgan a los ciudadanos
suecos para que puedan
realizar viajes
internacionales. Además de
servir como prueba de la
ciudadanía sueca, facilita el
proceso de obtención de
ayuda de los funcionarios
consulares suecos en el
miembros de la Unión
Europea en caso de que un
funcionario consular sueco

Suecia" en la página 1213.
Número de Id. personal de Identificadores de datos El número de identificación

Alemania personal de Alemania se
emite a todos los ciudadanos
alemanes.
Ver "Número de Id. personal


Burgerservicenummer se usa
para identificar
particularmente a los
ciudadanos y está impreso en
las licencias de conducir, los
pasaportes y las tarjetas de
identificación internacionales
debajo del encabezado
Número personal.
en la página 989.

exclusivamente a los
ciudadanos italianos y a los
extranjeros con residencia
permanente. La emisión de
este código se centraliza en
el Ministerio de Hacienda. El
Codice Fiscale se emite a
cada italiano en el
nacimiento.
Ver "Codice Fiscale"

en la página 998.

personal de Finlandia personal o el código de
identidad personal de
Finlandia es un identificador
personal único usado para
identificar a los ciudadanos
en el gobierno y muchas

personal de Finlandia"
en la página 1045.

personal de Suecia personal de Suecia es la
identificación nacional única
para cada ciudadano sueco.
El número es usado por las
cliente.

personal de Suecia"
en la página 1215.
Número de pasaporte de Identificadores de datos Los pasaportes de Austria

Austria son documentos de viaje
emitidos a ciudadanos
austríacos por la Oficina de
Pasaportes del Departamento
de Asuntos Exteriores y
Comercio de Austria, tanto en
Austria como en el exterior,
que habilitan al titular del
pasaporte a viajar
internacionalmente.
Austria" en la página 955.
Número de identificación Identificadores de datos Austria emite números de

fiscal de Austria identificación de impuestos
para personas según su área
de residencia, con el fin de
identificar contribuyentes y
facilitar los impuestos
nacionales.

fiscal de Austria"
en la página 957.
Número de pasaporte de Identificadores de datos Los pasaportes de Bélgica

Bélgica son emitidos por el estado de
Bélgica para los ciudadanos
con el fin de facilitar el
transporte internacional. El
Servicio Público Federal de
Asuntos Exteriores,
Ministerio de Asuntos
Exteriores, es responsable de
la emisión y la renovación de
pasaportes en Bélgica.

Número de identificación Identificadores de datos Bélgica emite un número de

fiscal de Bélgica identificación fiscal para todas
las personas que tienen la
obligación de declarar
impuestos en Bélgica.

fiscal de Bélgica"
en la página 967.
Número de impuesto sobre Identificadores de datos El IVA es un impuesto sobre

el valor añadido (IVA) de el consumo asumido por el
Bélgica consumidor final. El IVA se
paga en cada transacción del
proceso de fabricación y
distribución. En Bélgica, el
añadido es emitido por la
oficina de IVA
correspondiente a la región
en la que está establecida la
empresa.
Ver "Número de impuesto

sobre el valor añadido (IVA)
Número de licencia de Identificadores de datos Número de identificación de

conducir de Bélgica la licencia de conducir de una
persona, emitida por la
Agencia de Concesión de
Licencias de Vehículos y
Conductores de Bélgica.

conducir de Bélgica"
en la página 963.
Número de identificación Identificadores de datos En Dinamarca, todos los

personal de Dinamarca ciudadanos tienen un número
de identificación nacional. El
número se utiliza como
prueba de identificación para

personal de Dinamarca"
en la página 1027.

conducir de los Países la licencia de conducir de una
Bajos persona emitida por la
agencia gubernamental RDW
conducir de los Países Bajos"
en la página 1159.
Número de pasaporte de Identificadores de datos Los pasaportes de los Países

los Países Bajos Bajos se emiten para los
ciudadanos de los Países
Bajos para el transporte
internacional.

los Países Bajos"
en la página 1161.

los Países Bajos consumidor final. El IVA se
distribución. En los Países
Bajos, el impuesto sobre el
valor añadido es emitido por
la oficina de IVA
empresa.

de los Países Bajos"
en la página 1166.

conducir de Francia la licencia de conducir de una
persona emitida por la
Conductores de Francia.

conducir de Francia"
en la página 1047.
Número de seguro de salud Identificadores de datos Una "Carte Vitale" es una

de Francia tarjeta de seguro social usada
en Francia que contiene
información para el titular de
la tarjeta. Tiene un número
de serie único de 21 dígitos.
Ver "Número de seguro de

salud de Francia"
en la página 1049.
Número de identificación Identificadores de datos Francia emite un número de

fiscal de Francia identificación fiscal para todas
las personas que tienen la
obligación de declarar
impuestos en Francia.

fiscal de Francia"
en la página 1051.

conducir de Alemania la licencia de conducir de una
Conductores de Alemania.

conducir de Alemania"
en la página 1065.
Número de pasaporte de Identificadores de datos Los pasaportes italianos se

Italia emiten para los ciudadanos
italianos para el transporte
internacional.


Italia consumidor final. El IVA se
distribución. En Italia, el
oficina de IVA
empresa.

de Italia" en la página 1122.

conducir de Italia la licencia de conducir de una
Conductores de Italia.

conducir de Italia"
en la página 1117.
Número de identificación Identificadores de datos Los Países Bajos emiten un

fiscal de los Países Bajos número de identificación
fiscal cuando nace una
persona o cuando se registra
en el municipio.

fiscal de los Países Bajos"
en la página 1162.

conducir de España la licencia de conducir de una
Conductores de España.
conducir de España"
en la página 1198.
Tarjeta de identidad de Identificadores de datos La tarjeta de identidad de

Ucrania Ucrania tiene un número de
registro de 15 dígitos emitido
para los ciudadanos de
Ucrania. A partir de 2016, se
usa como una forma de
identificación en lugar del
pasaporte nacional de
Ucrania.
Ver "Tarjeta de identidad de

Ucrania" en la página 1244.
Número de pasaporte Identificadores de datos Documento de identidad

nacional de Ucrania emitido para los ciudadanos
de Ucrania para uso interno.
A partir de 2016, se
reemplazó por la tarjeta de
identidad de Ucrania, pero los
pasaportes existentes aún
son válidos.

(nacional)" en la página 1243.
Número de pasaporte Identificadores de datos Un documento usado por

internacional de Ucrania ciudadanos de Ucrania para
viajar fuera de Ucrania.

(internacional)"
en la página 1247.

Alemania consumidor final. El IVA se
distribución. En Alemania, el
oficina de IVA
empresa.

en la página 1065.
Regulación general de protección de datos (atención sanitaria y seguros)
Número de impuesto sobre Identificadores de datos El impuesto sobre el valor

el valor añadido (IVA) de añadido (IVA) es un impuesto
Francia que se aplica a los bienes y
servicios comercializados en
Francia y que se cobra al
cliente final. Las empresas se
deben registrar en el Registro
de Comercio y de Sociedades
de Francia a fin de que se les
asigne un número de IVA.

Regulación general de protección de datos (atención

sanitaria y seguros)
Esta plantilla se centra en palabras clave relacionadas con los sectores de atención
sanitaria y seguros, identificadores de datos y un perfil de EDM con columnas
relacionadas. El GDPR es una regulación por la cual la Comisión Europea se
propone fortalecer y unificar la protección de datos para los individuos dentro de
la UE. Además, aborda la exportación de los datos personales fuera de la UE. Los
objetivos principales de la Comisión del GDPR son devolverles a los ciudadanos

datos (atención sanitaria y seguro)
Palabras clave de GDPR Coincidencia de palabras Coincide con una lista de

relacionadas con los clave palabras clave relacionadas:
sectores de atención
account number, bank card
sanitaria y seguros
number, ID card number,
medical record number

Reino Unido.

en la página 1230.
Número de Servicio Identificadores de datos El número de servicio

Nacional de Salud (NHS) nacional de salud (NHS) del
del Reino Unido Reino Unido es el número de
identificación personal
emitido por el servicio
nacional de salud (NHS) del
Reino Unido para administrar
la atención médica.
Ver "Número de Servicio

Nacional de Salud (NHS) del
Reino Unido" en la página 1234.
Número de seguro nacional Identificadores de datos El número de seguro nacional

del Reino Unido del Reino Unido es emitido
por el Departamento de
Trabajo y Pensiones (DWP)
del Reino Unido para
identificar individuos para el
programa de seguro nacional.
También se lo denomina
número de NI, NINO o NINo.
Ver "Número de seguro

nacional del Reino Unido"
en la página 1236.
Número nacional de Identificadores de datos Todos los ciudadanos de

Bélgica Bélgica tienen un número
nacional. Se emite una tarjeta
de identidad para todos los
Ver "Número nacional de

Número de identificación Identificadores de datos El Ministerio del Interior

personal de República otorga a todos los ciudadanos
Checa de República Checa un
personal único.

personal de República
Código del INSEE de Identificadores de datos El código del INSEE se usa

Francia en Francia como número de
seguro social y de
identificación nacional, y con
fines laborales y fiscales.
Ver "Código del INSEE de


social de Francia social francés (FSSN) es un
número único que se asigna
a cada ciudadano francés o
extranjero con residencia.

social de Francia"
en la página 1059.

social de Hungría social de Hungría (TAJ) es un
identificador único emitido por
el gobierno húngaro.

social de Hungría"
en la página 1074.
Número personal de Identificadores de datos El formato del número es una

servicio público irlandés cadena alfanumérica única
de 8 caracteres que termina
en una letra, tal como
8765432A. El número se
asigna en el momento en que
se registra un nacimiento, es
único de cada persona y se
emite en una tarjeta de
servicios públicos.
Ver "Número personal de

servicio público irlandés "
en la página 1112.
Número del Registro Identificadores de datos El número del Registro

Nacional de Personas de Nacional de Personas de
Luxemburgo Luxemburgo es un número
de identificación de 11 dígitos
emitido a todos los
ciudadanos de Luxemburgo
a la edad de 15 años.
Ver "Número del Registro

Nacional de Personas de
Luxemburgo "
en la página 1140.
Número de identificación Identificadores de datos Cada ciudadano polaco de 18

de Polonia años de edad o más con
residencia permanente en
Polonia debe tener tarjeta de
identidad, con un número
personal único. El número se
usa como identificación para

Número de REGON de Identificadores de datos Cada entidad de la economía

Polonia nacional está obligada a
registrarse en el registro de
entidades comerciales
llamado REGON en Polonia.
Es el único registro integrado
en Polonia que cubre todas
las entidades de la economía
nacional. Cada compañía
tiene un número único de
REGON.
Ver "Número de REGON de


social de Polonia (PESEL) social de Polonia (PESEL) es
nacional usado en Polonia. El
número de PESEL es
obligatorio para todos los
residentes permanentes de
Polonia y para los residentes
temporales que viven en
Polonia. Identifica únicamente
a una persona y no puede ser
transferido a otra.
social de Polonia (PESEL)"
en la página 1179.
Código personal numérico Identificadores de datos En Rumania, cada ciudadano

de Rumania tiene un código personal
numérico único (o CNP). El
número es usado por las
cliente.
Ver "Código personal

numérico de Rumania"
en la página 1188.
DNI de España Identificadores de datos El DNI de España aparece en

el Documento Nacional de
Identidad (DNI) y es emitido
por la Hacienda Pública
española a todos los
identificador único más
importante en España y se
utiliza para abrir cuentas,
firmar contratos, pagar
impuestos y participar de las
elecciones.
Ver "DNI de España"

en la página 1204.

social de España social de España es un
número de 12 dígitos
asignado a los trabajadores
españoles para permitirles el
acceso al sistema de salud
español.

social de España "
en la página 1208.
Número civil uniforme Identificadores de datos El número civil uniforme

búlgaro búlgaro (EGN) es un número
único que se asigna a cada
ciudadano belga o extranjero
con residencia. Funciona
como un número de
identificación nacional. Se
asigna un EGN a los belgas
en el momento del nacimiento
o cuando se emite un
certificado de nacimiento.
Ver "Número civil uniforme

búlgaro: EGN"
en la página 986.
Número de la seguridad Identificadores de datos Se asigna un número de

social de Austria seguro/seguridad social a los
ciudadanos austríacos que
reciben los beneficios
disponibles de la seguridad
social. Lo asigna la
asociación marco de las
autoridades de la seguridad
social de Austria.

social de Austria"
en la página 959.
Número de Id. personal de Identificadores de datos El número de identificación

Alemania personal de Alemania se
emite a todos los ciudadanos
alemanes.
Ver "Número de Id. personal


Burgerservicenummer se usa
para identificar
particularmente a los
ciudadanos y está impreso en
las licencias de conducir, los
pasaportes y las tarjetas de
identificación internacionales
debajo del encabezado
Número personal.
en la página 989.

exclusivamente a los
ciudadanos italianos y a los
extranjeros con residencia
permanente. La emisión de
este código se centraliza en
el Ministerio de Hacienda. El
Codice Fiscale se emite a
cada italiano en el
nacimiento.
Ver "Codice Fiscale"

en la página 998.

personal de Finlandia personal o el código de
identidad personal de
Finlandia es un identificador
personal único usado para
identificar a los ciudadanos
en el gobierno y muchas

personal de Finlandia"
en la página 1045.

personal de Suecia personal de Suecia es la
identificación nacional única
para cada ciudadano sueco.
El número es usado por las
cliente.

personal de Suecia"
en la página 1215.


en la página 963.
Número de identificación Identificadores de datos En Dinamarca, todos los

personal de Dinamarca ciudadanos tienen un número
de identificación nacional. El
número se utiliza como
prueba de identificación para

personal de Dinamarca"
en la página 1027.

en la página 1159.


en la página 1047.
Número de seguro de salud Identificadores de datos Una "Carte Vitale" es una

de Francia tarjeta de seguro social usada
en Francia que contiene
información para el titular de
la tarjeta. Tiene un número
de serie único de 21 dígitos.

salud de Francia"
en la página 1049.


en la página 1065.
Número de seguro de salud Identificadores de datos El Ministerio Italiano de

de Italia Economía y Finanzas, en
conjunto con la Agencia de
Ingresos de Italia, emite la
tarjeta de seguro de salud de
Italia para todos los
ciudadanos de Italia. El
objetivo de la tarjeta es
mejorar los servicios de
seguridad social mediante el
control de gastos y el
rendimiento, y optimizar el
uso de los servicios de salud
para los ciudadanos.

salud de Italia"
en la página 1118.
Regulación general de protección de datos (perfil personal)


conducir de Italia"
en la página 1117.


en la página 1198.
Tarjeta de identidad de Identificadores de datos La tarjeta de identidad de

Ucrania Ucrania tiene un número de
registro de 15 dígitos emitido
para los ciudadanos de
Ucrania. A partir de 2016, se
usa como una forma de
identificación en lugar del
pasaporte nacional de
Ucrania.
Ver "Tarjeta de identidad de

Ucrania" en la página 1244.
Regulación general de protección de datos (perfil

personal)
Esta plantilla se centra en palabras clave relacionadas con el perfil personal,
identificadores de datos y un perfil de EDM con columnas relacionadas. El GDPR
es una regulación por la cual la Comisión Europea se propone fortalecer y unificar
la protección de datos para los individuos dentro de la UE. Además, aborda la
exportación de los datos personales fuera de la UE. Los objetivos principales de
la Comisión del GDPR son devolverles a los ciudadanos el control de sus datos
Regulación general de protección de datos (viaje)
personales y simplificar el entorno regulador para el negocio internacional al unificar

la regulación dentro de la UE.
Tabla 38-33 Regla de detección de las regulaciones generales de protección de

datos (perfil personal)
Palabras clave relacionadas Coincidencia de palabras Coincide con una lista de

de GDPR relacionadas con clave palabras clave relacionadas:
perfiles personales
academic details, work
history, professional
qualification, summary of
qualifications, bio data,
bio-data, CV, curriculum
vitae

Esta plantilla se centra en palabras clave relacionadas con viajes, identificadores
de datos y un perfil de EDM con columnas relacionadas. El GDPR es una regulación
por la cual la Comisión Europea se propone fortalecer y unificar la protección de
datos para los individuos dentro de la UE. Además, aborda la exportación de los
datos personales fuera de la UE. Los objetivos principales de la Comisión del GDPR
son devolverles a los ciudadanos el control de sus datos personales y simplificar
el entorno regulador para el negocio internacional al unificar la regulación dentro
de la UE.

datos (viaje)
Coincidencia de palabras Coincide con una lista de

clave palabras clave relacionadas:
número de cuenta, número

de tarjeta bancaria, número
de licencia de conducir,
número de tarjeta de Id.,
nombre de pasajero,
número de asiento, detalles
de equipaje, detalles de
viaje, detalles de compra,
facturación de compra,
boleto de viaje, factura de
viaje, detalles del pasajero,
detalles del turista

Reino Unido.

en la página 1230.
Número de pasaporte del Identificadores de datos El número de pasaporte del

Reino Unido Reino Unido identifica un
pasaporte del Reino Unido
con la especificación oficial
actual de los Estándares del
Gobierno del Reino Unido de
la Oficina de Gabinete del
Reino Unido.

del Reino Unido"
en la página 1238.
Número de pasaporte de Identificadores de datos El pasaporte de Francia es

Francia un documento de identidad
emitido para los ciudadanos
franceses. Además de
habilitar al portador para
viajar internacionalmente y de
servir como indicación de la
ciudadanía francesa, el
pasaporte facilita el proceso
de asegurar la ayuda de los
funcionarios consulares
franceses en el extranjero o
de otros Estados miembro de
la Unión Europea en caso de
que un consular francés esté
ausente, si es necesario.

Número de pasaporte Identificadores de datos Se emite un número de

alemán pasaporte alemán a los
ciudadanos de Alemania para
que puedan realizar viajes
internacionales. Un pasaporte
alemán es un documento
oficial que las autoridades
alemanas aceptan como
prueba de identidad de los

alemán" en la página 1061.
Número de pasaporte de Identificadores de datos Los pasaportes de España se

España otorgan a los ciudadanos
españoles con el fin de que
viajen fuera de España.

España" en la página 1206.
Número de pasaporte de Identificadores de datos Los pasaportes de Suecia se

Suecia otorgan a los ciudadanos
suecos para que puedan
realizar viajes
internacionales. Además de
servir como prueba de la
ciudadanía sueca, facilita el
proceso de obtención de
ayuda de los funcionarios
consulares suecos en el
miembros de la Unión
Europea en caso de que un
funcionario consular sueco

Suecia" en la página 1213.
Número de pasaporte de Identificadores de datos Los pasaportes de Austria

Austria son documentos de viaje
emitidos a ciudadanos
austríacos por la Oficina de
Pasaportes del Departamento
de Asuntos Exteriores y
Comercio de Austria, tanto en
Austria como en el exterior,
que habilitan al titular del
pasaporte a viajar
internacionalmente.

Austria" en la página 955.
Número de pasaporte de Identificadores de datos Los pasaportes de Bélgica

Bélgica son emitidos por el estado de
Bélgica para los ciudadanos
con el fin de facilitar el
transporte internacional. El
Servicio Público Federal de
Asuntos Exteriores,
Ministerio de Asuntos
Exteriores, es responsable de
la emisión y la renovación de
pasaportes en Bélgica.



en la página 963.


en la página 1159.
Número de pasaporte de Identificadores de datos Los pasaportes de los Países

los Países Bajos Bajos se emiten para los
ciudadanos de los Países
Bajos para el transporte
internacional.

los Países Bajos"
en la página 1161.


en la página 1047.


en la página 1065.
Número de pasaporte de Identificadores de datos Los pasaportes italianos se

Italia emiten para los ciudadanos
italianos para el transporte
internacional.



conducir de Italia"
en la página 1117.
Plantilla de políticas de Gramm-Leach-Bliley


en la página 1198.
Número de pasaporte Identificadores de datos Documento de identidad

nacional de Ucrania emitido para los ciudadanos
de Ucrania para uso interno.
A partir de 2016, se
reemplazó por la tarjeta de
identidad de Ucrania, pero los
pasaportes existentes aún
son válidos.

(nacional)" en la página 1243.
Número de pasaporte Identificadores de datos Un documento usado por

internacional de Ucrania ciudadanos de Ucrania para
viajar fuera de Ucrania.

(internacional)"
en la página 1247.

La Ley de Gramm-Leach-Bliley (GLB) otorga a los consumidores el derecho a
limitar parcialmente el uso compartido de información personal entre instituciones
financieras.
La plantilla de políticas de Gramm-Leach-Bliley detecta la transmisión de datos de
clientes.
Tabla 38-35 Condiciones de la plantilla de políticas de Gramm-Leach-Bliley
Método de detección Tipo Descripción
Combinaciones de nombre Regla simple: Esta regla busca nombres de usuario y contraseñas en la
de usuario/contraseña EDM combinación.
SSN o CCN exactos Regla simple: Esta regla busca el SSN o el número de tarjeta de crédito.
EDM
Directorio del cliente Regla simple: Esta regla busca el teléfono o el correo electrónico.
EDM
3 o más campos críticos de Regla simple: Esta regla busca una coincidencia entre cualquiera de los tres
clientes EDM campos siguientes:
■ Nombre
■ Apellidos
■ Número de PIN
■ Número de la seguridad social
Sin embargo, las combinaciones siguientes no son una coincidencia:
■ Teléfono, correo electrónico y nombre

■ Teléfono, correo electrónico y apellidos
■ Correo electrónico, nombre y apellidos
■ Teléfono, nombre y apellidos
Números de ABA Regla simple: Esta condición detecta números de nueve dígitos. Valida el número
DCM (DI) usando el dígito de comprobación final. Esta condición elimina
números de prueba comunes, como 123456789, rangos reservados
para uso futuro y repetición del mismo dígito. Esta condición,
además, necesita la presencia de una palabra clave relacionada
con ABA.

Plantilla de la política HIPAA e HITECH (incluida PHI [del inglés Protected Health Information: Información Protegida
sobre la Salud])
Método de detección Tipo Descripción
Números de la seguridad Regla simple: Esta regla busca números de la seguridad social. Para que esta
social de los EE. UU. DCM (DI) regla coincida, debe haber un número que concuerde con el
identificador de datos del SSN de los EE. UU. calculado de forma
aleatoria. También debe haber una palabra clave o una frase que
indique la presencia de un número de la seguridad social de los EE.
UU. con una palabra clave del diccionario de “palabras clave de
números de la seguridad social de los EE. UU.”. La condición de
palabra clave se incluye para reducir falsos positivos con cualquier
número que pueda coincidir con el formato de SSN.
Ver "Número de la seguridad social (SSN) de los EE. UU. calculado

de forma aleatoria" en la página 1185.
Números de tarjeta de Regla simple: Esta condición detecta los números de tarjeta de crédito válidos
crédito DCM (DI) separados por espacios, guiones largos o puntos, o sin separadores.
Esta condición valida comprobaciones de Luhn e incluye los formatos
siguientes de tarjeta de crédito:
■ American Express
■ Diner's Club
■ Discover
■ Japan Credit Bureau (JCB)
■ MasterCard
■ Visa
Esta regla elimina los números de prueba comunes, incluidos los

reservados por los emisores de tarjetas de crédito con fines de
prueba, y, además, requiere una palabra clave relacionada con
tarjeta de crédito.

Plantilla de la política HIPAA e HITECH (incluida PHI

[del inglés Protected Health Information: Información
Protegida sobre la Salud])
La política HIPAA e HITECH (incluida PHI [del inglés Protected Health
Information: Información Protegida sobre la Salud]) impone estrictamente la
Ley de Portabilidad y de Responsabilidad del Seguro de Salud de EE. UU. (HIPAA).
La Ley de Tecnología de la Información para la Economía y el Estado Clínico
sobre la Salud])
(HITECH) es la primera ley nacional que regula las notificaciones por infracción
para información protegida sobre la salud (PHI).
Esta plantilla de la política detecta los datos referentes los medicamentos de venta
con receta, las enfermedades y a los tratamientos conjuntamente con la PHI. Las
organizaciones que no están sujetas a la ley HIPAA pueden usar esta política para
controlar datos de PHI.
La plantilla de la política HIPAA e HITECH (incluida PHI [del inglés Protected Health
Information: Información Protegida sobre la Salud]) se actualiza con las listas de
palabras clave recientes de medicamentos y enfermedades y de tratamientos
basadas en la información de la Administración de Alimentos y Fármacos (FDA)
de los EE. UU. y de otras fuentes. La plantilla de la política también se actualiza
para utilizar el identificador de datos del número de la seguridad social (SSN) de
los EE. UU. calculado de forma aleatoria, que detecta SSN tradicionales y
seleccionados al azar.
La Tabla 38-36 describe la excepción de TPO que es proporcionada por la plantilla.
Los TPO (tratamiento, pago u operaciones de atención sanitaria) son proveedores
de servicios para las organizaciones de atención sanitaria y tienen una excepción
para las restricciones de información de la ley HIPAA. La plantilla necesita que se
escriban las direcciones de correo electrónico permitidas. Si se implementa, la
excepción se evalúa antes de las reglas de detección, y la política no acciona un
incidente si la información protegida se envía a uno de los partners permitidos.
Tabla 38-36 Excepción de TPO
Nombre Tipo Configuración
Excepción de TPO El contenido coincide con la Excepción simple (una sola coincidencia de la condición).
palabra clave (DCM)
Busca una dirección de correo electrónico de destinatario
que coincida con una de las “direcciones de correo
electrónico de TPO” del diccionario de palabras clave
definido por el usuario.
Tabla 38-37 es una regla de detección de datos del paciente que busca una
coincidencia de datos exacta frente a cualquier columna de un registro de base de
datos de datos de pacientes perfilados.
sobre la Salud])
Tabla 38-37 Regla de detección de datos del paciente
Nombre Tipo Configuración
Datos del paciente El contenido coincide con Coincidencia de datos de un único campo:
■ Apellidos
■ Id. de contribuyente (SSN)

en la página 443.
Tabla 38-38 es una regla compuesta de detección que requiere una coincidencia
exacta de los datos de pacientes y una coincidencia del identificador de datos del
“código relacionado con fármacos”.
Tabla 38-38 Regla de detección de los datos del paciente y de los códigos
relacionados con fármacos
Nombre Tipos de condiciones Configuración
Datos del paciente y códigos El contenido coincide con Busca una coincidencia con alguna única columna de
relacionados con fármacos datos estructurados (EDM) un registro de base de datos del paciente perfilado y
una coincidencia del identificador de datos de Código
Y
Nacional de Fármacos.
El contenido coincide con el
Ver "Código Nacional de Fármacos (NDC)"
en la página 1155.
La Tabla 38-39 es una regla compuesta de detección que requiere una coincidencia
exacta de los datos de pacientes y una coincidencia de palabra clave del diccionario
de “nombres de fármacos de venta con receta”.
sobre la Salud])
Tabla 38-39 Regla de detección de los datos del paciente y de los nombres de
fármacos de venta con receta
Nombre Tipo de condición Configuración
Datos del paciente y El contenido coincide con Busca una coincidencia con alguna única columna de
nombres de fármacos de datos estructurados (EDM) un registro de base de datos del paciente perfilado y
venta con receta una coincidencia de palabra clave del diccionario de
Y
nombres de fármacos de venta con receta.
El contenido coincide con la
palabra clave (DCM)
Ver "Actualizar las políticas después de actualizar a la
versión más reciente" en la página 486.
de "palabras claves relacionadas con el tratamiento médico".
Tabla 38-40 Regla de detección de los datos del paciente y de las palabras clave
relacionadas con el tratamiento
Palabras clave relacionadas El contenido coincide con Busca una coincidencia con alguna única columna de
con el tratamiento y datos del datos estructurados (EDM) un registro de base de datos del paciente perfilado y
paciente una coincidencia de palabra clave del diccionario de
Y
palabras claves relacionadas con el tratamiento médico.
palabra clave (DCM)
de “nombres de enfermedades”.
sobre la Salud])
Tabla 38-41 Regla de detección de los datos del paciente y de las palabras clave
relacionadas con enfermedades
Palabras clave relacionadas El contenido coincide con Busca una coincidencia frente a columna de registro de
con enfermedad y datos del datos estructurados (EDM) base de datos del paciente perfilado y una coincidencia
paciente de palabra clave del diccionario de nombres de
Y
enfermedades.
palabra clave (DCM)
La Tabla 38-42 es una regla compuesta de detección que busca SSN usando el
identificador de datos del número de la seguridad social (SSN) de los EE. UU.
calculado de forma aleatoria y una palabra clave del diccionario de “nombres de
fármacos de venta con receta”.
Tabla 38-42 Regla de detección de palabras clave relacionadas con SSN y drogas
Palabras clave relacionadas El contenido coincide con el Identificador de datos del número de la seguridad social
con SSN y fármacos identificador de datos (SSN) de los EE. UU. calculado de forma aleatoria
(amplitud baja)
Y
Ver "Número de la seguridad social (SSN) de los EE.
UU. calculado de forma aleatoria" en la página 1185.
palabra clave
Diccionario de palabras clave relacionadas con fármacos
de venta con receta

calculado de forma aleatoria y una coincidencia de palabra clave del diccionario
de "palabras claves relacionadas con el tratamiento médico".
sobre la Salud])
Tabla 38-43 Regla de detección de palabras clave relacionadas con SSN y

tratamiento
con SSN y tratamiento identificador de datos (SSN) de los EE. UU. calculado de forma aleatoria
(amplitud baja)
Y
palabra clave
Diccionario de palabras clave relacionadas con
tratamiento médico

calculado de forma aleatoria y una coincidencia de palabra clave del diccionario
de “nombres de enfermedades”.
Tabla 38-44 Regla de detección de palabras clave relacionadas con SSN y

enfermedades
con SSN y enfermedades identificador de datos (SSN) de los EE. UU. calculado de forma aleatoria
(amplitud baja)
Y
palabra clave
Diccionario de palabras clave relacionadas con nombres
de enfermedades

calculado de forma aleatoria y un código relacionado con fármacos usando el
identificador de datos del código relacionado con fármacos.
Plantilla de políticas de la Ley de Derechos Humanos del año 1998
Tabla 38-45 Regla de detección de SSN y de código relacionado con fármacos
Código de SSN y fármacos El contenido coincide con el Identificador de datos del número de la seguridad social
identificador de datos (SSN) de los EE. UU. calculado de forma aleatoria
(amplitud baja)
Y
palabra clave
Identificador de datos del código relacionado con
fármacos (amplitud baja)
Ver "Código Nacional de Fármacos (NDC)"

en la página 1155.

Plantilla de políticas de la Ley de Derechos Humanos

del año 1998
La Ley de Derechos Humanos del año 1998 permite que los ciudadanos del Reino
Unido afirmen sus derechos conforme a la Convención Europea de Derechos
Humanos en cortes y tribunales del Reino Unido. La ley indica que “en la medida
de lo posible, la legislación debe leerse y cumplirse de una manera que sea
compatible con los derechos de la convención”. La política de la Ley de Derechos
Humanos del año 1998 impone el artículo 8 para asegurar que las vidas privadas
de ciudadanos del Reino Unido permanezcan privadas.
Regla de EDM Ley de Protección de Datos, datos personales
Esta regla compuesta busca dos tipos de datos, los apellidos y el

número de registro electoral, junto con una palabra clave del diccionario
de “palabras clave relacionadas con datos personales del Reino Unido”.
Plantilla de políticas de drogas ilegales
Regla de DCM Números de registro electoral del Reino Unido

Esta regla busca una única condición compuesta con cuatro partes:
■ Una única palabra clave del diccionario de “palabras clave del Reino
Unido”
■ Una correlación de patrones que coincida con el identificador de
datos de los Números de registro electoral del Reino Unido
■ Una única palabra clave del diccionario de “palabras de números
de registro electoral del Reino Unido”
■ Una única palabra clave del diccionario de “palabras clave
relacionadas con datos personales del Reino Unido”

Plantilla de políticas de drogas ilegales

Esta política detecta conversaciones acerca de drogas ilegales y sustancias de
uso controlado.
Regla de DCM Drogas ilegales
Esta regla busca cinco sesiones de palabras clave del diccionario de

“nombres de drogas ilegales”.
Regla de DCM Sustancias de uso controlado producidas en serie
Esta regla busca cinco sesiones de palabras clave del diccionario de

“sustancias manufacturadas de uso controlado”.

Plantilla de políticas de números de Identificación

Personal del Contribuyente (ITIN)
Un número de identificación personal del contribuyente (ITIN) es un número de
procesamiento fiscal emitido por el Servicio de Impuestos Internos (IRS) de los
EE. UU. El IRS emite los ITIN para realizar el seguimiento de individuos que no
cuentan con los requisitos para obtener el Número de la Seguridad Social (SSN).
Plantilla de políticas de Regulaciones de Tráfico Internacional de Armas (ITAR)
Tabla 38-46 Condiciones de la plantilla de políticas de ITIN
Regla de palabras clave de Descripción

DCM
ITIN Esta regla busca una coincidencia con el identificador de datos de ITIN de los
EE. UU. y una palabra clave del diccionario de “palabras clave relacionadas con
el ITIN de los EE. UU.”.

Plantilla de políticas de Regulaciones de Tráfico

Internacional de Armas (ITAR)
Las Regulaciones de Tráfico Internacional de Armas (ITAR) son impuestas por el
Departamento de Estado de los EE. UU.. Los exportadores de servicios de defensa
o de datos técnicos relacionados son necesarios para registrarse en el Gobierno
federal y pueden necesitar licencias de exportación. Esta política detecta las
infracciones potenciales basadas en los países y los activos controlados designados
por ITAR.
La regla de detección Elementos indizados de la lista de armamento y destinatarios
de ITAR busca un código de país en el destinatario del diccionario de “los códigos
de país de ITAR” y para un “SKU” específico de un archivo indizado de EDM.
Tabla 38-47 Regla de detección Elementos indizados de la lista de armamento

y destinatarios de ITAR
Método Condiciones Configuración

(ambas deben
coincidir)
Regla El destinatario Coincidir el correo electrónico del destinatario o

compuesta coincide con el dominio de la URL de la lista de códigos de país de
patrón (DCM) ITAR:
■ Gravedad: Alta.
El contenido Ver "Selección de un perfil de datos estructurados"

coincide con datos en la página 443.
estructurados
(EDM)
Plantilla de políticas Archivos de soportes
La regla de detección de Lista de armamento y destinatarios de ITAR busca un

código de país en el destinatario del diccionario de “códigos de país de ITAR” y
una palabra clave del diccionario de “nombres de municiones de ITAR”.
Tabla 38-48 Regla de detección de Lista de armamento y destinatarios de ITAR
Método Condiciones Configuración

(ambas deben
coincidir)
Regla El destinatario Coincidir el correo electrónico del destinatario o

compuesta coincide con el dominio de la URL de la lista de códigos de país de
patrón (DCM) ITAR:
■ Gravedad: Alta.
■ Por lo menos 1 patrón de destinatario debe
coincidir.
El contenido Coincidir cualquier palabra clave de la lista de

coincide con la armamento de ITAR:
palabra clave
■ Gravedad: Alta.
(DCM)
■ Buscar en sobre, asunto, cuerpo, archivos
adjuntos.
■ Establecer coincidencia solo con palabras
completas.
■ Gravedad: Alta.


La política Archivos de soportes detecta diversos tipos de archivos de video y de
audio (incluido el formato mp3).
Plantilla de políticas Acuerdos de fusión y adquisición
Regla de DCM Archivos de soportes
Esta regla busca los siguientes tipos de archivos de soportes:
■ qt
■ riff
■ macromedia_dir
■ midi
■ mp3
■ mpeg_movie
■ quickdraw
■ realaudio
■ wav
■ video_win
■ vrml
Regla de DCM Extensiones de archivos de soportes
Esta regla busca extensiones de nombre de archivo del diccionario de

“extensiones de archivos de soportes”.


La política Acuerdos de fusión y adquisición detecta contratos y documentación
oficial referida a actividad de fusión y adquisición.
Es posible modificar esta plantilla con palabras clave específicas de la empresa
para detectar acuerdos específicos.
La plantilla Acuerdos de fusión y adquisición proporciona una única regla de
detección compuesta. Todas las condiciones de la regla deben coincidir para que
la regla active un incidente.
Tabla 38-49 Regla de detección compuesta Acuerdos de fusión y adquisición
Condición Configuración
Palabras clave específicas ■ Hacer coincidir cualquier palabra clave: fusión, acuerdo, contrato, carta de
relacionadas con contrato intención, hoja de estipulaciones, plan de reorganización
(coincidencia de palabras ■ Gravedad: Alta.
clave) ■ Comprobar si existe.
Palabras clave de estructura ■ Hacer coincidir cualquier palabra clave: sucursal, sucursales, afiliada,
corporativa de adquisición comprador, filial, contratante, compañía adquirida, adquisición de compañía,
(coincidencia de palabras sociedad resultante, compañía resultante
clave) ■ Gravedad: Alta.
Palabras clave de ■ Hacer coincidir cualquier palabra clave: valores de fusión, consideración de
consideración de fusión fusión, títulos de canje, capital social, acciones divergentes, estructura de
(coincidencia de palabras capital, fondo de fideicomiso, cuenta de fideicomiso, agente de fideicomiso,
clave) acciones de fideicomiso, efectivo de fideicomiso, monto del fideicomiso,
consideración de acciones, gastos de disolución, fondo de comercio
■ Gravedad: Alta.
Palabras clave de contrato ■ Coincidencia de cualquier palabra clave: narraciones, en fe de lo cual,

lícito (coincidencia de palabras legislación aplicable, indemnizar, indemnizado, indemnización, página que
clave) contiene la firma, compromiso, negligencia grave, mala conducta intencional,
representante autorizado, gravedad, incumplimiento material
■ Gravedad: Alta.

Plantilla de políticas de regla 2711 de NASD y reglas 351 y 472 de NYSE
Plantilla de políticas de regla 2711 de NASD y reglas

351 y 472 de NYSE
Esta política protege los nombres de cualquier compañía implicada en una oferta
de acciones próxima, nombres internos de proyecto para la oferta y los símbolos
de cinta de cotizaciones bursátiles para las compañías ofertantes.
La regla de detección de los documentos de la regla 2711 de NASD indizados
busca el contenido en los documentos específicos registrados como confidenciales
y conocidos por estar sujetos a la regla 2711 de NASD o las reglas 351 y 472 de
NYSE. Esta regla devuelve una coincidencia si el 80% o más del documento de
origen se encuentra.
Tabla 38-50 Regla de detección de documentos de la regla 2711 de NASD

indizados
Regla simple El contenido Documentos de la regla 2711 de NASD indizados (IDM):

coincide con la
■ Detecta los documentos en el perfil de documento indizado seleccionado
firma del
■ Necesita por lo menos la coincidencia de contenido del 80%.
documento (IDM)
■ Gravedad: Alta.
■ Buscar en cuerpo, archivos adjuntos.
La regla de detección de la 2711 de NASD y las reglas 351 y 472 de NYSE

conforman una regla compuesta que contiene una condición de remitente y una
condición de palabra clave. La condición de remitente se basa en una lista definida
por el usuario de direcciones de correo electrónico de los analistas de la
investigación en la compañía del usuario (diccionario de “direcciones de correo
electrónico de los analistas”). La condición de palabra clave busca cualquier oferta
de acciones próxima, nombre interno de proyecto para la oferta y los símbolos de
cinta de cotizaciones bursátiles para las compañías ofertantes (diccionario de
“palabras clave de NASD 2711”). Como la condición de remitente, necesita la
edición del usuario.
Plantilla de políticas de regla 3010 de NASD y regla 342 de NYSE
Tabla 38-51 Regla de detección de la regla 2711 de NASD y las reglas 351 y 472
de NYSE
Regla compuesta El Regla 2711 de NASD y reglas 351 y 472 de NYSE (remitente):
remitente/usuario
■ Coincidir patrones del remitente [research_analyst@company.com]
coincide con el
(definido por el usuario)
patrón (DCM)
■ Gravedad: Alta.
El contenido Regla 2711 de NASD y reglas 351 y 472 de NYSE (coincidencia de palabra
coincide con la clave):
palabra clave
■ Coincide con “[símbolo de acciones de la compañía]”, “[nombre de la
(DCM)
compañía ofertante]”, “[nombre de ofertante (nombre interno)]”.
■ Gravedad: Alta.

Plantilla de políticas de regla 3010 de NASD y regla

342 de NYSE
La regla 3010 de NASD y la regla 342 de NYSE requieren que los corredores de
bolsa supervisen ciertas comunicaciones de empleados de corretaje. La política
de la regla 3010 de NASD y la regla 342 de NYSE supervisa las comunicaciones
de los directores registrados que están sujetos a estas regulaciones.
La regla de detección de recomendación sobre acciones busca una palabra clave
en el diccionario de “palabras clave relacionadas con acciones de NASD 3010” y
“palabras clave relacionadas con compras y ventas de NASD 3010”. Además, esta
regla necesita pruebas de una recomendación sobre acciones conjuntamente con
una acción de compra o de venta.
Plantilla de políticas de regla 3010 de NASD y regla 342 de NYSE
Tabla 38-52 Regla de detección de recomendación sobre acciones
Método Condiciones (todas Configuración

deben coincidir)
Regla compuesta El contenido coincide con Hacer coincidir palabra clave: “recomendar”
la palabra clave (DCM)
■ Gravedad: Alta.
El contenido coincide con Hacer coincidir palabra clave: “comprar” o “vender”

■ Gravedad: Alta.
El contenido coincide con Hacer coincidir palabra clave: “acción, acciones, título, títulos,
la palabra clave (DCM) valor, valores”
■ Gravedad: Alta.
La regla de detección de palabras clave relacionadas con la regla 3010 de NASD

y la regla 342 de NYSE busca las palabras clave en el diccionario de “palabras
clave generales de NASD 3010”, que buscan cualquier actividad general de corredor
de bolsa común y las palabras clave relacionadas con acciones.
Plantilla de políticas de Pautas de seguridad para empresas de electricidad del NERC
Tabla 38-53 Regla de detección de palabras clave relacionadas con la regla 3010
de NASD y la regla 342 de NYSE
Método Condiciones (ambas Configuración

deben coincidir)
Regla compuesta El contenido coincide con Hacer coincidir palabra clave: “autorizar”, “discreción”,
la palabra clave (DCM) “garantizar”, “opciones”
■ Gravedad: Alta.
El contenido coincide con Hacer coincidir palabra clave: “acción, acciones, título, títulos,
la palabra clave (DCM) valor, valores”
■ Gravedad: Alta.

Plantilla de políticas de Pautas de seguridad para

empresas de electricidad del NERC
Las pautas del Consejo Norteamericano de Confiabilidad Eléctrica (NERC) para
proteger la información potencialmente confidencial describe cómo proteger y
asegurar datos sobre la infraestructura crítica de electricidad.
Esta política detecta la información resumida en las pautas de seguridad del NERC
para el sector de electricidad.
Plantilla de políticas de Pautas de seguridad para empresas de electricidad del NERC
Tabla 38-54 Regla de detección de personal de respuesta clave
Método de detección Condición de coincidencia Configuración
Regla simple El contenido coincide con Hacer coincidir tres de los elementos de datos siguientes:
■ Nombre
■ Apellidos
■ Teléfono

en la página 443.
Tabla 38-55 Regla de detección de mapas de infraestructura de red
Método de detección Condición de coincidencia Configuración
Regla simple Documentos indizados de Esta regla necesita una coincidencia binaria exacta.
coincidencias de contenido
Ver "Cómo elegir un perfil de documento indizado"
(IDM)
en la página 445.
La regla de detección de palabras clave relacionadas con “confidencial” y palabras

clave relacionadas con “vulnerabilidad” busca cualquier coincidencia de palabras
clave del diccionario de las “palabras clave relacionadas con confidencial” y del
diccionario de las “palabras clave relacionadas con vulnerabilidad”.
Plantilla de políticas Diagramas de red
Tabla 38-56 Regla de detección de palabras clave relacionadas con “confidencial”

y palabras clave relacionadas con “vulnerabilidad”
Método de detección Condiciones de Configuración

coincidencia
Regla compuesta El contenido coincide con la Hacer coincidir cualquier palabra clave relacionada con
palabra clave (DCM) confidencial:
■ Gravedad: Alta.
El contenido coincide con la Coincidir cualquier palabra clave relacionada con

palabra clave (DCM) vulnerabilidad:
■ Gravedad: Alta.

Plantilla de políticas Diagramas de red

La política Diagramas de red detecta diagramas de red de equipos en riesgo de
exposición.
Regla de IDM Diagramas de red, indizados
Esta regla busca el contenido de diagramas de red específicos que se

registran como confidenciales. Esta regla devuelve una coincidencia
si se detecta el 80% o más del documento de origen.
Regla de DCM Diagramas de red con direcciones IP
Esta regla busca un tipo de archivo Visio combinado con un identificador

de datos de dirección IP.
Regla de DCM Diagramas de red con palabra clave de dirección IP
Esta regla busca un tipo de archivo Visio combinado con variaciones

de la frase “dirección IP” con un identificador de datos.
Plantilla de políticas Seguridad de la red

Plantilla de políticas Seguridad de la red

La política Seguridad de la red detecta pruebas de herramientas de hacking y
planificación de ataques.
Regla de DCM Actividad de GoToMyPC
Esta regla busca un formato de comando GoToMyPC con un

Regla de DCM Palabras clave de hacker
de hacker”.
Regla de DCM Palabras clave de registradores de pulsaciones
de registrador de pulsaciones”.

Plantilla de políticas Vocabulario ofensivo

La política Vocabulario ofensivo detecta el uso de vocabulario ofensivo.
Regla de DCM Vocabulario ofensivo, explícito
Esta regla busca cualquier palabra clave única en el diccionario de

“vocabulario ofensivo, explícito”.
Regla de DCM Vocabulario ofensivo, general
Esta regla busca cualquiera de los tres casos de palabras clave en el

diccionario de “vocabulario ofensivo, general”.

Plantilla de políticas de la Oficina de Control de Activos Internacionales (OFAC)
Plantilla de políticas de la Oficina de Control de

Activos Internacionales (OFAC)
La Oficina de Control de Activos Internacionales (OFAC) del Departamento del
Tesoro de los EE. UU. administra e impone sanciones económicas y comerciales.
Estas sanciones se basan en políticas internacionales de los EE. UU. y en los
objetivos de seguridad nacional frente a ciertos países, individuos y organizaciones.
La política de la Oficina de Control de Activos Internacionales (OFAC) detecta las
comunicaciones que implican a estos grupos de destino.
La política de la OFAC tiene dos partes principales. La primera tiene que ver con
la lista de ciudadanos especialmente designados y la segunda se ocupa de las
restricciones generales de la política de la OFAC.
La lista SDN hace referencia a las personas o las organizaciones específicas que
están sujetas a las restricciones comerciales. El Departamento del Tesoro de los
EE. UU. proporciona a los archivos de texto nombres específicos, última dirección
conocida y alias conocidos para estos individuos y entidades. El Departamento del
Tesoro estipula que las direcciones pueden no ser correctas o actuales, y que
diversas ubicaciones no cambian las restricciones para personas y organizaciones.
En la plantilla de políticas de la OFAC, Symantec Data Loss Prevention ha limpiado
la lista para hacerla más utilizable y práctica. Esto incluye la extracción de palabras
clave y de frases clave de la lista de nombres y de alias, puesto que los nombres
no aparecen siempre en el mismo formato que la lista. Además, los nombres
comunes se han eliminado para reducir falsos positivos. Por ejemplo, una
organización en la lista SDN se conoce como “SARA”. Dejar esto en la lista
generaría un alto índice de falsos positivos. Las “propiedades de SARA” son otra
entrada en la lista. Se usa como frase clave en la plantilla porque la incidencia de
esta frase es mucho más baja que la de “SARA” solamente. La lista de nombres
y de organizaciones se considera conjuntamente con los países comúnmente
encontrados en la lista de direcciones SDN. Los 12 países principales en la lista
se consideran una vez que se vuelven a eliminar los países que generalmente
ocurren. La plantilla busca los destinatarios con alguno de los países enumerados
como el código de país designado. Esta lista SDN reduce al mínimo los falsos
positivos mientras aún detecta transacciones o comunicaciones con los partidos
restringidos conocidos.
La política de la OFAC además proporciona pautas acerca de las restricciones que
el Departamento del Tesoro de los EE. UU. ha puesto en el comercio general con
los países específicos. Esto es distinto de la lista SDN, puesto que no se especifican
los individuos y las organizaciones. La lista de sanciones generales se puede
encontrar aquí:
http://www.treasury.gov/offices/enforcement/ofac/programs/index.shtml
Plantilla de políticas de la Oficina de Control de Activos Internacionales (OFAC)
La plantilla de la Oficina de Control de Activos Internacionales (OFAC) busca los

destinatarios en los países detallados en OFAC por código de país designado.
La regla de detección de la Lista de ciudadanos especialmente designados y
destinatarios de la OFAC busca un destinatario con un código de país que coincida
con entradas en la especificación de los “códigos de país SDN de la OFAC”
conjuntamente con una coincidencia en una palabra clave del diccionario de la
“lista de ciudadanos especialmente designados”.
Tabla 38-57 Regla de detección de la lista de ciudadanos especialmente

designados y destinatarios de la OFAC
Regla compuesta El destinatario Lista de ciudadanos especialmente designados y destinatarios de la

coincide con el patrón OFAC (destinatario):
(DCM)
■ Coincide el correo electrónico o el dominio de URL por código de país
SDN de la OFAC.
■ Gravedad: Alta.
El contenido coincide Lista de ciudadanos especialmente designados (coincidencia de palabra

con la palabra clave clave):
(DCM)
■ Coincide con la palabra clave de la lista de ciudadanos especialmente
designados.
■ Gravedad: Alta.
La regla de detección de las comunicaciones con países de la OFAC busca un

destinatario con un código de país que coincida con entradas de la lista de los
“códigos de país de la OFAC”.
Plantilla de políticas de Regulaciones FIPS 199 y Memorándum 06-16 de la OMB
Tabla 38-58 Regla de detección de las comunicaciones con países de la OFAC
Regla simple El destinatario Comunicaciones a países de la OFAC (destinatario):

coincide con el patrón
■ Coincide el correo electrónico o el dominio de la URL por código de
(DCM)
país de la OFAC.
■ Gravedad: Alta.

Plantilla de políticas de Regulaciones FIPS 199 y

Memorándum 06-16 de la OMB
Esta política detecta la información clasificada como confidencial según las
instrucciones establecidas en la publicación 199 de los Estándares Federales de
Procesamiento de Información (FIPS) del Instituto Nacional de Estándares y
Tecnología (NIST). El NIST es responsable de establecer los estándares y las
instrucciones para la seguridad de datos conforme a la Ley de Administración de
la Seguridad de la Información Federal (FISMA).
Esta plantilla contiene tres reglas de detección simples. Si cualquier regla informa
una coincidencia, la política activa un incidente.
La regla de detección de los indicadores de confidencialidad alta busca cualquier
palabra clave en el diccionario de “confidencialidad alta”.
Tabla 38-59 Regla de detección de los indicadores de confidencialidad alta
Regla simple El contenido Indicadores de confidencialidad alta (coincidencia de palabra clave):

coincide con la
■ Hacer coincidir “(confidencialidad, alta)”, “(confidencialidad,alta)”
palabra clave
■ Gravedad: Alta.
Plantilla de políticas Archivos de contraseña
La regla de detección de los indicadores de confidencialidad moderada busca

cualquier palabra clave en el diccionario de “confidencialidad moderada”.
Tabla 38-60 Regla de detección de los indicadores de confidencialidad moderada
Regla simple El contenido Indicadores de confidencialidad moderada (coincidencia de palabra clave):

coincide con la
■ Hacer coincidir “(confidencialidad, moderada)”,
palabra clave
“(confidencialidad,moderada)”
■ Gravedad: Alta.
La regla de detección de los indicadores de confidencialidad baja busca cualquier

palabra clave en el diccionario de “confidencialidad baja”.
Tabla 38-61 Regla de detección de los indicadores de confidencialidad baja
Regla simple El contenido Indicadores de confidencialidad baja (coincidencia de palabra clave):

coincide con la
■ Hacer coincidir “(confidencialidad, baja)”, “(confidencialidad,baja)”
palabra clave
■ Gravedad: Alta.

Plantilla de políticas Archivos de contraseña

La política Archivos de contraseña detecta formatos de archivo de contraseña,
como SAM, “password” y “shadow”.
Regla de DCM Nombres de archivo de contraseña
Esta regla busca los nombres de archivo “passwd” o “shadow”.

Plantilla de políticas Estándar de Seguridad de los Datos para la Industria de Pagos con Tarjeta de Crédito (PCI)
Regla de DCM Formato /etc/passwd
Esta regla busca un patrón de la expresión regular con el formato

/etc/passwd.
Regla de DCM Formato /etc/shadow
Esta regla busca un patrón de la expresión regular con el formato

/etc/shadow.
Regla de DCM Contraseñas SAM
Esta regla busca un patrón de expresión regular con el formato SAM.

Plantilla de políticas Estándar de Seguridad de los

Datos para la Industria de Pagos con Tarjeta de
Crédito (PCI)
Los estándares de seguridad de datos de la Industria de Pagos con Tarjeta de
Crédito (PCI) son determinados conjuntamente por Visa y MasterCard para proteger
a los titulares de tarjetas de crédito resguardando la información de identificación
personal. El Programa de Seguridad de la Información de Titulares de tarjetas de
crédito (CISP) Visa y el Programa de Protección de Datos del Sitio de MasterCard
son efectivos para aplicar estos estándares. La política Estándar de Seguridad de
los Datos para la Industria de Pagos con Tarjeta de Crédito (PCI) detecta los datos
de número de tarjeta de crédito Visa y MasterCard.
La regla de detección Números de tarjeta de crédito, exactos detecta los números
de tarjeta de crédito exactos de perfiles desde una base de datos u otro origen de
datos.
Tabla 38-62 Regla de detección Números de tarjeta de crédito, exactos
Regla simple El contenido coincide Esta regla detecta números de tarjeta de crédito.
con datos
estructurados (EDM)
La regla de detección Números de tarjeta de crédito, todos detecta números de

tarjeta de crédito con el identificador de datos del sistema del número de tarjeta
de crédito.
Plantilla de políticas PIPEDA
Regla simple El contenido Números de tarjeta de crédito, todos (identificadores de datos):

coincide con el
■ Identificador de datos: Número de tarjeta de crédito (Baja)
identificador de
datos (DCM)
■ Gravedad: Alta.
La regla de detección Datos de banda magnética para tarjetas de crédito detecta

información sin procesar de la banda magnética de la tarjeta de crédito usando el
identificador de datos del sistema de la banda magnética de la tarjeta de crédito.
Tabla 38-64 Regla de detección Datos de banda magnética para tarjetas de

crédito
Regla simple El contenido Datos de banda magnética para tarjetas de crédito

coincide con el (identificadores de datos):
identificador de
■ Identificador de datos: banda magnética para tarjetas
datos (DCM)
de crédito (mediano)
■ Gravedad de los datos: Alta.


La Ley Canadiense para la Protección de la Información Personal y Documentos
Electrónicos (PIPEDA) protege la información personal bajo la responsabilidad de
organizaciones del sector privado. Esta ley proporciona pautas para la recopilación,
el uso y la divulgación de información personal.
La política PIPEDA detecta datos de clientes que las regulaciones de PIPEDA
protegen.
La regla de detección PIPEDA busca una coincidencia de dos elementos de datos,
con ciertas combinaciones de datos excluidas de la coincidencia.
Tabla 38-65 Regla de detección PIPEDA
Método Descripción Combinaciones excluidas

de
detección
Regla de La regla de detección PIPEDA permite Sin embargo, las combinaciones siguientes no crean una
EDM establecer coincidencias con dos de los coincidencia:
elementos de datos siguientes:
■ Apellidos, correo electrónico
■ Apellidos ■ Apellidos, teléfono
■ Tarjeta bancaria ■ Apellidos, número de cuenta
■ Número de cuenta médica ■ Apellidos, nombre de usuario
■ Historia clínica
■ Número de agencia
■ PIN
■ Contraseña
■ SIN
■ Teléfono
Ver "Selección de un perfil de datos

La regla de detección Información de contacto de PIPEDA busca una coincidencia

de dos elementos de datos, con ciertas combinaciones de datos excluidas de la
coincidencia.
Tabla 38-66 Regla de detección Información de contacto de PIPEDA
Método de Descripción
detección
Regla de EDM Esta regla busca elementos en cualquiera de las dos columnas siguientes de datos:
■ Apellidos
■ Teléfono

Plantilla de políticas Información sobre precios
Tabla 38-67 Regla de detección Números de seguro social de Canadá
detección
Regla de DCM Esta regla implementa la edición de amplitud baja del identificador de datos Números de seguro
social de Canadá.
Ver "Número de seguro social de Canadá" en la página 991.
Tabla 38-68 Regla de detección Números de ABA
detección
Regla de DCM Esta regla implementa la edición de amplitud baja del identificador de datos Números de ABA.
detección
Regla de DCM Esta regla implementa la edición de amplitud baja del identificador de datos Número de tarjeta de
crédito.

Plantilla de políticas Información sobre precios

La política Información sobre precios detecta información específica sobre precios
y SKU en riesgo de exposición.
Regla de EDM Información sobre precios
Esta regla busca la combinación de números de unidad de conservación

de stock (SKU) especificados por el usuario y precio para ese número
de SKU.
Nota: Esta plantilla contiene una regla de detección de EDM. Si no tiene un perfil
de EDM configurado o está utilizando Symantec Data Loss Prevention Standard,
esta plantilla de políticas está vacía y no contiene ninguna regla para configurar.
Plantilla de políticas Datos de proyectos

Plantilla de políticas Datos de proyectos

La política Datos de proyectos detecta discusiones de proyectos confidenciales.
Regla de IDM Documentos de proyectos, indizados
Esta regla busca contenido de archivos de datos de proyectos

Regla de DCM Actividad de proyectos
Esta regla busca cualquier palabra clave en el diccionario de “nombres

de códigos de proyectos confidenciales” que define el usuario.


propietarios
La política Archivos de soportes propietarios detecta diversos tipos de archivos de
video y audio que pueden ser propiedad intelectual propietaria de la organización
en riesgo de exposición.
Regla de IDM Archivos de soportes, indizados
Esta regla busca contenido de archivos de soportes específicos

registrados como propietarios.
Plantilla de políticas Documentos de publicación
Regla de DCM Archivos de soportes
Esta regla busca los siguientes tipos de archivos de soportes:
■ qt
■ riff
■ macromedia_dir
■ midi
■ mp3
■ mpeg_movie
■ quickdraw
■ realaudio
■ wav
■ video_win
■ vrml
Regla de DCM Extensiones de archivos de soportes
Esta regla busca extensiones de nombre de archivo del diccionario de

“extensiones de archivos de soportes”.

Plantilla de políticas Documentos de publicación

La política Documentos de publicación detecta diversos tipos de documentos de
publicación, como archivos de Adobe FrameMaker, en riesgo de exposición.
Regla de IDM Documentos de publicación, indizados
Esta regla busca contenido de documentos de publicación específicos

Regla de DCM Documentos de publicación
Esta regla busca los tipos de archivos especificados:
■ qxpress
■ frame
■ aldus_pagemaker
■ publ
Plantilla de políticas Vocabulario racista
Regla de DCM Documentos de publicación, extensiones
Esta regla busca extensiones de nombre de archivo especificadas que

se encuentran en el diccionario de “extensiones de documentos de
publicación”.
Nota: Las extensiones de nombre de archivo y los tipos de documentos de archivo

son requeridos por esta política porque el motor de detección no detecta el tipo de
archivo “true” para todos los documentos requeridos. Como tal, la extensión de
nombre de archivo debe usarse con el tipo de archivo.

Plantilla de políticas Vocabulario racista

La política Vocabulario racista detecta el uso de vocabulario racista.
Regla de DCM Vocabulario racista

“vocabulario racista”.

Plantilla de políticas Archivos restringidos

La política Archivos restringidos detecta diversos tipos de archivos que, por lo
general, resultan inadecuados para enviar a destinos externos a la empresa, por
ejemplo, archivos ejecutables y archivos de Microsoft Access.
Regla de DCM Archivos ejecutables y de MS Access
Esta regla busca archivos de los tipos especificados: access, exe y

exe_unix.

Plantilla de políticas Destinatarios restringidos
Plantilla de políticas Destinatarios restringidos

La política Destinatarios restringidos detecta comunicaciones con destinatarios
especificados, por ejemplo, con antiguos empleados.
Reglas de DCM Destinatarios restringidos
Esta regla busca mensajes a destinatarios con direcciones de correo

electrónico del diccionario de “destinatarios restringidos”.

Plantilla de políticas Currículum vítae

La política Currículum vítae detecta búsquedas de trabajos activos.
Regla de EDM Currículum vítae, empleado
Esta es una regla compuesta por dos condiciones; se deben establecer

coincidencias con ambas para activar un incidente. Esta regla contiene
una condición de EDM para nombre y apellidos de empleados
proporcionados por el usuario. Esta regla además busca un archivo
adjunto de tipo de archivo específico (.doc) cuyo tamaño sea inferior
a 50 KB y que contenga al menos una palabra clave de cada uno de
los diccionarios siguientes:
■ Palabras clave de búsqueda de trabajo, educación
■ Palabras clave de búsqueda de trabajo, trabajo
■ Palabras clave de búsqueda de trabajo, general
Regla de DCM Currículum vítae, todo
Esta regla busca archivos de tipo específico (.doc) cuyo tamaño sea
inferior a 50 KB y coincidan con al menos una palabra clave de cada
uno de los diccionarios siguientes:
■ Palabras clave de búsqueda de trabajo, educación

■ Palabras clave de búsqueda de trabajo, trabajo
■ Palabras clave de búsqueda de trabajo, general
Regla de DCM Sitios web de búsqueda de trabajo
Esta regla busca URL de sitios web que se usan para búsquedas de
trabajo.

Plantilla de políticas Sarbanes-Oxley


La Ley Sarbanes-Oxley (SOX), de los EE. UU., impone requisitos sobre contabilidad
financiera que incluyen la preservación de la integridad de los datos y la capacidad
de crear una pista de auditoría. La política Sarbanes-Oxley detecta datos financieros
confidenciales.
La regla de detección Documentos de Sarbanes-Oxley indizados realiza búsquedas
en el contenido de documentos específicos registrados como sujetos a la ley
Sarbanes-Oxley. Esta regla devuelve una coincidencia si se detecta el 80% o más
del documento de origen.
Tabla 38-70 Regla de detección Documentos de Sarbanes-Oxley, indizados
Regla simple El contenido coincide Ver "Cómo elegir un perfil de documento indizado" en la página 445.
el perfil de documento
indizado
La regla de detección compuesta Regulación de divulgación equitativa de la SEC

busca las condiciones siguientes; se deben cumplir todas las condiciones para que
la regla active un incidente:
■ Las palabras clave de divulgación equitativa de la SEC indican la posible
divulgación de información financiera anticipada (diccionario de “palabras clave
de divulgación equitativa de la SEC”).
■ Un archivo adjunto o un tipo de archivo que tiene formato de hoja de cálculo o
es un documento de uso general. Los tipos de archivos detectados son Microsoft
Word, macro de Excel, Excel, hojas de cálculo Works, hojas de cálculo SYLK,
Corel Quattro Pro, Wordperferct, Lotus 123, hojas de cálculo Applix, CSV, hojas
de cálculo Multiplan y Adobe PDF.
■ La lista de palabras clave del nombre de compañía requiere edición por parte
del usuario, que puede incluir cualquier nombre, nombre alternativo o abreviatura
que pueda indicar una referencia a la compañía.
Tabla 38-71 Regla de detección Regulación de divulgación equitativa de la SEC
Regla compuesta El contenido coincide Regulación de divulgación equitativa de la SEC (coincidencia de palabras
■ Hacer coincidir palabra clave: ganancia por acción, orientación

anticipada
■ Gravedad: Alta.
■ Establecer coincidencia con el mismo componente.
La palabra clave debe estar en el archivo adjunto o el tipo de archivo
detectado por esa condición.
Coincidencia de Regulación de divulgación equitativa de la SEC (archivo adjunto/tipo de

archivo adjunto del archivo):
mensaje o tipo de
■ Tipo de archivo detectado: excel_macro, xls, works_spread, sylk,
archivo
quattro_pro, mod, csv, applix_spread, 123, doc, wordperfect y pdf.
■ Gravedad: Alta.
■ Establecer coincidencia: archivos adjuntos y en el mismo componente.
El contenido coincide Regulación de divulgación equitativa de la SEC (coincidencia de palabras

■ Hacer coincidir con “[nombre de la compañía]”

■ Gravedad: Alta.
■ Establecer coincidencia con el mismo componente.
La palabra clave debe estar en el archivo adjunto o el tipo de archivo
detectado por esa condición.
La regla de detección Información financiera busca tipos de archivos específicos

que contienen una palabra del diccionario de “palabras clave financieras” y una
palabra del diccionario de “palabras confidenciales/propietarias”. Los tipos de
archivos de hoja de cálculo detectados son macro de Microsoft Excel, Microsoft
Excel, hoja de cálculo de Microsoft Works, hoja de cálculo de SYLK, Corel Quattro
Pro y más.
Tabla 38-72 Regla de detección Información financiera
Regla El contenido Información financiera (archivo adjunto/tipo de archivo):

compuesta coincide el perfil
■ Hacer coincidir tipo de archivo: excel_macro, xls,
de documento
works_spread, sylk, quattro_pro, mod, csv,
indizado
applix_spread, Lotus 1-2-3
■ Gravedad: Alta.
■ Establecer coincidencia con archivos adjuntos, el
mismo componente.
El contenido Información financiera (coincidencia de palabras clave):

coincide con la
■ Hacer coincidir con “porcentaje de cuentas por
palabra clave
cobrar”, “margen bruto ajustado”, “gastos operativos
ajustados”, “margen de operación ajustado”, “gastos
administrativos”, etc.
■ Gravedad: Alta.
■ La palabra clave debe detectarse en el archivo
adjunto (el mismo componente).
El contenido Información financiera (coincidencia de palabras clave):

coincide con la
■ Hacer coincidir con “confidencial”, “solo para uso
palabra clave
interno”, “propietario”.
■ Gravedad: Alta.
■ La palabra clave debe detectarse en el archivo
adjunto (el mismo componente).

Plantilla de políticas Regulación de divulgación equitativa de la SEC
Plantilla de políticas Regulación de divulgación

equitativa de la SEC
Las Reglas de control del uso de información confidencial y Divulgación selectiva
de la SEC (del inglés Securities and Exchange Commission: Comisión Nacional
del Mercado de Valores) de los EE. UU. prohíbe a las compañías públicas divulgar
selectivamente información fundamental a analistas e inversores institucionales
con anterioridad a su lanzamiento al público general.
La plantilla Regulación de divulgación equitativa de la SEC detecta los datos que
indican la divulgación de información financiera material.
La regla de detección Documentos de la regulación de divulgación equitativa de
la SEC, indizados (IDM) busca el contenido de documentos específicos conforme
a la regulación de divulgación equitativa de la SEC. Esta regla devuelve una
coincidencia si se detecta el 80% o más del contenido del documento de origen.
Tabla 38-73 Regla de detección Documentos de la regulación de divulgación

equitativa de la SEC, indizados (IDM)
Regla simple El contenido Documentos de la regulación de divulgación equitativa de la SEC, indizados

coincide con la (IDM):
firma del documento
■ Detecte documentos del perfil de documento indizado seleccionado.
(IDM)
■ Hacer coincidir documentos con una coincidencia de contenido de al
menos 80%.
■ Gravedad: Alta.
■ Buscar en cuerpo, archivos adjuntos.
La regla de detección Regulación de divulgación equitativa de la SEC busca una

coincidencia de palabra clave del diccionario de “palabras clave de divulgación
equitativa de la SEC”, un archivo adjunto o un tipo de archivo que sea una hoja de
cálculos o un documento de uso general y una coincidencia de palabra clave del
diccionario de “palabras clave de nombre de la empresa”.
Deben cumplirse las tres condiciones para que la regla active un incidente:
■ Las palabras clave de divulgación equitativa de la SEC indican la posible
divulgación de información financiera anticipada.
■ Los tipos de archivos detectados son Microsoft Word, macro de Excel, Excel,
hojas de cálculo Works, hojas de cálculo SYLK, Corel Quattro Pro, Wordperferct,
Plantilla de políticas Regulación de divulgación equitativa de la SEC
Lotus 123, hojas de cálculo Applix, CSV, hojas de cálculo Multiplan y Adobe
PDF.
■ La lista de palabras clave del nombre de compañía requiere edición por parte
del usuario, que puede incluir cualquier nombre, nombre alternativo o abreviatura
que pueda indicar una referencia a la compañía.
Tabla 38-74 Regla de detección Regulación de divulgación equitativa de la SEC
Regla compuesta El contenido coincide Regulación de divulgación equitativa de la SEC (coincidencia de palabras
(DCM)
■ Hacer coincidir con “ganancia por acción”, “orientación anticipada”.
■ Gravedad: Alta.
Coincidencia de Regulación de divulgación equitativa de la SEC (archivo adjunto/tipo de

archivo adjunto del archivo):
mensaje o tipo de
■ Hacer coincidir tipo de archivo: excel_macro, xls, works_spread, sylk,
archivo (DCM)
quattro_pro, mod, csv, applix_spread, 123, doc, wordperfect, pdf
■ Gravedad: Alta.
■ Establecer coincidencia con archivos adjuntos.
■ Requiere que la coincidencia de contenido esté en el mismo
componente (archivo adjunto).
El contenido coincide Regulación de divulgación equitativa de la SEC (coincidencia de palabras

(DCM)
■ Hacer coincidir con “[nombre de la compañía]” (definido por el usuario)
■ Gravedad: Alta.
■ Buscar en sobre, asunto, cuerpo, archivos adjuntos y mismo
componente.

Plantilla de políticas Vocabulario sexualmente explícito
Plantilla de políticas Vocabulario sexualmente

explícito
La plantilla Vocabulario sexualmente explícito detecta contenido de vocabulario
vulgar y pornográfico sexualmente explícito.
Regla de DCM Palabras clave de vocabulario sexualmente explícito, confirmadas

“palabras clave de vocabulario sexualmente explícito, confirmadas”.
Regla de DCM Palabras clave de vocabulario sexualmente explícito, sospechosas
Esta regla busca tres casos de palabras clave en el diccionario de

“palabras clave de vocabulario sexualmente explícito, sospechoso”.
Regla de DCM Palabras clave de vocabulario sexualmente explícito, posibles
Esta regla busca tres casos de palabras clave en el diccionario de

“palabras clave de vocabulario sexualmente explícito, posibles”.

Plantilla de políticas Código fuente

La plantilla de la política Código fuente proporciona condiciones de coincidencia
para detectar diversos tipos de código fuente en peligro de exposición, incluidos
C, Java, Perl y Visual Basic (VB).
Tabla 38-75 Condiciones de coincidencia de la plantilla de la política Código

fuente
Documentos de código IDM Esta regla busca código fuente específico proporcionado por
fuente el usuario en un Perfil de documento.
Esta regla devuelve una coincidencia si detecta el 80% o más

del documento de origen.
Esta regla no está disponible si usted no selecciona un perfil

al crear la política.
Extensiones de código Coincidencia de nombre Esta regla busca una coincidencia entre las extensiones de
fuente de archivo nombre de archivo del diccionario de “extensiones de código
fuente”.
Plantilla de la política Leyes estaduales de privacidad de datos
Código fuente Java Expresiones regulares Esta regla compuesta busca coincidencias en dos patrones
de expresiones regulares diferentes: Instrucciones de
importación Java y archivos de clase de Java.
Código fuente C Expresión regular Esta regla busca coincidencias en el patrón de expresión
regular del código fuente C.
Código fuente VB Expresión regular Esta regla busca coincidencias en el patrón de expresión
regular del código fuente VB.
Código fuente PERL Expresiones regulares Esta regla compuesta busca coincidencias en tres patrones
diferentes de expresiones regulares relacionados con Perl.

Plantilla de la política Leyes estaduales de privacidad

de datos
Gran cantidad de estados de los EE. UU. han adoptado leyes que establecen
infracciones de la seguridad de la información con respecto a la divulgación pública
de información y la protección de datos en las que se pone en peligro la información
confidencial de los individuos. La plantilla de la política Leyes estaduales de
privacidad de datos está diseñada para abordar estos tipos de fuga de datos
confidenciales.
La plantilla de la política Leyes estaduales de privacidad de datos proporciona
varias reglas individuales de detección y produce un incidente si se infringen estas
reglas. Esta plantilla de la política también proporciona una condición de excepción
configurable que permite que uno o más destinatarios de correos electrónicos
autorizados reciban datos confidenciales.
Tabla 38-76 describe la condición de uso aceptable implementada por la política
Leyes estaduales de privacidad de datos. Es necesario configurar la excepción
para que se aplique.
Tabla 38-76 Excepción de política Correo electrónico a afiliadas
Nombre Tipo Descripción Detalles de la configuración
Correo Identidad Correo electrónico a afiliadas es una excepción ■ Excepción simple (única
electrónico a descrita (DCM) de la política que permite el envío de mensajes condición)
afiliadas de correo electrónico a las afiliadas que tienen ■ Coincidir con correo
El destinatario
(destinatario): permiso legítimo de recibir información electrónico del destinatario:
coincide con el
establecida en las regulaciones de Leyes [afiliada 1], [afiliada 2].
patrón
estatales de privacidad de datos. ■ Edite la lista "Dominios de
Las excepciones de las políticas se evalúan antes afiliadas" y escriba la
que las condiciones de coincidencia de la dirección de correo
detección. Si hay una excepción, en este caso electrónico para cada
una dirección de correo electrónico de afiliada destinatario que pueda hacer
que haya especificado, el mensaje entero se uso aceptable de los datos
descarta y no está disponible para evaluación confidenciales.
por la detección. ■ Por lo menos 1 destinatario
debe coincidir para que la
excepción se active.
■ Coincide con todo el
mensaje.
La plantilla de la política Leyes estaduales de privacidad de datos implementa la

coincidencia de datos exactos (Tabla 38-77). Si no selecciona un perfil de datos
estructurados cuando crea por primera vez una política basada en esta plantilla,
la condición de EDM no está disponible para el uso.
Tabla 38-77 Regla de EDM de Leyes estaduales de privacidad de datos
Nombre de Tipo de Descripción Detalles de la configuración

la regla condición
Leyes El contenido Esta regla busca una coincidencia de datos Cuando cree el perfil de EDM,
estaduales de coincide con estructurados en tres de las siguientes opciones: debe validarlo en función de la
privacidad de datos plantilla Leyes estaduales de
datos, datos estructurados privacidad de datos para
del (EDM) asegurarse de que el índice
consumidor ■ Número de tarjeta bancaria (número de tarjeta resultante incluya los campos
de crédito) previstos.
■ Regla simple (condición de
■ Número de licencia de conducir
una coincidencia)
■ Nombre
■ Gravedad: Alta
■ Apellidos
■ Informe el incidente si hay 1
■ Contraseña
coincidencia
■ Número de PIN
■ Buscar en sobre, cuerpo,
■ Número de la seguridad social archivos adjuntos
■ Número de tarjeta de identificación estatal
Condiciones de excepción: las combinaciones

siguientes no coinciden:
■ Nombre, Apellido, PIN

■ Nombre, Apellido, Contraseña
Tabla 38-78 enumera y describe las reglas de detección de DCM implementadas

por la política Leyes estaduales de privacidad de datos. Si se infringe una de estas
reglas, la política produce un incidente, a menos que se haya configurado la
condición de excepción y el destinatario del mensaje sea un afiliado de uso
aceptable.
Tabla 38-78 Regla de detección de Leyes estaduales de privacidad de datos

la regla condición
Patrones del El contenido La regla Patrones del número de la seguridad ■ Regla simple (condición de
número de la coincide con el social de los EE. UU. se diseñó para detectar los una coincidencia)
seguridad identificador de números de la seguridad sociales (SSN) de EE. ■ Gravedad: Alta.
social de los datos (DCM) UU. El identificador de datos del número de la ■ Contar todas las
EE. UU. seguridad social (SSN) de los EE. UU. calculado coincidencias.
de forma aleatoria detecta patrones de SSN ■ Buscar en sobre, asunto,
tradicionales y SSN emitidos conforme al nuevo cuerpo, archivos adjuntos.
esquema de "cálculo aleatorio".
Ver "Número de la seguridad social (SSN) de los

EE. UU. calculado de forma aleatoria"
en la página 1185.
Números de El contenido La regla Números de ABA se diseñó para ■ Regla simple (condición de
ABA coincide con el detectar Números de ABA. una coincidencia)
identificador de ■ Gravedad: Alta.
El identificador de Números de ABA detecta
datos (DCM) ■ Contar todas las
números de ABA.
coincidencias.
Ver "Número de enrutamiento de ABA"
■ Buscar en sobre, asunto,
en la página 938.
cuerpo, archivos adjuntos.
Números de El contenido La regla Números de tarjeta de crédito se diseñó ■ Regla simple (única
tarjeta de coincide con el para coincidir con números de tarjeta de crédito. condición)
crédito, todos identificador de Gravedad: Alta.
Para detectar números de tarjeta de crédito, esta ■
datos (DCM) ■ Contar todas las
regla implementa el identificador de datos del
sistema de amplitud baja de números de tarjeta coincidencias.
de crédito. ■ Buscar en sobre, asunto,
cuerpo, archivos adjuntos.
Ver "Amplitud baja del número de tarjeta de
crédito" en la página 1017.
Números de El contenido La regla Números de licencia de conducir de ■ Regla simple (única

licencia de coincide con el California busca una coincidencia de patrón de condición)
conducir de identificador de número de licencia de conducir de California, una ■ Gravedad: Alta.
California datos (DCM) coincidencia de identificador de datos para ■ Contar todas las
términos relacionados con “licencia de conducir” coincidencias.
y una palabra clave del diccionario de “palabras ■ Buscar en sobre, asunto,
clave de California”. cuerpo, archivos adjuntos.
Ver "Número de licencia de conducir del estado
de California " en la página 1029.

la regla condición
Números de El contenido La regla Números de licencia de conducir de ■ Regla simple (única

licencia de coincide con el Nueva York busca una coincidencia de patrón condición)
conducir de identificador de de número de licencia de conducir de Nueva ■ Gravedad: Alta.
Nueva York datos (DCM) York, una coincidencia de expresión regular para ■ Contar todas las
términos relacionados con “licencia de conducir” coincidencias.
y una palabra clave del diccionario de “palabras ■ Buscar en sobre, asunto,
clave de Nueva York”. cuerpo, archivos adjuntos.
Ver "Número de licencia de conducir: estado de
Nueva York" en la página 1036.
Números de El contenido La regla de Números de licencia de conducir de ■ Regla simple (única

licencia de coincide con el Florida, Míchigan y Minnesota busca una condición)
conducir de identificador de coincidencia de patrón de número de licencia de ■ Gravedad: Alta.
Florida, datos (DCM) conducir establecido, una coincidencia de ■ Contar todas las
Míchigan y expresión regular para términos relacionados con coincidencias.
Minnesota “licencia de conducir” y una palabra clave del ■ Buscar en sobre, asunto,
diccionario de “palabras relacionadas con estado cuerpo, archivos adjuntos.
de DLN núm. 12/carta” (es decir, Florida,
Minnesota y Míchigan).
Ver "Número de licencia de conducir: Estados de

Florida, Míchigan y Minnesota " en la página 1031.
Números de El contenido La regla de detección Números de licencia de ■ Regla simple (única

licencia de coincide con el conducir de Illinois busca una coincidencia de condición)
conducir de identificador de patrón de número de licencia de conducir de ■ Gravedad: Alta.
Illinois datos (DCM) Illinois, una coincidencia de expresión regular ■ Contar todas las
para términos relacionados con “licencia de coincidencias.
conducir” y una palabra clave del diccionario de ■ Buscar en sobre, asunto,
“palabras clave de Illinois”. cuerpo, archivos adjuntos.
Ver "Número de licencia de conducir: estado de
Illinois" en la página 1033.
Plantilla de políticas Códigos SWIFT

la regla condición
Números de El contenido La regla de detección Números de licencia de ■ Regla simple (única

licencia de coincide con el conducir de Nueva Jersey busca una coincidencia condición)
conducir de identificador de de patrón de número de licencia de conducir de ■ Gravedad: Alta.
Nueva Jersey datos (DCM) Nueva Jersey, una coincidencia de expresión ■ Contar todas las
regular para términos relacionados con “licencia coincidencias.
de conducir” y una palabra clave del diccionario ■ Buscar en sobre, asunto,
de “palabras clave de Nueva Jersey”. cuerpo, archivos adjuntos.
Esta condición implementa el identificador de
datos del sistema de amplitud media del Número
de licencia de conducir: Estado de Nueva Jersey.
Ver "Amplitud media del número de licencia de

conducir: estado de Nueva Jersey"
en la página 1035.

Plantilla de políticas Códigos SWIFT

La Sociedad de Telecomunicaciones Financieras Interbancarias Mundiales (SWIFT)
es una organización cooperativa que fue establecida conforme a las leyes de
Bélgica y es propiedad de las instituciones financieras que la integran. El código
SWIFT (también conocido como código de identificación bancaria, BIC o ISO 9362)
tiene un formato estándar para identificar bancos, ubicaciones y sucursales. Estos
códigos se utilizan para transferir dinero entre bancos, especialmente a través de
fronteras internacionales.
Regla de DCM Expresión regular de código SWIFT
Esta regla busca una coincidencia con la expresión regular de código

SWIFT y una palabra clave del diccionario de “palabras clave de código
SWIFT”.

Plantilla de políticas Symantec DLP Awareness and Avoidance
Plantilla de políticas Symantec DLP Awareness and

Avoidance
La política Symantec DLP Awareness & Avoidance detecta cualquier comunicación
relacionada con Symantec Data Loss Prevention o sistemas de prevención de
pérdida de datos y posible evasión de la detección. La política Symantec DLP
Awareness & Avoidance es la más útil para implementaciones que no son
ampliamente conocidas entre usuarios supervisados.
Regla de DCM Symantec DLP Awareness
Comprueba la existencia de coincidencias con palabras clave del

diccionario de “Symantec DLP Awareness”.
Regla de DCM Symantec DLP Avoidance
Esta es una regla compuesta por dos condiciones; se deben establecer

coincidencias con ambas para activar un incidente. Esta regla busca
una coincidencia de palabras clave del diccionario de “Symantec DLP
Awareness” y una palabra clave del diccionario de “Symantec DLP
Avoidance”.

Plantilla de políticas de números de licencia de

conducir del Reino Unido
La política Números de licencias de conducir del Reino Unido detecta números de
licencias de conducir del Reino Unido con la especificación oficial de los Estándares
del Gobierno del Reino Unido de la Oficina de Gabinete del Reino Unido
Regla de DCM Números de licencias de conducir del Reino Unido

Esta es una regla compuesta con las condiciones siguientes:
Unido”
■ La correlación de patrones del identificador de datos de licencias
de conducir del Reino Unido
■ Diversas combinaciones de la frase “licencia de conducir” mediante
un identificador de datos

Plantilla de políticas Números de registro electoral del Reino Unido
Plantilla de políticas Números de registro electoral

del Reino Unido
La política Números de registro electoral del Reino Unido detecta números de
registro electoral del Reino Unido con la especificación oficial de los Estándares
Regla de DCM Números de registro electoral del Reino Unido

Esta es una regla compuesta con las condiciones siguientes:
Unido”
■ Una correlación de patrones del identificador de datos de número
de registro electoral del Reino Unido
■ Una única palabra clave del diccionario de “palabras de números
de registro electoral del Reino Unido”

Plantilla de políticas de número de servicio nacional

de salud (NHS) del Reino Unido
La política del número de servicio nacional de salud (NHS) del Reino Unido detecta
el número de identificación personal emitido por el Servicio Nacional de Salud
(NHS) del Reino Unido para administrar la atención médica.
Regla de DCM Números de NHS del Reino Unido
Esta regla busca una única condición compuesta por dos secciones:
números de Servicio Nacional de Salud del nuevo estilo o del estilo
antiguo, y una única palabra clave del diccionario de “palabras clave
del NHS del Reino Unido”.

Plantilla de políticas Números de seguro nacional del Reino Unido
Plantilla de políticas Números de seguro nacional del

Reino Unido
El Departamento de Trabajo, Pensiones y Hacienda del Reino Unido (DWP/IR)
asigna un número de seguro social a cada individuo para la administración del
sistema de seguro nacional. La política Números de seguro nacional del Reino
Unido detecta estos números de políticas de seguro.
Regla de DCM Números de seguro nacional del Reino Unido
Esta regla busca una coincidencia con el identificador de datos del

número de seguro nacional del Reino Unido y una palabra clave del
diccionario de “palabras clave de NIN del Reino Unido”.

Plantilla de políticas Números de pasaporte del Reino

Unido
La política Números de pasaporte del Reino Unido detecta pasaportes válidos del
Reino Unido mediante la especificación oficial de los Estándares del Gobierno del
Reino Unido de la Oficina de Gabinete del Reino Unido.
Regla de DCM Números de pasaporte del Reino Unido (tipo antiguo)
de pasaporte del Reino Unido” y una correlación de patrones con la
expresión regular para números de pasaporte del Reino Unido (tipo
antiguo).
Regla de DCM Números de pasaporte del Reino Unido (Tipo nuevo)
de pasaporte del Reino Unido” y una correlación de patrones con la
expresión regular para números de pasaporte del Reino Unido (tipo
nuevo).

Plantilla de políticas Números de identificación fiscal del Reino Unido
Plantilla de políticas Números de identificación fiscal

del Reino Unido
La política Números de identificación fiscal del Reino Unido detecta números de
identificación fiscal del Reino Unido con la especificación oficial de los Estándares
Regla de DCM Números de identificación fiscal del Reino Unido
Esta regla busca una coincidencia con el identificador de datos del

número de identificación fiscal del Reino Unido y una palabra clave del
diccionario de “palabras clave de números de identificación fiscal del
Reino Unido”.

Plantilla de políticas Marcaciones de control de

inteligencia de los EE. UU. (CAPCO) y DCID 1/7
La política Marcaciones de control de inteligencia de los EE. UU. (CAPCO) y DCID
1/7 detecta términos autorizados para identificar información clasificada en la
comunidad de Inteligencia federal de los EE. UU. según se define en el Registro
de marcaciones de control, que está respaldado por la Oficina de Coordinación de
Programas de Acceso Controlado (CAPCO) y el Personal Administrativo de la
Comunidad (CMS). El registro se creó en respuesta a la Política del Director de
Inteligencia Central (DCID) 1/7.
Esta regla busca una coincidencia de palabras clave con la frase “ALTAMENTE
SECRETA”.
Tabla 38-79 Regla de detección Información altamente secreta
Regla simple El contenido coincide Coincidir con "ALTAMENTE SECRETA//"

■ Gravedad: Alta.
(DCM)
Plantilla de políticas de números de la seguridad social de los EE. UU.
Esta regla busca una coincidencia de palabras clave con la frase “SECRETA”.
Tabla 38-80 Regla de detección Información secreta
Regla simple El contenido coincide Coincidir con "SECRETA//"

■ Gravedad: Alta.
(DCM)
Esta regla busca una coincidencia de palabras clave en las frases "CLASIFICADAR"
o "RESTRINGIDA".
Tabla 38-81 Regla de detección Información clasificada o restringida

(coincidencia de palabras clave)
Regla simple El contenido coincide Coincidir con "CLASIFICADA//,//RESTRINGIDA//"

■ Gravedad: Alta.
(DCM)

Plantilla de políticas de números de la seguridad

social de los EE. UU.
La política Números de la seguridad social de los EE. UU detecta los patrones que
indican los números de la seguridad social en riesgo de exposición.
Plantilla de políticas de violencia y armas
Tabla 38-82 Plantilla de políticas de números de la seguridad social de los EE.

UU.
Nombre de la regla Tipo de regla Descripción Detalles
Patrones del número de la Regla de DCM Esta regla busca una coincidencia con la Ver "Número de la
seguridad social de los expresión regular del número de la seguridad social (SSN) de
EE. UU. seguridad social y una palabra clave del los EE. UU. calculado de
diccionario de “palabras clave de SSN de forma aleatoria"
los EE. UU.”. en la página 1185.

Plantilla de políticas de violencia y armas

La política Violencia y armas detecta vocabulario violento y discusiones sobre
armas.
Tabla 38-83 Plantilla de la política Violencia y armas
Violencia y armas Regla de Esta es una regla compuesta por dos condiciones; se deben establecer
DCM coincidencias con ambas para activar un incidente. Esta regla busca una palabra
clave del diccionario de “palabras clave de violencia” y una palabra clave del
diccionario de “palabras clave de armas”.

Plantilla de políticas Correo web

La política Correo web detecta el uso de una variedad de servicios de correo web,
incluidos Yahoo, Google y Hotmail.
Plantilla de políticas Actividad en paneles de mensajes de Yahoo!
Tabla 38-84 Reglas de la plantilla de la política de correo web
Nombre Tipo Condiciones Descripción
Yahoo Regla de detección El destinatario coincide Esta condición comprueba el dominio de la URL
compuesta con el patrón (DCM) mail.yahoo.com.
El contenido coincide Esta condición comprueba la palabra clave

con la palabra clave ym/compose.
(DCM)
Hotmail Regla de detección El destinatario coincide Esta condición comprueba el dominio de la URL
compuesta con el patrón (DCM) hotmail.msn.com.
El contenido coincide Esta condición comprueba la existencia de la palabra

con la palabra clave clave compose?&curmbox.
(DCM)
Go Regla de detección El destinatario coincide Esta condición comprueba la URL gomailus.go.com.

compuesta con el patrón (DCM)
El contenido coincide Esta condición comprueba la palabra clave compose.

(DCM)
AOL Regla de detección El destinatario coincide Esta condición comprueba el dominio de la URL
compuesta con el patrón (DCM) aol.com.
El contenido coincide Esta condición comprueba la palabra clave compose.

(DCM)
Gmail Regla de detección El destinatario coincide Esta condición comprueba el dominio de la URL
compuesta con el patrón (DCM) gmail.google.com.
El contenido coincide Esta condición comprueba la palabra clave gmail.

(DCM)

Plantilla de políticas Actividad en paneles de

mensajes de Yahoo!
La plantilla de políticas Panel de mensajes de Yahoo! detecta actividad en paneles
de mensajes de Yahoo.
Plantilla de políticas Actividad en paneles de mensajes de Yahoo!
La regla de detección Panel de mensajes de Yahoo es un método compuesto que

busca mensajes publicados en el panel de mensajes de Yahoo que se especifica.
Tabla 38-85 describe los detalles de configuración.
Tabla 38-85 Regla de detección Panel de mensajes de Yahoo!
Regla El contenido coincide con Panel de mensajes de Yahoo! (coincidencia de palabras clave):
compuesta la palabra clave (DCM)
■ Hacer coincidir palabra clave: post.messages.yahoo.com/bbs.
■ Comprobar existencia (no contar varias coincidencias).
■ La coincidencia debe producirse en el mismo componente para ambas
condiciones.
AND
El contenido coincide con Panel de mensajes de Yahoo! (coincidencia de palabras clave):

■ Hacer coincidir palabra clave: board=<escribir número de panel>.
condiciones.
La regla de detección Dirección URL del panel de mensajes de finanzas detecta

los mensajes publicados en el panel de mensajes de finanzas de Yahoo.
Tabla 38-86 describe su configuración.
Tabla 38-86 Regla de detección Dirección URL del panel de mensajes de finanzas
Regla simple El contenido coincide con Dirección URL del panel de mensajes de finanzas (coincidencia de
la palabra clave (DCM) palabras clave):

■ Hacer coincidir palabra clave: messages.finance.yahoo.com.
Plantilla de políticas Mensajería Yahoo! y MSN en el puerto 80
La regla de detección Direcciones URL de los paneles detecta mensajes publicados

en el panel de mensajes de finanzas de Yahoo o en Yahoo a través de la URL de
cualquiera de los dos.
Tabla 38-87 describe los detalles de configuración.
Tabla 38-87 Regla de detección Direcciones URL de los paneles
Regla simple El destinatario coincide Direcciones URL de los paneles (destinatario):

con el patrón (DCM)
■ URL del destinatario:
messages.yahoo.com,messages.finance.yahoo.com.
■ Coincidencias en el mensaje entero (no configurable).

Plantilla de políticas Mensajería Yahoo! y MSN en el

puerto 80
La política Mensajería Yahoo! y MSN en el puerto 80 detecta la actividad de
mensajería de Yahoo y MSN en el puerto 80.
La regla de detección de mensajería instantánea Yahoo% coincidencias de palabras
clave en ymsg y shttp.msg.yahoo.com.
Tabla 38-88 Regla de detección de mensajería instantánea de Yahoo!
Mensajería instantánea de Yahoo! (coincidencia de palabra clave):

■ Hacer coincidir palabra clave: ymsg.
palabra clave (DCM) ■ Contar todas las coincidencias e informar un incidente para cada
coincidencia.
■ Buscar coincidencias en sobre, asunto, cuerpo y archivos adjuntos.
condiciones en la regla.
Regla
AND
compuesta
Mensajería instantánea de Yahoo! (coincidencia de palabra clave):

■ Hacer coincidir palabra clave: shttp.msg.yahoo.com.
Establecer coincidencia solo con palabras completas.
El contenido coincide con la ■
coincidencia.
condiciones en la regla.
La regla de detección MI de MSN busca coincidencias en tres palabras clave en

el mismo componente del mensaje.
Tabla 38-89 Regla de detección MI de MSN
IM de MSN (coincidencia de palabra clave):

■ Hacer coincidir palabra clave: msg.
coincidencia.
■ La coincidencia debe producirse en el mismo componente para todas
las condiciones en la regla.
AND

■ Hacer coincidir palabra clave: x-msn.
Establecer coincidencia solo con palabras completas.
Regla El contenido coincide con la ■
compuesta palabra clave (DCM) ■ Contar todas las coincidencias e informar un incidente para cada
coincidencia.
AND

■ Hacer coincidir palabra clave: charset=utf-8.
coincidencia.

Sección 5
Configuración de las reglas
de respuesta de políticas
■ Capítulo 39. Responder a infracciones de políticas
■ Capítulo 40. Cómo configurar y administrar reglas de respuesta
■ Capítulo 41. Condiciones de reglas de respuesta
■ Capítulo 42. Acciones de la regla de respuesta

Capítulo 39
Responder a infracciones
de políticas
■ Acerca de las reglas de respuesta
■ Acerca de las acciones de regla de respuesta
■ Acciones de la regla de respuesta para todos los servidores de detección
■ Acciones de la regla de respuesta para la detección de endpoints
■ Acciones de la regla de respuesta para la detección de Network Prevent
■ Acciones de la regla de respuesta para la detección de Network Protect
■ Acciones de la regla de respuesta para la detección del almacenamiento en la

nube
■ Acciones de regla de respuesta para detectores de appliances de API y

aplicaciones de nube
■ Acerca de los tipos de ejecución de regla de respuesta
■ Acerca de las reglas de respuesta automática
■ Acerca de reglas de respuesta inteligentes
■ Acerca de las condiciones de regla de respuesta
■ Acerca de la prioridad de ejecución de la acción de regla de respuesta
■ Acerca de los privilegios de autoría de reglas de respuesta
■ Implementación de reglas de respuesta

Responder a infracciones de políticas 1405
Acerca de las reglas de respuesta
■ Prácticas recomendadas de regla de respuesta
Acerca de las reglas de respuesta

Es posible implementar una o más reglas de respuesta en una política para reparar,
elevar, resolver y desechar incidentes cuando ocurre una infracción. Por ejemplo,
si se infringe una política, una regla de respuesta bloquea la transmisión de un
archivo que contiene el contenido confidencial.
Ver "Acerca de las acciones de regla de respuesta" en la página 1405.
Cree, modifique y administre reglas de respuesta a parte de las políticas que las
declaran. Esta descomposición permite que las reglas de respuesta sean
actualizadas y reutilizadas en todas las políticas.
El servidor de detección ejecuta automáticamente reglas de respuesta. O se pueden
configurar las reglas de respuesta inteligentes para la ejecución manual por parte
de un reparador de incidentes.
Ver "Acerca de los tipos de ejecución de regla de respuesta" en la página 1417.
Es posible implementar condiciones para controlar cómo y cuándo las reglas de
respuesta se ejecutan.
Es posible ordenar en secuencia el orden de la ejecución para las reglas de
respuesta del mismo tipo.
Ver "Acerca de la prioridad de ejecución de la acción de regla de respuesta"
en la página 1420.
Es necesario tener privilegios de autoría de reglas de respuesta para crear y
administrar reglas de respuesta.
Acerca de las acciones de regla de respuesta

Las acciones de regla de respuesta son los componentes que toman medidas
cuando ocurre una infracción de políticas. Las acciones de regla de respuesta son
componentes obligatorios de reglas de respuesta. Si crea una regla de respuesta,
deberá definir por lo menos una acción para que la regla de respuesta sea válida.
Symantec Data Loss Prevention proporciona varias acciones de regla de respuesta.
Muchas están disponibles para todos los tipos de servidores de detección. Otras
están disponibles para servidores de detección específicos.
Acciones de la regla de respuesta para todos los servidores de detección

El servidor de detección donde se implementa una política ejecuta una acción de
regla de respuesta en el momento en que se produce una infracción de políticas.
También, se puede configurar una condición de regla de respuesta para determinar
cuándo se debe ejecutar la acción de regla de respuesta.
Por ejemplo, siempre que se infrinja una política, envíe un correo electrónico al
usuario que infringió la política y al administrador. También, si un nivel de gravedad
de infracción de políticas es medio, presente al usuario una advertencia en pantalla.
Si la gravedad es alta, evite que un archivo se copie a un dispositivo externo.
Tabla 39-1 Acciones de la regla de respuesta por tipo de servidor
Tipo de servidor Descripción
Todos los servidores de detección Ver "Acciones de la regla de respuesta para todos los servidores de
detección" en la página 1406.
Servidores de detección de endpoint Ver "Acciones de la regla de respuesta para la detección de endpoints"
en la página 1408.
Servidores de detección de Network Ver "Acciones de la regla de respuesta para la detección de Network Prevent"
Prevent en la página 1408.
Servidores de detección de Network Ver "Acciones de la regla de respuesta para la detección de Network Protect"
Protect en la página 1409.
Servidores de detección y detectores Ver "Acciones de la regla de respuesta para la detección del almacenamiento
del almacenamiento en la nube en la nube" en la página 1410.
Detectores de REST del conector del Ver "Acciones de regla de respuesta para detectores de appliances de API
servicio en la nube y aplicaciones de nube" en la página 1411.
Acciones de la regla de respuesta para todos los

Symantec Data Loss Prevention proporciona varias acciones de regla de respuesta
para Endpoint Prevent Endpoint Discover Network Prevent for Web Network Prevent
for Email y Network Protect.
Acciones de la regla de respuesta para todos los servidores de detección
Tabla 39-2 Acciones disponibles de la regla de respuesta para todos los

Acción de la regla de respuesta Descripción
Agregar nota Agregue un campo al registro de incidente que el reparador puede anotar
en la pantalla Instantánea de incidente.
Ver "Configuración de la acción Agregar nota" en la página 1451.
Limitar retención de datos de incidentes Descarte o retenga datos que coincidan con el registro de incidente.
Ver "Configuración de la acción Limitar retención de datos de incidentes"

en la página 1452.
Iniciar sesión en un servidor Syslog Registre el incidente en un servidor Syslog.
Ver "Configuración de la acción Iniciar sesión en un servidor Syslog"

en la página 1454.
Enviar notificación por correo electrónico Envíe un correo electrónico a los destinatarios que usted especifique.
Ver "Configuración de la acción Enviar notificación por correo electrónico"

en la página 1456.
Server FlexResponse Ejecute una acción personalizada de Server FlexResponse.
Ver "Cómo configurar la acción de Server FlexResponse" en la página 1458.

Nota: Esta acción de regla de respuesta está disponible solamente si
implementa uno o más complementos personalizados de Server
FlexResponse en Symantec Data Loss Prevention.
Ver "Implementación de un complemento de Server FlexResponse"

en la página 1844.
Establecer atributos Agregue un valor personalizado al registro de incidente.
Ver "Configuración de la acción Establecer atributos" en la página 1459.
Definir estado Cambie el estado de incidente al valor especificado.
Ver "Configuración de la acción Definir estado" en la página 1460.

Acciones de la regla de respuesta para la detección de endpoints
Acciones de la regla de respuesta para la detección

de endpoints
para Endpoint Prevent y Endpoint Discover.
Tabla 39-3 Acciones disponibles de la regla de respuesta del endpoint
Endpoint: FlexResponse Toma una acción personalizada usando el API de FlexResponse.
Ver "Configurar la acción de Endpoint: FlexResponse" en la página 1486.
Endpoint Discover: Archivo en Ponga en cuarentena un archivo confidencial descubierto.

cuarentena
Ver "Configurar la acción Endpoint Discover: Archivo en cuarentena"
en la página 1488.
Endpoint Prevent: Bloquear Bloquee la transferencia de los datos que infringen la política.
Por ejemplo, bloquee la copia de datos confidenciales de un endpoint a

una unidad flash USB.
Ver "Configuración de la acción Endpoint Prevent: Bloquear"

en la página 1490.
Endpoint Prevent: Notificar Muestre una notificación en pantalla al usuario de endpoint cuando se
transfieren los datos confidenciales.
Ver "Configuración de la acción Endpoint Prevent: Notificar" en la página 1497.
Endpoint Prevent: Cancelado por el Permita que el usuario cancele la transferencia de un archivo confidencial.
usuario La anulación tiene en cuenta el tiempo transcurrido.
Ver "Configuración de la acción Endpoint Prevent: Cancelado por el usuario"

en la página 1500.

Ver "Funciones de regla de respuesta de Endpoint Prevent en Mac" en la página 2015.

de Network Prevent
para Network Prevent for Web y Network Prevent for Email.
Acciones de la regla de respuesta para la detección de Network Protect
Tabla 39-4 Acciones disponibles de la regla de respuesta de red
Network Prevent: Bloquear solicitud de Bloquee transmisiones por FTP.

FTP
Ver "Cómo configurar la acción Network Prevent for Web: Bloquear
solicitud de FTP" en la página 1504.
Nota: Solamente disponible con Network Prevent for Web.
Network Prevent: Bloquear HTTP/S Bloquee publicaciones web.
Ver "Cómo configurar la acción Network Prevent for Web: Bloquear

HTTP/S" en la página 1504.
Network Prevent: bloquear mensaje SMTP Bloquee el correo electrónico que causa un incidente.
(solo Network Prevent)
Ver "Configuración de la acción Network Prevent: Bloquear mensaje
SMTP" en la página 1506.
Nota: Solamente disponible con Network Prevent for Email.
Network Prevent: modificar mensaje SMTP Modifique mensajes de correo electrónico confidenciales.
(solo Network Prevent)
Por ejemplo, cambie el asunto de correo electrónico e incluya información
sobre la infracción.
Ver "Configuración de la acción Network Prevent: Modificar mensaje

SMTP" en la página 1507.
Nota: Solamente disponible con Network Prevent for Email.
Network Prevent: Eliminar contenido Elimine el contenido confidencial de publicaciones web.

HTTP/S
Ver "Cómo configurar la acción Network Prevent for Web: Eliminar
contenido HTTP/S" en la página 1508.


de Network Protect
para Network Protect (Discover).
Acciones de la regla de respuesta para la detección del almacenamiento en la nube
Tabla 39-5 Acciones disponibles de la regla de respuesta de Network Protect
Network Protect: Copiar archivo Copie archivos confidenciales en una ubicación que específica.
Ver "Configuración de la acción Network Protect: Copiar archivo"
en la página 1510.
Nota: Solamente disponible con Network Protect.
Network Protect: Archivo en cuarentena Ponga archivos confidenciales en cuarentena.
Ver "Configuración de la acción Network Protect: Archivo en cuarentena"

en la página 1511.
Nota: Solamente disponible con Network Protect.
Network Protect: Cifrar archivo Cifre los archivos confidenciales usando Symantec ICE.
Ver "Configuración de Network Protect: acción Cifrar archivo"

en la página 1512.
Nota: Esta acción está disponible solamente si ha instalado la licencia
de ICE de Network Protect y ha configurado Enforce Server para que se
conecte a la nube de Symantec ICE. Para obtener información sobre
cómo Symantec Data Loss Prevention interactúa con Symantec ICE,
consulte la Guía de implementación de Symantec Information Centric
Encryption en http://www.symantec.com/docs/DOC9707.


del almacenamiento en la nube
Symantec Data Loss Prevention proporciona dos acciones de la regla de respuesta
para la detección del almacenamiento en la nube, de los servidores de detección
en las instalaciones o los detectores en la nube.
Acciones de regla de respuesta para detectores de appliances de API y aplicaciones de nube
Tabla 39-6 Acciones disponibles de la regla de respuesta del almacenamiento

en la nube
Almacenamiento en la nube: Agregar etiqueta Agregue una etiqueta de texto al contenido

visual del almacenamiento en la nube de Box que
infringe una política.
Ver "Configurar la acción Almacenamiento

en la nube: Agregar etiqueta visual"
en la página 1466.
Almacenamiento en la nube: Cuarentena Archivos confidenciales de cuarentena de

una cuenta de usuario del almacenamiento
en la nube a una cuenta de usuario de
cuarentena. Para el análisis de Box en las
instalaciones, se puede también usar una
ubicación de cuarentena en las instalaciones.
Ver "Configuración de la acción de

almacenamiento en la nube: cuarentena"
en la página 1467.

Acciones de regla de respuesta para detectores de

appliances de API y aplicaciones de nube
El conector del servicio en la nube de Symantec Data Loss Prevention le permite
conectar Symantec Data Loss Prevention a su solución del agente de seguridad
del acceso a la nube (CASB). Es posible usar la API de REST pública para enviar
los datos confidenciales de su solución de CASB a Symantec Data Loss Prevention
para la inspección. Symantec Data Loss Prevention responde con la información
de la infracción de políticas y las recomendaciones para la acción de reparación
en su caso.
Estas reglas de respuesta de REST del conector del servicio en la nube permiten
configurar los mensajes de la recomendación de la reparación que Symantec Data
Loss Prevention incluye en las respuestas de la detección que envía de nuevo al
cliente de REST en los parámetros customResponsePayload o message. No ejecutan
de forma automática las acciones de la respuesta. Es la responsabilidad del equipo
de respuesta ante incidentes de CASB que recibe estos mensajes responder a las
recomendaciones de la reparación según sea necesario.
Las reglas de respuesta para el detector de REST del conector del servicio en la
nube se ordenan en dos categorías, una para cada tipo de datos en la API de REST
del conector del servicio en la nube: datos en reposo (DAR) y datos en movimiento
(DIM).
Tabla 39-7 Acciones de regla de respuesta disponibles para aplicaciones de

nube y appliances de API (datos en reposo)
Romper vínculos de datos en reposo La acción Romper vínculos de datos en

reposo devuelve una recomendación de
romper los vínculos en los datos
confidenciales con el resultado de la
detección.
Ver "Configuración de la acción Romper

vínculos de datos en reposo" en la página 1470.
Acción personalizada sobre datos en reposo Acción personalizada sobre datos en

realizar cierta acción personalizada en los
datos confidenciales con el resultado de la
detección.
Ver "Configuración de Acción personalizada

sobre datos en reposo" en la página 1471.
Eliminar datos en reposo La acción Eliminar datos en reposo

devuelve una recomendación de eliminar los
detección.
Ver "Configuración de la acción Eliminar

datos en reposo" en la página 1472.
Cifrar datos en reposo La acción Cifrar datos en reposo devuelve

una recomendación de cifrar los datos
detección.
Ver "Configuración de la acción Cifrar datos

en reposo" en la página 1472.
Ejecutar DRM sobre datos en reposo La acción Ejecutar DRM sobre datos en
reposo devuelve una recomendación para
aplicar la administración de derechos digitales
(DRM) a los datos confidenciales con el
resultado de la detección.
Ver "Configuración de la acción Ejecutar DRM

sobre datos en reposo" en la página 1473.
Poner en cuarentena datos en reposo La acción Poner en cuarentena datos en

poner en cuarentena los datos confidenciales
con el resultado de la detección.
Ver "Configuración de la acción Poner en

cuarentena datos en reposo" en la página 1474.
Etiquetar datos en reposo La acción Etiquetar datos en reposo

devuelve una recomendación de etiquetar
los datos confidenciales con el resultado de
la detección.
Ver "Configuración de la acción Etiquetar

datos en reposo" en la página 1474.

nube y appliances de API (acciones para datos en reposo adicionales)
Evitar la descarga, la copia y la impresión La acción Impedir descarga, copia e

impresión devuelve una recomendación de
evitar opciones de descarga, copia e
impresión para los datos confidenciales con
el resultado de detección.
Ver "Configuración de la acción Evitar

descarga, copia e impresión" en la página 1475.
Eliminar el acceso de colaborador La acción Eliminar acceso de colaborador

devuelve una recomendación de eliminar los
derechos de acceso de todos los
colaboradores a los datos confidenciales con
el resultado de detección.
Ver "Configuración de la acción Eliminar

acceso de colaborador" en la página 1476.
Configurar acceso de colaborador en Edición La acción Configurar acceso de

colaborador en Edición devuelve una
recomendación para otorgar acceso de
edición a colaboradores para datos
confidenciales con el resultado de detección.
Ver "Configuración de la acción Configurar

acceso de colaborador en Edición"
en la página 1477.
Configurar acceso de colaborador en Vista La acción Configurar acceso de

previa colaborador en Vista previa devuelve una
previsualización a colaboradores para datos

acceso de colaborador en Vista previa"
en la página 1477.
Configurar acceso de colaborador en Lectura La acción Configurar acceso de

colaborador en Lectura devuelve una
lectura a colaboradores para datos

acceso de colaborador en Lectura"
en la página 1478.
Configurar acceso de archivo en Todo leído La acción Configurar acceso de archivo en

Todo leído devuelve una recomendación
para permitir el acceso de lectura pública de
detección.

acceso de archivo en Todo leído"
en la página 1479.
Configurar acceso de colaborador en Edición La acción Configurar acceso de

interna colaborador en Edición interna devuelve
una recomendación para permitir que todos
los miembros de su organización editen
permisos en los datos confidenciales con el
resultado de detección.

acceso a archivo en Edición interna"
en la página 1479.
Configurar acceso de colaborador en Lectura La acción Configurar acceso de

interna colaborador en Lectura interna devuelve
una recomendación para permitir que todos
los miembros de su organización tengan
acceso de lectura a los datos confidenciales
con el resultado de detección.

acceso a archivo en Lectura interna"
en la página 1480.

nube y appliances de API (datos en movimiento)
Añadir autenticación de dos factores La acción Añadir autenticación de dos

factores devuelve una recomendación de
añadir autenticación de dos factores a los
detección.
Ver "Configuración de la acción Agregar

autenticación de dos factores"
en la página 1481.
Bloquear datos en movimiento La acción Bloquear datos en movimiento

devuelve una recomendación de bloquear
la detección.
Ver "Configuración de la acción Bloquear

datos en movimiento" en la página 1481.
Acción personalizada sobre datos en Acción personalizada sobre datos en

movimiento movimiento devuelve una recomendación
de realizar cierta acción personalizada en los
detección.
Ver "Configuración de Acción personalizada

sobre datos en movimiento" en la página 1482.
Cifrar datos en movimiento La acción Cifrar datos en movimiento

devuelve una recomendación de cifrar los
detección.
Ver "Configuración de la acción Cifrar datos

en movimiento" en la página 1483.
Ejecutar DRM sobre datos en movimiento La acción Ejecutar DRM sobre datos en
movimiento devuelve una recomendación
para aplicar la administración de derechos
digitales (DRM) a los datos confidenciales
con el resultado de la detección.
Ver "Configuración de la acción Ejecutar DRM

sobre datos en movimiento" en la página 1484.
Poner en cuarentena datos en movimiento La acción Poner en cuarentena datos en

movimiento devuelve una recomendación
de poner en cuarentena los datos
detección.
Ver "Configuración de la acción Poner en

cuarentena datos en movimiento"
en la página 1485.
Ocultar datos en movimiento La acción Ocultar datos en movimiento

devuelve una recomendación de ocultar los
detección.
Ver "Configuración de la acción Ocultar datos

en movimiento" en la página 1486.
Acerca de los tipos de ejecución de regla de respuesta
Acerca de los tipos de ejecución de regla de respuesta

Symantec Data Loss Prevention proporciona dos tipos de reglas de respuesta de
políticas: automatizada e inteligente.
El servidor de detección que informa una infracción de políticas ejecuta reglas de
respuesta automáticas. Los usuarios, como reparadores de incidentes, ejecutan
la regla de respuesta inteligente disponible según sea necesario de la consola de
Tabla 39-10 Tipos de regla de respuesta
Tipo de ejecución de regla de Descripción

respuesta
Reglas de respuesta automática Cuando una infracción de políticas ocurre, el servidor de detección ejecuta
automáticamente acciones de regla de respuesta.
Ver "Acerca de las reglas de respuesta automática" en la página 1417.
Reglas de respuesta inteligente Cuando ocurre una infracción de políticas, un usuario autorizado activa
manualmente la regla de respuesta.
Ver "Acerca de reglas de respuesta inteligentes" en la página 1418.

Acerca de las reglas de respuesta automática

El sistema ejecuta reglas de respuesta automática cuando el motor de detección
informa una infracción de políticas. Sin embargo, si se implementa una condición
de regla de respuesta, la condición debe cumplirse para que el sistema ejecute la
regla de respuesta. Las condiciones le permiten controlar la ejecución automatizada
de las acciones de regla de respuesta.
Por ejemplo, el sistema puede bloquear automáticamente cierta política que infringe
acciones, como el intento de transferencia de datos de clientes de valor elevado
o de documentos de diseño confidenciales. También, el sistema puede extender
un incidente a un sistema de administración de flujo de trabajo para la atención
inmediata. Además, se puede configurar un nivel de gravedad diferente para un
incidente que implica 1000 registros de clientes, que para uno que implica solamente
10 registros.
Acerca de reglas de respuesta inteligentes
Acerca de reglas de respuesta inteligentes

Los usuarios ejecutan reglas de respuesta inteligentes a petición en respuesta a
infracciones de políticas de la pantalla Instantánea de incidente de la consola de
Se crean reglas de respuesta inteligentes para las situaciones que requieren
reparación manual. Por ejemplo, es posible crear una regla de respuesta inteligente
para rechazar incidentes falsos positivos. Un reparador de incidentes puede revisar
el incidente, identificar la coincidencia como un falso positivo y rechazarla.
Ver "Acerca de configurar reglas de respuesta inteligentes" en la página 1432.
Solamente algunas reglas de respuesta están disponibles para la ejecución manual.
Tabla 39-11 Reglas de respuesta inteligentes disponibles para la ejecución

manual
Regla de respuesta inteligente Descripción
Agregar nota Agregue un campo al registro de incidente que el reparador puede anotar en
la pantalla Instantánea de incidente.
Ver "Configuración de la acción Agregar nota" en la página 1451.
Iniciar sesión en un servidor Syslog Registre el incidente en un servidor Syslog para la reparación de flujo de
trabajo.
Ver "Configuración de la acción Iniciar sesión en un servidor Syslog"

en la página 1454.
Cuarentena Ponga en cuarentena datos confidenciales en aplicaciones de nube.
Restaurar archivo Restaure un archivo de aplicación de nube puesto en cuarentena previamente.
Enviar notificación por correo Envíe un correo electrónico a los destinatarios que usted especifique.
electrónico
Ver "Configuración de la acción Enviar notificación por correo electrónico"
en la página 1456.
Acerca de las condiciones de regla de respuesta
Regla de respuesta inteligente Descripción
Server FlexResponse Ejecute una acción personalizada de Server FlexResponse.

Nota: Esta acción de regla de respuesta está disponible solamente si
implementa uno o más complementos personalizados de Server
FlexResponse en Symantec Data Loss Prevention.

en la página 1844.
Definir estado Defina el estado de incidente al valor especificado.
Ver "Configuración de la acción Definir estado" en la página 1460.
Acerca de las condiciones de regla de respuesta

Las condiciones de regla de respuesta son componentes opcionales de la regla
de respuesta. Las condiciones definen cómo y cuándo el sistema activa acciones
de regla de respuesta. Las condiciones le dan varias maneras de dar prioridad a
incidentes entrantes para enfocar esfuerzos de reparación y tomar una respuesta
apropiada.
Las condiciones de regla de respuesta activan acciones basadas en criterios de
detección de coincidencia. Por ejemplo, puede configurar una condición para activar
acciones para incidentes de alta gravedad, ciertos tipos de incidentes o una vez
detectado un número especificado de incidentes.
Ver "Configuración de condiciones de regla de respuesta" en la página 1433.
No son necesarias condiciones. Si una regla de respuesta no declara una condición,
la acción de regla de respuesta se ejecuta siempre cada vez que ocurre un
incidente. Si se declara una condición, debe ser cumplida para que la acción se
active. Si se declara más de una condición, debe ser cumplido todo para que el
sistema tome medidas.
Acerca de la prioridad de ejecución de la acción de regla de respuesta
Tabla 39-12 Condiciones de regla de respuesta disponibles
Ubicación del endpoint Activa una acción de respuesta cuando el endpoint está dentro o fuera de la red
corporativa.
Ver "Cómo configurar la condición de respuesta de ubicación de endpoint"

en la página 1440.
Dispositivo endpoint Activa una acción de respuesta cuando un evento ocurre en un dispositivo
endpoint configurado.
Ver "Cómo configurar la condición de respuesta de un dispositivo endpoint"

en la página 1441.
Tipo de incidente Activa una acción de respuesta cuando el tipo especificado de servidor de
detección informa una coincidencia.
Ver "Cómo configurar la condición de respuesta Tipo de incidente"

en la página 1442.
Cantidad de coincidencias de Activa una acción de respuesta cuando el volumen de infracciones de políticas
incidentes excede un umbral o un intervalo.
Ver "Cómo configurar la condición de respuesta de cantidad de coincidencias

Supervisión de endpoint o protocolo Activa una acción de respuesta cuando un incidente se detecta en un protocolo
de comunicaciones por red especificado (como HTTP) o en un destino de
endpoint (como CD/DVD).
Ver "Cómo configurar la condición de respuesta de supervisión de endpoint o

protocolo" en la página 1445.
Gravedad Activa una acción de respuesta cuando la infracción de políticas es de cierto

nivel de gravedad.
Ver "Cómo la condición de respuesta Gravedad" en la página 1447.
Acerca de la prioridad de ejecución de la acción de

regla de respuesta
Un servidor Symantec Data Loss Prevention ejecuta acciones de la regla de
respuesta según un orden prioritario definido por el sistema. No es posible modificar
el orden de ejecución entre reglas de respuesta de diversos tipos.
En todos los casos, cuando un servidor ejecuta dos o más reglas de respuesta
diferentes para la misma política, la acción de respuesta con más prioridad toma
precedencia.
Considere los ejemplos siguientes:

■ Una regla de respuesta de endpoint permite que un usuario cancele un intento
de copia de archivo, y otra regla bloquea el intento.
El servidor de detección bloquea la copia de archivo.
■ Una acción de regla de respuesta de red copia un archivo y otra acción lo pone
en cuarentena.
El servidor de detección pone en cuarentena el archivo.
■ Una acción de regla de respuesta de red modifica el contenido de un mensaje
de correo electrónico y otra acción bloquea la transmisión.
El servidor de detección bloquea la transmisión del correo electrónico.
No es posible cambiar el orden de ejecución de prioridades para diversos tipos de
acción de regla de respuesta. Sin embargo, se puede modificar el orden de
ejecución para el mismo tipo de acción de regla de respuesta con instrucciones
en conflicto.
Ver "Modificación del orden de reglas de respuesta" en la página 1438.
Tabla 39-13 Prioridad de ejecución de regla de respuesta definida en el sistema
Prioridad de ejecución Descripción

(desde lo más prioritario hasta
lo menos prioritario)
Endpoint Prevent: Bloquear Ver "Configuración de la acción Endpoint Prevent:

Bloquear" en la página 1490.
Endpoint Prevent: Cifrar Ver "Configuración de la acción Endpoint Prevent:

Cifrar" en la página 1493.
Endpoint Prevent: Cancelado por Ver "Configuración de la acción Endpoint Prevent:

el usuario Cancelado por el usuario" en la página 1500.
Endpoint: FlexResponse Ver "Configurar la acción de Endpoint: FlexResponse"

en la página 1486.
Endpoint Prevent: Notificar Ver "Configuración de la acción Endpoint Prevent:

Notificar" en la página 1497.
Endpoint Discover: Archivo en Ver "Configurar la acción Endpoint Discover: Archivo

cuarentena en cuarentena" en la página 1488.
Todos: Limitar retención de datos Ver "Configuración de la acción Limitar retención de

de incidentes datos de incidentes" en la página 1452.
Network Prevent: Bloquear Ver "Configuración de la acción Network Prevent:

mensaje SMTP Bloquear mensaje SMTP" en la página 1506.

Network Prevent: Modificar Ver "Configuración de la acción Network Prevent:

mensaje SMTP Modificar mensaje SMTP" en la página 1507.
Network Prevent for Web: eliminar Ver "Cómo configurar la acción Network Prevent for
contenido de HTTP/HTTPS Web: Eliminar contenido HTTP/S" en la página 1508.
Network Prevent for Web: bloquear Ver "Cómo configurar la acción Network Prevent for
HTTP/HTTPS Web: Bloquear HTTP/S" en la página 1504.
Network Prevent for Web: bloquear Ver "Cómo configurar la acción Network Prevent for
solicitud de FTP Web: Bloquear solicitud de FTP" en la página 1504.
Network Protect: Archivo en Ver "Configuración de la acción Network Protect:

cuarentena Archivo en cuarentena" en la página 1511.
Network Protect: Cifrar archivo Ver "Configuración de Network Protect: acción Cifrar
Network Protect: Copiar archivo Ver "Configuración de la acción Network Protect: Copiar
Todos: Definir estado Ver "Configuración de la acción Definir estado"

en la página 1460.
Todos: Establecer atributo Ver "Configuración de la acción Establecer atributos"

en la página 1459.
Todos: Agregar nota Ver "Configuración de la acción Agregar nota"

en la página 1451.
Todos: Iniciar sesión en un servidor Ver "Configuración de la acción Iniciar sesión en un

Syslog servidor Syslog" en la página 1454.
Todos: Enviar notificación por Ver "Configuración de la acción Enviar notificación por
correo electrónico correo electrónico" en la página 1456.
Almacenamiento en la nube: Ver "Configurar la acción Almacenamiento en la nube:

Agregar etiqueta visual Agregar etiqueta visual" en la página 1466.
Almacenamiento en la nube: Ver "Configuración de la acción de almacenamiento en

cuarentena la nube: cuarentena" en la página 1467.

Server FlexResponse Ver "Cómo configurar la acción de Server

Nota: Las acciones de Server FlexResponse que
forman parte de reglas de respuesta automática se
ejecutan en Enforce Server, en lugar del servidor de
detección.
Bloquear datos en movimiento Ver "Configuración de la acción Bloquear datos en

movimiento" en la página 1481.
Ocultar datos en movimiento Ver "Configuración de la acción Ocultar datos en

Cifrar datos en movimiento Ver "Configuración de la acción Cifrar datos en

Poner en cuarentena datos en Ver "Configuración de la acción Poner en cuarentena

movimiento datos en movimiento" en la página 1485.
Ejecutar DRM sobre datos en Ver "Configuración de la acción Ejecutar DRM sobre
movimiento datos en movimiento" en la página 1484.
Acción personalizada sobre datos Ver "Configuración de Acción personalizada sobre datos
en movimiento en movimiento" en la página 1482.
Cifrar datos en reposo Ver "Configuración de la acción Cifrar datos en reposo"

en la página 1472.
Eliminar datos en reposo Ver "Configuración de la acción Eliminar datos en

reposo" en la página 1472.
Poner en cuarentena datos en Ver "Configuración de la acción Poner en cuarentena

reposo datos en reposo" en la página 1474.
Etiquetar datos en reposo Ver "Configuración de la acción Etiquetar datos en

reposo" en la página 1474.
Ejecutar DRM sobre datos en Ver "Configuración de la acción Ejecutar DRM sobre
Romper vínculos de datos en Ver "Configuración de la acción Romper vínculos de

Acción personalizada sobre datos Ver "Configuración de Acción personalizada sobre datos
en reposo en reposo" en la página 1471.
Acerca de los privilegios de autoría de reglas de respuesta

Configurar acceso de archivo en Ver "Configuración de la acción Configurar acceso de

Todo leído archivo en Todo leído" en la página 1479.
Evitar la descarga, la copia y la Ver "Configuración de la acción Evitar descarga, copia

impresión e impresión" en la página 1475.
Configurar acceso de colaborador Ver "Configuración de la acción Configurar acceso a

en Lectura interna archivo en Lectura interna" en la página 1480.
Configurar acceso de colaborador Ver "Configuración de la acción Configurar acceso a

en Edición interna archivo en Edición interna" en la página 1479.
Configurar acceso de colaborador Ver "Configuración de la acción Configurar acceso de

en Lectura colaborador en Lectura" en la página 1478.

en Edición colaborador en Edición" en la página 1477.
Eliminar el acceso de colaborador Ver "Configuración de la acción Eliminar acceso de

colaborador" en la página 1476.

en Vista previa colaborador en Vista previa" en la página 1477.
Añadir autenticación de dos Ver "Configuración de la acción Agregar autenticación

factores de dos factores" en la página 1481.

Ver "Administración de reglas de respuesta" en la página 1429.
Acerca de los privilegios de autoría de reglas de

respuesta
Para administrar y crear reglas de respuesta, es necesario estar asignado a un rol
con privilegios de autoría de reglas de respuesta. Para agregar una regla de
respuesta a una política, es necesario tener privilegios de autoría de políticas.
Por motivos empresariales, es conveniente conceder privilegios de autoría de
reglas de respuesta y de políticas al mismo rol. También puede mantener estos
roles por separado.
Implementación de reglas de respuesta

Si inicia sesión en el sistema como usuario sin privilegios de autoría de reglas de
respuesta, la pantalla Administrar > Políticas > Reglas de respuesta no está
disponible.
Implementación de reglas de respuesta

Las reglas de respuesta se definen de manera independiente de las políticas.
Es necesario tener privilegios de autoría de reglas de respuesta para crear y
administrar reglas de respuesta.
Tabla 39-14 Flujo de trabajo para implementar reglas de respuesta de políticas
1 Revise las reglas de respuesta disponibles. La pantalla Administrar > Políticas > Reglas de respuesta
muestra todas las reglas de respuesta configuradas.
El paquete de soluciones para su sistema proporciona reglas

de respuesta configuradas. Puede usar estas reglas de
respuesta en sus políticas mientras existan o puede
modificarlas.
Ver "Paquetes de soluciones" en la página 394.
2 Decida el tipo de regla de respuesta para Decida el tipo de reglas de respuesta según sus requisitos
implementar: Inteligente, automatizada, de negocios.
ambas.
Ver "Acerca de los tipos de ejecución de regla de respuesta"
en la página 1417.
3 Determine el tipo de acciones que desee Ver "Acerca de las condiciones de regla de respuesta"
implementar y cualquier condición de en la página 1419.
activación.
Ver "Acerca de las acciones de regla de respuesta"
en la página 1405.
4 Conozca el orden de precedencia entre Ver "Acerca de la prioridad de ejecución de la acción de regla
acciones de regla de respuesta de de respuesta" en la página 1420.
diferentes tipos y del mismo tipo.
Ver "Modificación del orden de reglas de respuesta"
en la página 1438.
Prácticas recomendadas de regla de respuesta
5 Integre Enforce Server con un sistema Algunas reglas de respuesta pueden necesitar la integración
externo (si es necesario para la regla de con los sistemas externos.
respuesta). Estos pueden incluir:
■ Un sistema de SIEM para la regla de respuesta Iniciar

sesión en un servidor Syslog.
■ Un servidor de correo electrónico para la regla de
respuesta Enviar notificación por correo electrónico
■ Un host web del proxy para las reglas de respuesta de
■ Un MTA para las reglas de respuesta de Network Prevent
for Email.
6 Agregue una nueva regla de respuesta. Ver "Agregue una nueva regla de respuesta" en la página 1431.
7 Configure las reglas de respuesta. Ver "Configuración de reglas de respuesta" en la página 1431.
8 Configure una o más condiciones de regla Ver "Configuración de condiciones de regla de respuesta"
de respuesta (opcional). en la página 1433.
9 Configure una o más acciones de regla de Es necesario definir por lo menos una acción para una regla
respuesta (obligatorio). de respuesta válida.
Ver "Configuración de acciones de regla de respuesta"

en la página 1434.
La acción se ejecuta cuando se informa una infracción de

políticas o cuando coincide una condición de regla de
respuesta.
10 Agregar reglas de respuesta a las políticas. Es necesario tener privilegios de autoría de políticas para
agregar reglas de respuesta a las políticas.
Ver "Agregar una regla de respuesta automática a una

política" en la página 481.

Cuando implemente reglas de respuesta, considere lo siguiente:
■ Las reglas de respuesta no se necesitan para la ejecución de políticas. En
general, es mejor implementar y ajustar sus reglas y excepciones de políticas
antes de aplicar reglas de respuesta. Una vez que se alcanzan los resultados
deseados de políticas de detección, se pueden aplicar y perfeccionar reglas de
respuesta.
■ Las reglas de respuesta necesitan, al menos, una acción de regla; una condición
es opcional. Si no implementa una condición, la acción se ejecuta siempre
cuando se informa un incidente. Si configura más de una condición de regla de
respuesta, todas las condiciones deben coincidir para que la acción de regla
de respuesta se active.
■ Las condiciones de regla de respuesta se derivan de reglas de políticas.
Comprenda el tipo de condiciones de regla y de excepción que la política
implementa cuando se configuran condiciones de regla de respuesta. El sistema
evalúa la condición de regla de respuesta basada en cómo la regla de políticas
cuenta coincidencias.
■ El sistema muestra solamente el nombre de la regla de respuesta para que los
autores de políticas las seleccionen cuando agregan reglas de respuesta a las
políticas. Asegúrese de proporcionar un nombre descriptivo que ayude a los
autores de políticas a identificar el propósito de la regla de respuesta.
■ No es posible combinar una acción de regla de respuesta Endpoint Prevent:
Notificar o Endpoint Prevent: Bloquear con métodos de detección de EDM, IDM
o DGM. Si lo hace, el sistema muestra una advertencia para la política mal
configurada.
■ Si combina varias reglas de respuesta en una única política, asegúrese de
comprender el orden de precedencia de las reglas de respuesta.
en la página 1420.
■ Use las reglas de Respuesta inteligente solamente donde corresponda la
intervención manual.
■ Cuando los archivos confidenciales se cifran usando Symantec Information
Centric Encryption, el archivo original se reemplaza con un archivo HTML del
mismo nombre. Es necesario actualizar todos los vínculos y las referencias
existentes de modo que señalen al nuevo archivo HTML.
■ Microsoft SharePoint les permite a los usuarios cargar archivos HTML que no
tengan un tamaño mayor a 256 MB. Para asegurarse de que los archivos
confidenciales en SharePoint puedan ser cifrados correctamente, no cargue
archivos que tengan un tamaño de 256 MB o más.
■ Si configura varias acciones de regla de respuesta de Server FlexResponse

para destinos de análisis de Microsoft SharePoint, las acciones de regla de
respuesta se podrían ejecutar en orden de prioridad de acción de regla de
respuesta.
en la página 1420.
Capítulo 40
Cómo configurar y
administrar reglas de
respuesta
■ Administración de reglas de respuesta
■ Agregue una nueva regla de respuesta
■ Configuración de reglas de respuesta
■ Acerca de configurar reglas de respuesta inteligentes
■ Configuración de condiciones de regla de respuesta
■ Configuración de acciones de regla de respuesta
■ Modificación del orden de reglas de respuesta
■ Acerca de la eliminación de reglas de respuesta
Administración de reglas de respuesta

La pantalla Administrar > Políticas > Reglas de respuesta es la página principal
para administrar reglas de respuesta y el punto de partida para agregar nuevas.
Es necesario tener privilegios de autoría de reglas de respuesta para administrar
y agregar reglas de respuesta.
Cómo configurar y administrar reglas de respuesta 1430
Administración de reglas de respuesta
Tabla 40-1 Acciones de la pantalla Reglas de respuesta
Agregar regla de respuesta Haga clic en Agregar regla de respuesta para definir una nueva regla de respuesta.
Ver "Agregue una nueva regla de respuesta" en la página 1431.
Modificar orden de reglas de Haga clic en Modificar orden de reglas de respuesta para modificar el orden de
respuesta precedencia de las reglas de respuesta.
Edite una regla de respuesta Haga clic en la regla de respuesta para modificarla.
existente
Elimine una regla de Haga clic en el icono de la X roja cerca de la derecha de la regla de respuesta para
respuesta existente eliminarla.
Es necesario confirmar la operación antes de que ocurra la eliminación.
Ver "Acerca de la eliminación de reglas de respuesta" en la página 1439.
Actualice la lista Haga clic en el icono de la flecha en la parte superior derecha de la pantalla Reglas de
respuesta para buscar el último estado de la regla.
Tabla 40-2 Pantalla Reglas de respuesta
Columna Pantalla Descripción
de respuesta El Orden de precedencia cuando se configura más de una regla de respuesta.
Regla El Nombre de la regla de respuesta.
Acciones El tipo de Acción que la regla de respuesta puede tomar para responder a un incidente
(obligatorio).
Ver "Configuración de acciones de regla de respuesta" en la página 1434.
Condiciones La Condición que activa la regla de respuesta (si corresponde).

Agregue una nueva regla de respuesta
Agregue una nueva regla de respuesta

Agregue una nueva regla de respuesta desde la pantalla Administrar > Políticas
> Reglas de respuesta > Nueva regla de respuesta.
Para agregar una nueva regla de respuesta
1 Haga clic en Agregar regla de respuesta en la pantalla Administrar >
Políticas > Reglas de respuesta.
2 En la pantalla Nueva regla de respuesta, seleccione una de las siguientes
opciones:
■ Respuesta automática
El sistema ejecuta automáticamente la acción de la respuesta mientras el
servidor evalúa los incidentes (opción predeterminada).
Ver "Acerca de las reglas de respuesta automática" en la página 1417.
■ Respuesta inteligente
Un usuario autorizado ejecuta la acción de la respuesta desde la pantalla
Instantánea de incidente en la consola de administración de Enforce
Server.
3 Haga clic en Siguiente para configurar la regla de respuesta.

Configuración de reglas de respuesta

Configure reglas de respuesta en la pantalla Administrar > Políticas > Reglas
de respuesta > Configurar regla de respuesta.
Para configurar una regla de respuesta
1 Agregue una nueva regla de respuesta o modifique una existente.
2 Escriba el Nombre de la regla y la Descripción de una respuesta.
Acerca de configurar reglas de respuesta inteligentes
3 Opcionalmente, defina una o más Condiciones para dictar cuando la regla

de respuesta se ejecute.
Si no se declara ninguna condición, la acción de regla de respuesta se ejecuta
siempre cuando hay una coincidencia (se asume que la regla de detección
está configurada igual).
Omita este paso si usted seleccionó la opción de la regla de Respuesta
inteligente.
4 Seleccione y configure una o más Acciones. Es necesario definir por lo menos
una acción.
5 Haga clic en Guardar para guardar la definición de la regla de respuesta.
Acerca de configurar reglas de respuesta inteligentes

Cuando implemente reglas de respuesta inteligentes, considere lo siguiente:
■ Las reglas de respuesta inteligente son más adecuadas para los incidentes que
autorizan la revisión del usuario para que determine si es necesaria alguna
acción de respuesta.
Si no desea la participación del usuario para activar una acción de regla de
respuesta, use las reglas de respuesta automática en su lugar.
■ No es posible configurar ninguna condición de activación con las reglas de
respuesta inteligente.
Los usuarios autorizados deciden cuándo un incidente de detección autoriza
una respuesta.
■ Está limitado en las medidas que se pueden tomar con reglas de respuesta
inteligente (nota, registro, correo electrónico, estado).
Si es necesario bloquear o modificar una acción, use las reglas de respuesta
automática.
Configuración de condiciones de regla de respuesta
Configuración de condiciones de regla de respuesta

Es posible agregar una o más condiciones a una regla de respuesta. Un incidente
debe cumplir todas las condiciones de la regla de respuesta antes de que el sistema
ejecute cualquier acción de regla de respuesta.
Para configurar una condición de regla de respuesta
1 Configure una regla de respuesta en la pantalla Configurar regla de
respuesta.
2 Haga clic en Agregar condición para agregar una nueva condición.
Las condiciones son opcionales y se basan en coincidencias de reglas de
detección. Cada tipo de condición de regla de respuesta realiza una función
diferente.
3 Elija el tipo de condición de la lista Condiciones.
Por ejemplo, seleccione la condición Cantidad de coincidencias de
incidentes y Es mayor que, y escriba 15 en el cuadro de texto. Esta condición
activa la acción de regla de respuesta después de 15 coincidencias de la
infracción de políticas.
4 Para agregar otra condición, haga clic en Agregar condición y repita el
proceso.
Si ninguna de las condiciones coincide, no se toma ninguna medida.
5 Haga clic en Guardar para guardar la condición.
Haga clic en Cancelar para volver a la pantalla anterior sin guardar la condición.
Haga clic en el icono de la X roja al lado de la condición para eliminarla de la
regla de respuesta.
Configuración de acciones de regla de respuesta

Es necesario configurar por lo menos una acción para que la regla de respuesta
sea válida. Es posible configurar varias acciones de regla de respuesta. Cada
acción se evalúa independientemente.
Para definir una acción de regla de respuesta
respuesta.
2 Elija un tipo de acción de la lista Acciones y haga clic en Agregar acción.
Por ejemplo, agregue la acción Todos: Agregar nota a la regla de respuesta.
Esta acción permite que el reparador anote el incidente.
3 Configure el tipo de acción especificando los parámetros previstos para el tipo
de acción elegido.
4 Repita estos pasos para cada acción que desee agregar.
Si agrega acciones adicionales, considere el orden de ejecución y la
modificación posible de tipos similares.
5 Haga clic en Guardar para guardar la regla de respuesta.
Tabla 40-3 Configurar una acción de regla de respuesta
Tipo de Regla de respuesta Descripción

incidente
Todos Agregar nota Ver "Configuración de la acción Agregar nota" en la página 1451.
Todos Limitar retención de datos Ver "Configuración de la acción Limitar retención de datos de
de incidentes incidentes" en la página 1452.
Todos Iniciar sesión en un servidor Ver "Configuración de la acción Iniciar sesión en un servidor Syslog"
Syslog en la página 1454.
Todos Enviar notificación por Ver "Configuración de la acción Enviar notificación por correo
correo electrónico electrónico" en la página 1456.

incidente
Todos Server FlexResponse Ver "Cómo configurar la acción de Server FlexResponse"

en la página 1458.
Todos Establecer atributos Ver "Configuración de la acción Establecer atributos" en la página 1459.
Todos Definir estado Ver "Configuración de la acción Definir estado" en la página 1460.
Almacenamiento Agregar etiqueta visual Ver "Configurar la acción Almacenamiento en la nube: Agregar
en la nube etiqueta visual" en la página 1466.
Almacenamiento Cuarentena Ver "Configuración de la acción de almacenamiento en la nube:

en la nube cuarentena" en la página 1467.
Aplicaciones: Romper vínculos de datos Ver "Configuración de la acción Romper vínculos de datos en reposo"
datos en reposo en reposo en la página 1470.
(DAR)
Aplicaciones: Acción personalizada sobre Ver "Configuración de Acción personalizada sobre datos en reposo"
datos en reposo datos en reposo en la página 1471.
(DAR)
Aplicaciones: Eliminar datos en reposo Ver "Configuración de la acción Eliminar datos en reposo"
datos en reposo en la página 1472.
(DAR)
Aplicaciones: Cifrar datos en reposo Ver "Configuración de la acción Cifrar datos en reposo"
(DAR)
Aplicaciones: Ejecutar DRM sobre datos Ver "Configuración de la acción Ejecutar DRM sobre datos en reposo"
datos en reposo en reposo en la página 1473.
(DAR)
Aplicaciones: Poner en cuarentena datos Ver "Configuración de la acción Poner en cuarentena datos en
datos en reposo en reposo reposo" en la página 1474.
(DAR)
Aplicaciones: Etiquetar datos en reposo Ver "Configuración de la acción Etiquetar datos en reposo"
(DAR)
Aplicaciones: Añadir autenticación de dos Ver "Configuración de la acción Agregar autenticación de dos
datos en factores factores" en la página 1481.
movimiento

incidente
Aplicaciones: Bloquear datos en Ver "Configuración de la acción Bloquear datos en movimiento"

datos en movimiento en la página 1481.
movimiento (DIM)
Aplicaciones: Acción personalizada sobre Ver "Configuración de Acción personalizada sobre datos en
datos en datos en movimiento movimiento" en la página 1482.
movimiento (DIM)
Aplicaciones: Cifrar datos en movimiento Ver "Configuración de la acción Cifrar datos en movimiento"
datos en en la página 1483.
movimiento (DIM)
Aplicaciones: Ejecutar DRM sobre datos Ver "Configuración de la acción Ejecutar DRM sobre datos en
datos en en movimiento movimiento" en la página 1484.
movimiento (DIM)
Aplicaciones: Poner en cuarentena datos Ver "Configuración de la acción Poner en cuarentena datos en
datos en en movimiento movimiento" en la página 1485.
movimiento (DIM)
Aplicaciones: Ocultar datos en Ver "Configuración de la acción Ocultar datos en movimiento"

datos en movimiento en la página 1486.
movimiento (DIM)
Aplicaciones: Evitar la descarga, la copia Ver "Configuración de la acción Evitar descarga, copia e impresión"
datos en reposo y la impresión en la página 1475.
(DAR)
Aplicaciones: Eliminar el acceso de Ver "Configuración de la acción Eliminar acceso de colaborador"

datos en reposo colaborador en la página 1476.
(DAR)
Aplicaciones: Configurar acceso de Ver "Configuración de la acción Configurar acceso de colaborador

datos en reposo colaborador en Edición en Edición" en la página 1477.
(DAR)

datos en reposo colaborador en Vista previa en Vista previa" en la página 1477.
(DAR)

datos en reposo colaborador en Lectura en Lectura" en la página 1478.
(DAR)

incidente
Aplicaciones: Configurar acceso de Ver "Configuración de la acción Configurar acceso de archivo en

datos en reposo archivo en Todo leído Todo leído" en la página 1479.
(DAR)
Aplicaciones: Configurar acceso de Ver "Configuración de la acción Configurar acceso a archivo en

datos en reposo colaborador en Edición Edición interna" en la página 1479.
(DAR) interna
Aplicaciones: Configurar acceso de Ver "Configuración de la acción Configurar acceso a archivo en

datos en reposo colaborador en Lectura Lectura interna" en la página 1480.
(DAR) interna
Endpoint FlexResponse Ver "Configurar la acción de Endpoint: FlexResponse"

en la página 1486.
Endpoint Archivo en cuarentena Ver "Configurar la acción Endpoint Discover: Archivo en cuarentena"
Discover en la página 1488.
Endpoint Prevent Bloquear Ver "Configuración de la acción Endpoint Prevent: Bloquear"

en la página 1490.
Endpoint Prevent Encrypt Ver "Configuración de la acción Endpoint Prevent: Cifrar"

en la página 1493.
Endpoint Prevent Notificar Ver "Configuración de la acción Endpoint Prevent: Notificar"

en la página 1497.
Endpoint Prevent Cancelado por el usuario Ver "Configuración de la acción Endpoint Prevent: Cancelado por el
usuario" en la página 1500.
Network Prevent Bloquear solicitud de FTP Ver "Cómo configurar la acción Network Prevent for Web: Bloquear
for Web solicitud de FTP" en la página 1504.
Network Prevent Bloquear HTTP/S Ver "Cómo configurar la acción Network Prevent for Web: Bloquear
for Web HTTP/S" en la página 1504.
Network Prevent Bloquear mensaje SMTP Ver "Configuración de la acción Network Prevent: Bloquear mensaje
for Email SMTP" en la página 1506.
Network Prevent Modificar mensaje SMTP Ver "Configuración de la acción Network Prevent: Modificar mensaje
for Email SMTP" en la página 1507.
Network Prevent Eliminar contenido HTTP/S Ver "Cómo configurar la acción Network Prevent for Web: Eliminar
for Web contenido HTTP/S" en la página 1508.
Network Protect Copiar archivo Ver "Configuración de la acción Network Protect: Copiar archivo"
en la página 1510.
Modificación del orden de reglas de respuesta

incidente
Network Protect Archivo en cuarentena Ver "Configuración de la acción Network Protect: Archivo en
cuarentena" en la página 1511.
Network Protect Cifrar archivo Ver "Configuración de Network Protect: acción Cifrar archivo"
en la página 1512.
Modificación del orden de reglas de respuesta

No es posible cambiar la prioridad de ejecución definida por el sistema para diversos
tipos de acciones de regla de respuesta. Sin embargo, se puede modificar el orden
de ejecución para el mismo tipo de acción de regla de respuesta con instrucciones
en conflicto.
en la página 1420.
Por ejemplo, considere una situación en donde se incluyen dos reglas de respuesta
en una política. Cada regla de respuesta implementa una acción Limitar retención
de datos de incidentes. Una acción desecha todos los archivos adjuntos y la otra
acción desecha solamente esos archivos adjuntos que no son infracciones. En
este caso, cuando se infringe la política, el servidor de detección ve la prioridad
del orden de las reglas de respuesta para determinar qué acción tiene precedencia.
Este tipo de orden es configurable.
Para modificar el orden de las acciones de regla de respuesta
1 Navegue a la pantalla Administrar > Políticas > Reglas de respuesta.
2 Observe la columna Orden y el número al lado de cada regla de respuesta
configurada.
De forma predeterminada, el sistema ordena la lista de reglas de respuesta
por la columna Orden en orden decreciente, de la prioridad más alta (1) a la
más baja. El sistema ordena inicialmente las reglas de respuesta en el orden
en que se crean. Es posible modificar este orden.
3 Para habilitar el modo de modificación, haga clic en Modificar orden de reglas
de respuesta.
La columna Orden ahora muestra un menú desplegable para cada regla de
respuesta.
Acerca de la eliminación de reglas de respuesta
4 Para modificar el orden, para cada regla de respuesta que desee reordenar,
seleccione la prioridad de orden deseada del menú desplegable.
Por ejemplo, una regla de respuesta con la prioridad de orden 2 se puede
modificar para que su orden sea 1 (la prioridad más alta).
La modificación de un número de orden mueve esa regla de respuesta a su
posición modificada en la lista y actualiza el resto de las reglas de respuesta.
5 Haga clic en Guardar para guardar las modificaciones del orden de reglas de
respuesta.
6 Repita estos pasos como sea necesario para alcanzar los resultados deseados.
Acerca de la eliminación de reglas de respuesta

Es posible eliminar reglas de respuesta en la pantalla Administrar > Políticas >
Reglas de respuesta.
Cuando elimina una regla de respuesta, considera lo siguiente:
■ Un usuario debe tener privilegios de autoría de reglas de respuesta para eliminar
una regla de respuesta existente.
■ Un autor de regla de respuesta no puede eliminar una regla de respuesta
existente mientras otro usuario la modifica.
■ Un autor de regla de respuesta no puede eliminar una regla de respuesta si
una política declara esa regla de respuesta. En este caso, es necesario eliminar
la regla de respuesta de todas las políticas que declaren la regla de respuesta
antes de eliminarla.
Capítulo 41
Condiciones de reglas de
respuesta
■ Cómo configurar la condición de respuesta de ubicación de endpoint
■ Cómo configurar la condición de respuesta de un dispositivo endpoint
■ Cómo configurar la condición de respuesta Tipo de incidente
■ Cómo configurar la condición de respuesta de cantidad de coincidencias de

incidentes
■ Cómo configurar la condición de respuesta de supervisión de endpoint o

protocolo
■ Cómo la condición de respuesta Gravedad
Cómo configurar la condición de respuesta de

ubicación de endpoint
La condición de ubicación de endpoint activa la acción de regla de respuesta basada
en el estado de conexión del Agente DLP cuando se infringe una política de
endpoint.
Nota: Esta condición es específica de los incidentes de endpoints. No es necesario

implementar esta condición para los incidentes de red o de detección. Si lo hace,
la acción de regla de respuesta no se ejecuta.
Condiciones de reglas de respuesta 1441
Cómo configurar la condición de respuesta de un dispositivo endpoint
Para configurar la condición de ubicación de endpoint

respuesta.
2 Seleccione la condición Ubicación de endpoint de la lista Condiciones.
3 Seleccione los requisitos de ubicación de endpoint para activar acciones.
Tabla 41-1 Opciones de la condición de ubicación de endpoint
Calificador Condición Descripción
Es alguno de Fuera de la red Esta combinación activa una acción de regla de respuesta si ocurre un incidente
corporativa cuando el endpoint está fuera de la red corporativa.
No es Fuera de la red Esta combinación no activa ninguna acción de regla de respuesta si ocurre un
ninguno de corporativa incidente cuando el endpoint está fuera de la red corporativa.
Es alguno de En la red corporativa Esta combinación activa una acción de regla de respuesta si ocurre un incidente
cuando el endpoint está dentro de la red corporativa.
No es En la red corporativa Esta combinación no activa ninguna acción de regla de respuesta si ocurre un
ninguno de incidente cuando el endpoint está dentro de la red corporativa.

Cómo configurar la condición de respuesta de un

dispositivo endpoint
La condición del dispositivo endpoint activa la acción de regla de respuesta cuando
un incidente se detecta en uno o más dispositivos endpoint configurados.
Se configuran los dispositivos endpoint en la pantalla Sistema > Agentes >
Dispositivos endpoint.
Cómo configurar la condición de respuesta Tipo de incidente
Nota: Esta condición es específica de los incidentes de endpoints. No es necesario

implementar esta condición para los incidentes de red o de detección. Si lo hace,
la acción de regla de respuesta no se ejecuta.
Para configurar la condición de respuesta de un dispositivo endpoint

respuesta.
2 Seleccione la condición Dispositivo endpoint de la lista Condiciones.
3 Seleccione para detectar o excluir los dispositivos endpoint específicos.
Tabla 41-2 Parámetros de la condición de un dispositivo endpoint
Es alguno de Dispositivo Activa una acción de regla de respuesta cuando un incidente se detecta en un
configurado dispositivo endpoint configurado.
No es ninguno Dispositivo No activa (excluye de la ejecución) una acción de regla de respuesta cuando un
de configurado incidente se detecta en un dispositivo endpoint configurado.

Cómo configurar la condición de respuesta Tipo de

incidente
La condición de tipo de incidente activa una acción de regla de respuesta según
el tipo de servidor de detección que informe el incidente.
Cómo configurar la condición de respuesta de cantidad de coincidencias de incidentes
Para configurar la condición de tipo de incidente

respuesta.
2 Elija la condición Tipo de incidente de la lista Condiciones.
3 Seleccione uno o más tipos de incidente.
Use la tecla Ctrl para seleccionar tipos varios.
Tabla 41-3 Parámetros de la condición de tipo de incidente
Parámetro Servidor Descripción
Es alguno de Discover Activa una acción de regla de respuesta para cualquier incidente que Network
Discover detecte.
No es ninguno No activa ninguna acción de regla de respuesta para cualquier incidente que
de Network Discover detecte.
Es alguno de Endpoint Activa una acción de regla de respuesta para cualquier incidente que Endpoint
Prevent detecte.
de Endpoint Prevent detecte.
Es alguno de Network Activa una acción de regla de respuesta para cualquier incidente que Network
Prevent detecte.
de Network Prevent detecte.


cantidad de coincidencias de incidentes
La condición de cantidad de coincidencias de incidentes activa una acción de regla
de respuesta basada en el número de infracciones de políticas informadas.
Cómo configurar la condición de respuesta de cantidad de coincidencias de incidentes
Para configurar la condición de cantidad de coincidencias de incidentes

respuesta.
2 Elija la condición Cantidad de coincidencias de incidentes de la lista
Condiciones.
3 En el campo de texto, escriba un valor numérico que indique el umbral acerca
del que desea activar la regla de respuesta.
Por ejemplo, si se escribe 15, la regla de respuesta se activa una vez que se
han detectado 15 infracciones de políticas.
Tabla 41-4 Opciones de la condición de cantidad de coincidencias de incidentes
Parámetro Entrada Descripción
Es mayor que Número definido por Activa una acción de regla de respuesta si se supera el número del umbral
el usuario de incidentes.
Es mayor o igual Número definido por Activa una acción de regla de respuesta si se cumple o se supera el
que el usuario número del umbral de incidentes.
Está entre Pares de números Activa una acción de regla de respuesta cuando el número de incidentes
definidos por el está entre el intervalo de los números especificados.
usuario
Es menor que Número definido por Activa una acción de regla de respuesta si el número de incidentes es
el usuario menor que el número especificado.
Es menor o igual Número definido por Activa una acción de regla de respuesta cuando el número de incidentes
que el usuario es igual o menor que el número especificado.

Cómo configurar la condición de respuesta de supervisión de endpoint o protocolo

supervisión de endpoint o protocolo
La condición de supervisión de endpoint o protocolo activa la acción basada en el
protocolo o el destino de endpoint, el dispositivo o la aplicación donde ocurrió la
infracción de políticas.
Para configurar la condición de supervisión de endpoint o protocolo
respuesta.
2 Elija la condición Supervisión de endpoint o protocolo de la lista de
Condiciones.
3 Use la tecla Ctrl para seleccionar varias o use la tecla Mayús para seleccionar
un intervalo.
El sistema enumera cualquier protocolo de red adicional que se configure en
la pantalla Sistema > Configuración > Protocolos.
Tabla 41-5 Opciones de la condición de destino del protocolo o del endpoint
Es alguno de Activa una acción si se ha accedido a un archivo de aplicación

endpoint.
Acceso a archivo de
aplicación endpoint
No es ninguno de No activa la acción si se ha accedido a un archivo de aplicación
endpoint.
Es alguno de Activa una acción si se ha escrito en un CD/DVD de endpoint.

CD/DVD de endpoint
No es ninguno de No activa ninguna acción si se ha escrito en un CD/DVD de endpoint.
Es alguno de Activa una acción si el portapapeles del endpoint se ha copiado o se

ha pegado.
Portapapeles de endpoint
No es ninguno de No activa ninguna acción si se ha copiado o pegado en el portapapeles
de endpoint.
Cómo configurar la condición de respuesta de supervisión de endpoint o protocolo
Es alguno de Activa una acción si la información confidencial se copia en o desde

Copia de endpoint a un recurso compartido de red.
recurso compartido de
No es ninguno de red No activa ninguna acción si la información confidencial se copia en un
recurso compartido de red o desde él.
Es alguno de Activa una acción si los archivos confidenciales se detectan en la

unidad local.
Unidad local de endpoint
No es ninguno de No activa ninguna acción si los archivos confidenciales se detectan
en la unidad local.
Es alguno de Activa una acción si se ha enviado a una impresora o un fax de

endpoint.
Impresora/fax de
endpoint
No es ninguno de No activa ninguna acción si se ha enviado a una impresora o un fax
de endpoint.
Es alguno de Activa una acción si los datos confidenciales se copian en un dispositivo

Dispositivo de de almacenamiento extraíble.
almacenamiento
No es ninguno de extraíble del endpoint No activa ninguna acción si los datos confidenciales se copian en un
dispositivo de almacenamiento extraíble.
Es alguno de Activa una acción si los datos confidenciales se copian por FTP.
FTP
No es ninguno de No activa ninguna acción si los datos confidenciales se copian por
FTP.
Es alguno de Activa una acción si los datos confidenciales se envían por HTTP.
HTTP
No es ninguno de No activa ninguna acción si los datos confidenciales se envían por
HTTP.
Es alguno de Activa una acción si los datos confidenciales se envían por HTTPS.
HTTPS
HTTPS.
Es alguno de Activa una acción si los datos confidenciales se envían por AIM.
MI: AIM
AIM.
Es alguno de Activa una acción si los datos confidenciales se envían por MSN.
MI: MSN
MSN.
Cómo la condición de respuesta Gravedad
Es alguno de Activa una acción si los datos confidenciales se envían por mensajería
instantánea Yahoo!.
MI: Yahoo
mensajería instantánea Yahoo!.
Es alguno de Activa una acción si los datos confidenciales se envían por NNTP.
NNTP
NNTP.
Es alguno de Activa una acción si los datos confidenciales se envían por SMTP.
SMTP
SMTP.


La condición de gravedad activa una acción de regla de respuesta basada en la
gravedad de la infracción de regla de políticas.
Para configurar la condición de gravedad
respuesta.
2 Seleccione la condición Gravedad de la lista Condiciones.
3 Seleccione uno o más niveles de gravedad.
Use la tecla Ctrl para seleccionar varias; use la tecla Mayús para seleccionar
un intervalo.
Tabla 41-6 Coincidencias de la condición de gravedad
Parámetro Gravedad Descripción
Es alguno de Alta Activa una acción de regla de respuesta cuando

coincide una regla de detección con la gravedad
configurada como alta.
No es ninguno Alta No activa ninguna acción de regla de respuesta

de cuando coincide una regla de detección con la
gravedad configurada como alta.
Es alguno de Media Activa una acción de regla de respuesta cuando

configurada como media.
No es ninguno Media No activa ninguna acción de regla de respuesta

gravedad configurada como media.
Es alguno de Baja Activa una acción de regla de respuesta cuando

configurada como baja.
No es ninguno Baja No activa ninguna acción de regla de respuesta

gravedad configurada como baja.
Es alguno de Información Activa una acción de regla de respuesta cuando

configurada como información.
No es ninguno Información No activa ninguna acción de regla de respuesta

gravedad configurada como información.

Capítulo 42
Acciones de la regla de
respuesta
■ Configuración de la acción Agregar nota
■ Configuración de la acción Limitar retención de datos de incidentes
■ Configuración de la acción Iniciar sesión en un servidor Syslog
■ Configuración de la acción Enviar notificación por correo electrónico
■ Cómo configurar la acción de Server FlexResponse
■ Configuración de la acción Establecer atributos
■ Configuración de la acción Definir estado
■ Configuración de la acción de respuesta Clasificar contenido de Enterprise Vault
■ Configurar la acción Almacenamiento en la nube: Agregar etiqueta visual
■ Configuración de la acción de almacenamiento en la nube: cuarentena
■ Configuración de la acción de respuesta inteligente Poner en cuarentena
■ Configuración de la acción de respuesta inteligente Restaurar archivo
■ Configuración de la acción Romper vínculos de datos en reposo
■ Configuración de Acción personalizada sobre datos en reposo
■ Configuración de la acción Eliminar datos en reposo
■ Configuración de la acción Cifrar datos en reposo

Acciones de la regla de respuesta 1450
■ Configuración de la acción Ejecutar DRM sobre datos en reposo
■ Configuración de la acción Poner en cuarentena datos en reposo
■ Configuración de la acción Etiquetar datos en reposo
■ Configuración de la acción Evitar descarga, copia e impresión
■ Configuración de la acción Eliminar acceso de colaborador
■ Configuración de la acción Configurar acceso de colaborador en Edición
■ Configuración de la acción Configurar acceso de colaborador en Vista previa
■ Configuración de la acción Configurar acceso de colaborador en Lectura
■ Configuración de la acción Configurar acceso de archivo en Todo leído
■ Configuración de la acción Configurar acceso a archivo en Edición interna
■ Configuración de la acción Configurar acceso a archivo en Lectura interna
■ Configuración de la acción Agregar autenticación de dos factores
■ Configuración de la acción Bloquear datos en movimiento
■ Configuración de Acción personalizada sobre datos en movimiento
■ Configuración de la acción Cifrar datos en movimiento
■ Configuración de la acción Ejecutar DRM sobre datos en movimiento
■ Configuración de la acción Poner en cuarentena datos en movimiento
■ Configuración de la acción Ocultar datos en movimiento
■ Configurar la acción de Endpoint: FlexResponse
■ Configurar la acción Endpoint Discover: Archivo en cuarentena
■ Configuración de la acción Endpoint Prevent: Bloquear
■ Configuración de la acción Endpoint Prevent: Cifrar
■ Configuración de la acción Endpoint Prevent: Notificar
■ Configuración de la acción Endpoint Prevent: Cancelado por el usuario
■ Cómo configurar la acción Network Prevent for Web: Bloquear solicitud de FTP
■ Cómo configurar la acción Network Prevent for Web: Bloquear HTTP/S
■ Configuración de la acción Network Prevent: Bloquear mensaje SMTP

Configuración de la acción Agregar nota
■ Configuración de la acción Network Prevent: Modificar mensaje SMTP
■ Cómo configurar la acción Network Prevent for Web: Eliminar contenido HTTP/S
■ Configuración de la acción Network Protect: Copiar archivo
■ Configuración de la acción Network Protect: Archivo en cuarentena
■ Configuración de Network Protect: acción Cifrar archivo
Configuración de la acción Agregar nota

La acción de regla de respuesta Agregar nota permite a un contestador de incidentes
escribir una nota sobre un incidente determinado. Por ejemplo, si ocurre una
infracción de políticas, el sistema presenta al contestador de incidentes un diálogo
Nota en el que el contestador puede efectuar notas.
La acción de regla de respuesta Agregar la acción está disponible para todo tipo
de servidores de detección.
Ver "Acciones de la regla de respuesta para todos los servidores de detección"
en la página 1406.
Para configurar la acción Agregar nota
respuesta.
2 Agregue el tipo de acción Todos: Agregar nota de la lista Acciones.
El sistema muestra un campo Nota. Por lo general, se deja el campo en blanco
y se permite a las personas encargadas de las reparaciones agregar
comentarios cuando evalúan los incidentes. Sin embargo, también puede
agregar comentarios a este nivel de configuración.
Configuración de la acción Limitar retención de datos de incidentes
Configuración de la acción Limitar retención de datos

de incidentes
La acción de regla de respuesta Limitar retención de datos de incidentes permite
modificar el comportamiento predeterminado de retención de datos del incidente
del servidor de detección.
Esta regla de respuesta está disponible para todo tipo de servidores de detección.
en la página 1406.
Para configurar la retención de datos del incidente
respuesta.
2 Agregue el tipo de acción Todos: Limitar retención de datos de incidentes
de la lista Acciones.
3 Elija conservar los datos del incidente de endpoint al seleccionar esta opción.
De forma predeterminada, el agente desecha el mensaje original y cualquier
archivo adjunto de incidentes de endpoint.
Ver "Retención de datos para incidentes de endpoint" en la página 1452.
4 Elija desechar los datos del incidente de red al seleccionar esta opción.
De forma predeterminada, el sistema conserva el mensaje original y cualquier
archivo adjunto de incidentes de red.
Ver "Desecho de datos para incidentes de red" en la página 1453.
5 Haga clic en Guardar para guardar la configuración de la regla de respuesta.
Retención de datos para incidentes de endpoint

De forma predeterminada, el sistema descarta mensajes originales (incluidos los
archivos y los archivos adjuntos) para incidentes de endpoint. Es posible
implementar la acción de regla de respuesta Limitar retención de datos de incidentes
Configuración de la acción Limitar retención de datos de incidentes
para anular este comportamiento predeterminado y para conservar los archivos

adjuntos de correo electrónico originales para los incidentes de endpoint.
Nota: Limitar retención de datos de incidentes no se aplica a los incidentes de

impresión de endpoints o portapapeles.

en la página 1452.
Tabla 42-1 Retención de datos para incidentes de endpoint
Todos los incidentes de endpoint Seleccione esta opción para retener los archivos adjuntos originales para las
capturas de incidentes de Endpoint Prevent y los incidentes de Endpoint Discover
(incluidos incidentes de Endpoint
mediante un destino de endpoint.
Discover)
Si combina una regla de detección de servidores (EDM/IDM/DGM) con una acción

de regla de respuesta de Limitar retención de datos de incidentes en el endpoint,
considere las implicaciones del ancho de banda de red. Cuando un agente endpoint
envía contenido a un servidor de endpoints para el análisis, envía el texto o los
datos binarios según los requisitos de detección. Si es posible, los Agentes
Symantec DLP envían texto para reducir el uso de ancho de banda. Cuando se
conservan mensajes originales para los incidentes de endpoints, en todos los
casos, el sistema necesita los agentes para enviar datos binarios al servidor de
endpoints. Como tal, asegúrese de que su red pueda manejar el tráfico creciente
entre los agentes endpoint y los servidores de endpoints sin afectar al rendimiento.
Considere el comportamiento del sistema para cualquier política que combine una
regla de detección de agentes (cualquier regla de DCM, como una regla de palabra
clave). Si implementa la acción de regla de respuesta de Limitar retención de datos
de incidentes, el ancho de banda de uso creciente depende de la cantidad de
incidentes con la que el motor de detección coincide. Para tales políticas, el agente
endpoint no envía todos los archivos originales al servidor de endpoints, sino
solamente los asociados a incidentes confirmados. Si no hay muchos incidentes,
el efecto es pequeño.
Desecho de datos para incidentes de red

Para los incidentes de red, de forma predeterminada, el servidor de detección
conserva el mensaje original y cualquier archivo adjunto que activen un incidente.
Configuración de la acción Iniciar sesión en un servidor Syslog
Es posible implementar la acción de regla de respuesta de Limitar retención de

datos de incidentes para anular el comportamiento predeterminado y para desechar
mensajes originales y algunos o todos los archivos adjuntos.
en la página 1452.
Nota: El comportamiento predeterminado de la retención de datos para los incidentes

de red se aplica a los incidentes de Network Prevent for Web y Network Prevent
for Email. El comportamiento predeterminado no aplica a incidentes de Network
Discover. Para los incidentes de Network Discover, el sistema proporciona un
vínculo en Instantánea de incidente que señala el archivo ofensivo en su ubicación
original. La retención de datos de incidentes para Network Discover no es
configurable.
Tabla 42-2 Desecho de datos de incidentes de red
Descartar mensaje Seleccione esta opción para descartar el mensaje original.

original
Use esta configuración para guardar el espacio libre en disco cuando usted está interesado
solamente en datos estadísticos.
Descartar archivo Seleccione Todos para descartar todos los archivos adjuntos del mensaje.
adjunto
Seleccione Archivos adjuntos sin infracciones para guardar solamente los archivos adjuntos
de mensaje relevantes, es decir, los que activan una infracción de políticas.
Nota: Debe seleccionar otra opción que no sea Ninguna para esta opción de acción. Si deja
seleccionado Ninguna y no selecciona la casilla junto a Descartar mensaje original, la acción
no tiene ningún efecto. Tal configuración duplica el comportamiento predeterminado de retención
de datos de incidentes de servidores de red.
Configuración de la acción Iniciar sesión en un

servidor Syslog
La acción de regla de respuesta Iniciar sesión en un servidor Syslog registra el
incidente en un servidor Syslog. Estos registros pueden ser útiles si usa un sistema
de administración de eventos e información de seguridad (SIEM).
Esta acción de regla de respuesta está disponible para todo tipo de servidores de
detección.
Configuración de la acción Iniciar sesión en un servidor Syslog

en la página 1406.
Nota: Se usa esta regla de respuesta conjuntamente con un servidor Syslog. Ver
"Cómo habilitar un servidor Syslog" en la página 190.
Para configurar la acción de regla de respuesta Iniciar sesión en un servidor Syslog

respuesta.
2 Agregue el tipo de la acción Iniciar sesión en un servidor Syslog de la lista
Acciones.
3 Escriba el nombre de Host del servidor Syslog.
4 Edite el Puerto para el servidor Syslog, si es necesario.
El puerto predeterminado es 514.
5 Escriba el texto del Mensaje para iniciar sesión en el servidor Syslog.
Es posible incluir las variables de acción de la respuesta en sus mensajes del
servidor de Syslog.
Ver "Variables de acción de respuesta" en la página 1522.
6 Seleccione el Nivel para aplicarlo al mensaje de registro desde la lista

desplegable.
Las siguientes opciones están disponibles:
■ 0 - Aviso muy importante del kernel
■ 1 - Necesita atención inmediata
■ 2 - Condición crítica
■ 3 - Error
■ 4 - Advertencia
■ 5 - Puede necesitar atención
■ 6 - Informativo
Configuración de la acción Enviar notificación por correo electrónico
■ 7 - Depuración
7 Guardar la regla de respuesta.

Configuración de la acción Enviar notificación por

correo electrónico
La acción Enviar notificación por correo electrónico le permite redactar un correo
electrónico y enviarlo a los destinatarios que se especifican.
Esta acción de regla de respuesta está disponible para todo tipo de servidores de
detección.
en la página 1406.
Es necesario integrar Enforce Server con un servidor de correo electrónico SMTP
para implementar esta acción de regla de respuesta.
en la página 192.
Para configurar la acción de regla de respuesta Enviar notificación por correo
electrónico
respuesta.
2 Agregue el tipo de acción Todos: Enviar notificación por correo electrónico
3 Configure los destinatarios, el remitente, el formato, la inclusión de incidentes
y los mensajes por día.
Configuración de la acción Enviar notificación por correo electrónico
4 Configure el Contenido de notificación de la notificación por correo

electrónico: idioma, asunto, cuerpo.
Tabla 42-3 Información del remitente y del destinatario
Para: Remitente Seleccione esta opción para enviar la notificación por correo electrónico al remitente del correo
electrónico. Este destinatario solo se aplica a las infracciones de mensaje de correo electrónico.
Para: Propietario de Seleccione esta opción para enviar la notificación por correo electrónico al propietario de datos
datos que el sistema identifica por dirección de correo electrónico en el incidente.
Ver "Instantánea de incidente de Discover" en la página 1564.
Para: Otra dirección Esta opción permite incluir cualquier atributo personalizado designado como direcciones de
de correo correo electrónico (como “administrador@correoelectrónico”). Por ejemplo, si define un atributo
electrónico personalizado que es una dirección de correo electrónico, o recupera una por medio de un
complemento de búsqueda, la dirección aparecerá en el campo "Para" para su selección, a la
derecha de "Para: Remitente" y "Para: Propietario de datos".
Ver "Cómo configurar atributos personalizados" en la página 1664.
Personalizar para Escriba una o más direcciones de correo electrónico específicas separadas por comas.
CC Escriba una o más direcciones de correo electrónico específicas separadas por comas de las
personas que desea copiar en la notificación.
Personalizar de Permite especificar el remitente del mensaje.
Si este campo está en blanco, el mensaje parece provenir de la dirección de correo electrónico
del sistema.
Formato de Seleccione formato HTML o sin formato.

notificación
Incluir mensaje Seleccione esta opción para incluir el mensaje que generó el incidente con el correo electrónico
original de notificación.
Máx. por día Especifique un número para restringir el número máximo de notificaciones que el sistema envía
por día.
Cómo configurar la acción de Server FlexResponse
Tabla 42-4 Contenido de notificación
Idioma Seleccione el idioma para el mensaje del menú desplegable.
Agregar idioma Haga clic en el icono para agregar varios idiomas al mensaje.
Ver "Acerca de las reglas de respuesta de Endpoint Prevent en diversas configuraciones

regionales" en la página 2051.
Asunto Especifique un asunto para el mensaje que indique el tema de su contenido.
Cuerpo Especifique el cuerpo del mensaje.
Insertar variables Puede agregar una o más variables al asunto o al cuerpo del mensaje de correo electrónico al
seleccionar los valores deseados de la lista Insertar variables.
Las variables se pueden usar para incluir el nombre de archivo, el nombre de política, los
destinatarios y el remitente en el asunto y el cuerpo del mensaje de correo electrónico. Por
ejemplo, para incluir la política y las reglas infringidas, se insertarían las siguientes variables.
Un mensaje ha infringido las siguientes reglas en $POLICY$: $RULES$
Cómo configurar la acción de Server FlexResponse

La acción Todos: Server FlexResponse permite reparar cualquier tipo de incidente
con un complemento de Server FlexResponse personalizado. Puede configurar la
acción de respuesta de Server FlexResponse con reglas de respuesta inteligentes
o reglas de respuesta automáticas.
La acción Todos: La acción de Server FlexResponse está disponible solamente
si cuenta con la licencia de Network Protect e implementó uno o más complementos
de Server FlexResponse en Symantec Data Loss Prevention.
Ver "Implementación de un complemento de Server FlexResponse" en la página 1844.
Para configurar una acción de Server FlexResponse
2 Cree una nueva regla de respuesta para cada complemento de Server
FlexResponse personalizado.
Haga clic en Administrar > Políticas > Reglas de respuesta.
3 Haga clic en Agregar regla de respuesta.
Configuración de la acción Establecer atributos
4 Seleccione Respuesta automática o Respuesta inteligente. Haga clic en

Siguiente.
5 Escriba un nombre para la regla en el campo Nombre de la regla. (En las
reglas de respuesta inteligente, este nombre aparece como la etiqueta del
botón que los contestadores de incidentes seleccionan durante el proceso de
reparación).
6 Especifique una descripción opcional para la regla en el campo Descripción.
7 En el menú Acciones (ejecutadas en el orden que se muestra), seleccione
la acción Todos: Server FlexResponse.
8 Haga clic en Agregar acción.
9 En el menú Complemento FlexResponse, seleccione un complemento
implementado de Server FlexResponse para ejecutar con esta acción de regla
de respuesta.
El nombre que se muestra en este menú desplegable es el valor especificado
en la propiedad display-name del archivo de propiedades de configuración
o de la clase de metadatos del complemento.
en la página 1844.
Nota: Si ha instalado la licencia de ICE de Network Protect y ha configurado

Enforce Server para conectarse a la nube de Symantec ICE, puede usar la
acción de regla de respuesta SharePoint Encrypt que está disponible mediante
un complemento de Server FlexResponse para el cifrado que se instala
automáticamente con Symantec Data Loss Prevention. No se requiere ninguna
configuración o personalización adicional para el complemento de cifrado.

11 Repita este procedimiento agregando una regla de respuesta para cualquier
complemento adicional de Server FlexResponse que haya implementado.
Configuración de la acción Establecer atributos

La acción de regla de respuesta Establecer atributos configura el estado del
incidente con el valor especificado.
Esta acción de regla de respuesta está disponible para todos los servidores de
detección.
Configuración de la acción Definir estado

en la página 1406.
La acción Establecer atributo se basa en atributos personalizados que se definen
en la pantalla Sistema > Datos de incidentes > Atributos.
Ver "Acerca de los atributos personalizados" en la página 1661.
Para configurar la acción Establecer atributo
respuesta.
2 Agregue el tipo de acción Todos: Establecer atributo de la lista Acciones.
3 Seleccione Atributo de la lista desplegable (si se define más de un atributo
personalizado).
4 Especifique un Valor de estado del incidente para el atributo personalizado
seleccionado.
Configuración de la acción Definir estado

La acción de regla de respuesta Definir estado configura el estado del incidente
con el valor especificado.
Esta regla de respuesta está disponible para todos los servidores de detección.
en la página 1406.
Esta acción de regla de respuesta se basa en el incidente Valores de estado que
se configura en la pantalla Sistema > Datos de incidentes > Atributos.
Ver "Acerca de atributos del estado del incidente" en la página 1653.
Configuración de la acción de respuesta Clasificar contenido de Enterprise Vault
Para configurar la acción de regla de respuesta de Definir estado

respuesta.
2 Agregue el tipo de acción Todos: Definir estado de la lista Acciones.
3 Ver "Configuración de acciones de regla de respuesta" en la página 1434.
4 Seleccione Estado para asignar al incidente de la lista.
Los siguientes son algunos estados del incidente de muestra que puede
configurar y seleccionar:
■ Nuevo
■ Elevado
■ Investigación
■ Resuelto
■ Rechazado

Configuración de la acción de respuesta Clasificar

contenido de Enterprise Vault
La regla de respuesta Clasificación: Clasificar contenido de Enterprise Vault define
las etiquetas del resultado de la clasificación que el servidor de clasificación genera
para un mensaje de Exchange que coincide con una política de detección. El
servidor de clasificación entrega la categoría de retención y la etiqueta de
clasificación al filtro de clasificación de datos para Enterprise Vault que publicó el
mensaje de Exchange para la detección. La etiqueta de clasificación corresponde
siempre al nombre de la política que activa la acción de la regla de respuesta.
Symantec Enterprise Vault para Microsoft Exchange puede entonces usar la
categoría de retención y la etiqueta de clasificación para realizar archivado, borrar
mensajes o marcar el mensaje para la revisión de cumplimiento o las búsquedas
de detección electrónica.
Para configurar la acción de la regla de respuesta Clasificar contenido de Enterprise

Vault
1 Configure una regla de respuesta en la pantalla Configurar regla de respuesta
( Administrar > Reglas de respuesta ).
2 Agregue el tipo de acción Clasificación: Clasificar contenido de Enterprise
Vault de la lista Acciones.
3 Configure los parámetros para clasificar el mensaje de Enterprise Vault.
Tabla 42-5 Parámetros de Clasificación: Clasificar contenido de Enterprise

Vault
Archivar y Seleccione esta opción para indicar que Symantec Enterprise Vault debe
clasificar archivar el mensaje que coincidió con la regla de detección. Si selecciona
mensaje esta opción, además use el menú Asignar categoría de retención para
especificar la categoría de retención que asigna Enterprise Vault.
Asignar El menú Asignar categoría de retención enumera todas las categorías de

categoría de retención que se han configurado para su uso con la clasificación de datos
retención para la solución Enterprise Vault. Si configura la regla de respuesta para
archivar un mensaje, además selecciona la categoría de retención apropiada
de este menú.
Debe configurar los nombres de categoría de retención en este menú para

que coincida con esas categorías que están disponibles en los servidores
Enterprise Vault.
Ver "Configuración de categorías de retención que están disponibles para

la clasificación" en la página 1464.
Si selecciona No reemplazar categoría de retención, el servidor de

clasificación comunica a Enterprise Vault que no hay categoría de retención
asignada. Enterprise Vault usa la categoría de retención que ya está ya
disponible con el mensaje y la aplica durante el proceso de archivado.
Cuando configura una regla de respuesta, si no selecciona el tipo de la

clasificación de regla de respuesta, Enterprise Vault no puede recibir ninguna
respuesta de los servicios de clasificación de datos de Symantec Enterprise
Vault. Enterprise Vault aplica la categoría de retención que ya está disponible
en el mensaje. Si la política asociada se ejecutaba en modo de prueba, se
crea el incidente, pero Enterprise Vault no recibe ninguna respuesta del
servidor de clasificación. Ni siquiera se actualizan los registros del modo
prueba en Enterprise Vault.
Revisión de Si configura la regla de respuesta para archivar el mensaje, puede también

cumplimiento seleccionar Dar prioridad a los mensajes para la comprobación del
cumplimiento para dar prioridad al mensaje para la revisión. Los productos
Discovery AcceleratorCompliance Accelerator pueden usar etiquetas de
clasificación para filtrar mensajes durante búsquedas o auditorías.
Cuando selecciona esta opción, se presentan dos opciones adicionales:
■ Incluir en la revisión : incluye el mensaje en auditorías y búsquedas

subsiguientes.
■ Excluir de la revisión : excluye el mensaje de auditorías y búsquedas
subsiguientes.
Consulte la documentación sobre Discovery Accelerator y Compliance

Accelerator para obtener más información sobre la búsqueda y la auditoría
de mensajes en Enterprise Vault.
No archivar el Elija esta opción para indicar que Symantec Enterprise Vault no debe archivar
mensaje el mensaje que coincidió con la regla de detección.
Cuando se selecciona esta opción, se presentan las siguientes opciones
para especificar la manera en la cual Enterprise Vault debe desechar el
mensaje:
■ Eliminar el mensaje de forma inmediata y permanente : Enterprise

Vault debe eliminar el mensaje de forma inmediata.
■ Mover el mensaje a la carpeta de elementos eliminados : Enterprise
Vault debe mover el mensaje a la carpeta de elementos eliminados. El
mensaje se puede eliminar en otro momento cuando se vacía la carpeta.
■ Dejar el mensaje en el buzón : Enterprise Vault debe dejar el mensaje
en el buzón y marcarlo con “No archivar el mensaje”.
Si selecciona esta opción, pero más tarde decide borrar la propiedad
“No archivar” en los mensajes, puede hacerlo al configurar los valores
de registro Borrar No archivar y Borrar No registrar en el servidor
Enterprise Vault. Consulte el manual de Valores de registro de Enterprise
Vault para obtener instrucciones. Estos valores permiten que las tareas
de buzón de Exchange y diario de Exchange archiven mensajes.
Nota: Cuando supervisa un buzón de diario, puede ver mensajes marcados

como "No archivar" en la bandeja de entrada del diario y en la carpeta de
elementos eliminados. Los mensajes que se marcan como "No archivar" no
se reubican de forma automática. Es posible transferir manualmente los
mensajes a la carpeta de elementos eliminados.

Configuración de categorías de retención que están disponibles para

la clasificación
La regla de respuesta Clasificación: Clasificar contenido de Enterprise Vault
define las etiquetas del resultado de la clasificación que un servidor de clasificación
genera para un mensaje de Exchange que coincide con una política de la detección.
Si configura esta regla de respuesta para realizar la acción Archivar y clasificar
mensaje, también puede especificar la categoría de retención que Enterprise Vault
debe aplicar al mensaje archivado. La lista de categorías de retención disponibles
que se muestra en la consola de administración de Enforce Server se define con
un archivo de configuración, RetentionCategories.config.
Ver "Configuración de la acción de respuesta Clasificar contenido de Enterprise
Vault" en la página 1461.
Cuando instala por primera vez la solución de servicios de clasificación de datos,

es necesario crear un archivo RetentionCategories.config que incluya las
categorías de retención que están disponibles en los servidores de Enterprise Vault.
Si posteriormente cambia las categorías de retención que están disponibles en
una implementación de Enterprise Vault, además puede cambiar manualmente las
categorías disponibles que se definen en RetentionCategories.config.
Nota: El archivo RetentionCategories.config admite codificación de caracteres

UTF-8 sin marcadores de orden de bytes (BOM).
Para configurar las categorías de retención que están disponibles para la

clasificación
1 En cada servidor Enterprise Vault, ejecute la utilidad de línea de comandos
ExportRetentionCategories.exe que está instalada en la carpeta del
programa Enterprise Vault. (Para mostrar instrucciones de uso, ejecute la
utilidad sin proporcionar ninguna opción de línea de comandos). Es necesario
abrir la utilidad de la línea de comandos de un usuario con privilegios de
administrador
2 Siga las instrucciones en pantalla para generar un archivo que enumere las
categorías de retención disponibles en el servidor Enterprise Vault. Las
categorías de retención siguientes se excluyen siempre del archivo:
■ Las categorías de retención para las carpetas administradas.
■ Para implementaciones en inglés, ninguna categoría de retención con el
nombre <No reemplazar categoría de retención> se aplica a una nueva
categoría de retención. En su lugar, una categoría de retención que está
ya disponible para el mensaje se aplica durante el proceso de archivado.
Recuerde que las categorías de retención ocultas están incluidas en el archivo
resultante.
3 Repita los pasos 1 y 2 para cada servidor de Enterprise Vault en la
implementación.
4 Si generó varios archivos para servidores Enterprise Vault, use un editor de
texto para combinar los contenidos de cada archivo en un único archivo.
5 Cambie el nombre del archivo que contiene todas las categorías de retención
a RetentionCategories.config.
6 Inicie sesión en el equipo Enforce Server con privilegios de administrador o
de superusuario.
Configurar la acción Almacenamiento en la nube: Agregar etiqueta visual
7 Copie el archivo RetentionCategories.config que creó en el subdirectorio

config del directorio de instalación del producto Symantec Data Loss
Prevention. El directorio predeterminado es c:\SymantecDLP\Protect\config.
8 Reinicie Enforce Server para aplicar los cambios.
obtener información sobre cómo iniciar y detener los servicios de Symantec
Configurar la acción Almacenamiento en la nube:

Agregar etiqueta visual
La acción de la regla Agregar etiqueta visual permite a un contestador de incidentes
aplicar las etiquetas visuales como los metadatos en el contenido confidencial
almacenado en su destino de almacenamiento en la nube de Box. La etiqueta
visual ayuda a sus usuarios de almacenamiento en la nube de Box a buscar y
reparar automáticamente los datos confidenciales. Por ejemplo, puede ser
recomendable que la etiqueta especifique "Este contenido se considera
confidencial". Es posible también recordar las funciones de seguridad adicionales
de Box, tales como agregar la protección mediante contraseña a cualquier vínculo
de descarga.
Para configurar la acción Almacenamiento en la nube: Agregar etiqueta visual
respuesta.
2 Agregue el tipo de la acción Almacenamiento en la nube: Agregar etiqueta
visual de la lista de Acciones.
El sistema muestra el campo Agregar etiqueta visual. Escriba el texto que
desea mostrar en la etiqueta para sus usuarios.
Configuración de la acción de almacenamiento en la nube: cuarentena
Configuración de la acción de almacenamiento en la

nube: cuarentena
La acción de la regla de respuesta Almacenamiento en la nube: cuarentena
pone en cuarentena el contenido que el servidor de detección identifica como
confidencial o protegido.
Para configurar la acción Almacenamiento en la nube: cuarentena
respuesta.
2 Agregue el tipo de acción Almacenamiento en la nube: cuarentena de la
lista Acciones.
El sistema muestra el campo Almacenamiento en la nube: cuarentena.
3 Configure los parámetros de Almacenamiento en la nube: cuarentena.
Tabla 42-6 Parámetros de configuración de Almacenamiento en la nube: archivo

en cuarentena
Archivo Seleccione Dejar archivo marcador en el lugar del archivo reparado para crear un archivo de texto
marcador marcador para reemplazar el archivo original. Esta acción notifica al usuario lo que le sucedió al archivo
en lugar de poner en cuarentena o eliminar el archivo sin ninguna explicación.
Nota: El archivo marcador es del mismo tipo y tiene el mismo nombre que el archivo original, siempre
que sea un archivo de texto. Un ejemplo de este tipo de archivo es Microsoft Word. Si el archivo original
es un PDF o un archivo de imagen, el sistema crea un archivo marcador sin formato. El sistema otorga
al archivo el mismo nombre que el archivo original con la extensión .txt añadida al final del archivo. Por
ejemplo, si el nombre del archivo original es cuentas.pdf, el nombre del archivo marcador cuentas.pdf.txt.
Configuración de la acción de respuesta inteligente Poner en cuarentena
Texto Especifique el texto que aparecerá en el archivo marcador. Si seleccionó la opción de dejar el archivo
marcador marcador en lugar del archivo reparado, se pueden usar variables en el texto marcador.
Para especificar el texto marcador, seleccione la variable de la lista Insertar variable.
Por ejemplo, para Texto marcador, es posible que tenga que escribir:
Un mensaje ha infringido las siguientes reglas en $POLICY$: $RULES
O bien, puede especificar:
$FILE_NAME$ se ha movido a $QUARANTINE_PARENT_PATH$
Agregar Seleccione esta opción para agregar una etiqueta visual al archivo marcador. La etiqueta visual ayuda
etiqueta a los usuarios del almacenamiento en la nube de Box a buscar archivos marcadores para los datos
visual al confidenciales en cuarentena.
archivo de
marcador
Etiquetas Escriba el texto de la etiqueta visual en este campo.
Configuración de la acción de respuesta inteligente

Poner en cuarentena
La acción de respuesta inteligente Poner en cuarentena pone en cuarentena los
archivos en las aplicaciones de nube Salesforce, Box y OneDrive a través del
conector del servicio de nube. Esta ruta de cuarentena está relacionada con la
carpeta raíz del usuario.
Para configurar la acción de respuesta inteligente Poner en cuarentena
1 Configure una regla de respuesta inteligente en la pantalla Configurar regla
de respuesta.
2 Agregue el tipo de acción Poner en cuarentena desde la lista Acciones.
El sistema muestra el campo Poner en cuarentena.
Configuración de la acción de respuesta inteligente Restaurar archivo
3 Configure los parámetros de Poner en cuarentena.

Tabla 42-7 Parámetros de configuración de Poner en cuarentena (respuesta

inteligente)
Ruta de Escriba la ruta de acceso para la ubicación de cuarentena. Esta ruta de acceso está relacionada con
archivo la carpeta raíz del usuario.
Usar Seleccione Usar archivo marcador para crear un archivo de texto marcador para reemplazar el archivo
archivo original. Esta acción notifica al usuario lo que le sucedió al archivo en lugar de poner en cuarentena o
marcador eliminar el archivo sin ninguna explicación.
Configuración de la acción de respuesta inteligente

Restaurar archivo
La acción de respuesta inteligente Restaurar archivo restaura un archivo en
cuarentena en las aplicaciones de nube Salesforce, Box y OneDrive a través del
conector del servicio de nube.
Para configurar la acción de respuesta inteligente Restaurar archivo
1 Configure una regla de respuesta inteligente en la pantalla Configurar regla
de respuesta.
2 Agregue el tipo de acción Restaurar archivo de la lista Acciones.
El sistema muestra el campo Restaurar archivo.
4 Ver "Administración de reglas de respuesta" en la página 1429.
Configuración de la acción Romper vínculos de datos en reposo
Configuración de la acción Romper vínculos de datos

en reposo
La acción Romper vínculos de datos en reposo rompe los vínculos a datos
confidenciales en las siguientes aplicaciones de nube a través del conector del
servicio en la nube:
■ Salesforce
■ Box
■ Dropbox
■ OneDrive
■ SharePoint
■ Google Drive
Es posible configurar una carga útil personalizada con detalles adicionales sobre
esta recomendación. La carga útil personalizada aparece en el parámetro
customResponsePayload de la respuesta de la detección.
Para configurar la acción Romper vínculos de datos en reposo

respuesta.
2 Agregue el tipo de acción Romper vínculos de datos en reposo de la lista
Acciones.
El sistema muestra el campo Romper vínculos de datos en reposo.
3 Configure el parámetro Romper vínculos de datos en reposo.
Tabla 42-8 Parámetro de configuración de Romper vínculos de datos en reposo
Carga útil Escriba los detalles sobre la acción Romper vínculos de datos en reposo en el campo de la carga
personalizada útil personalizada. Estos detalles se devuelven en el parámetro customResponsePayload del
Configuración de Acción personalizada sobre datos en reposo
Configuración de Acción personalizada sobre datos

en reposo
Acción personalizada sobre datos en reposo devuelve una recomendación de
realizar cierta acción personalizada en los datos confidenciales con el resultado
de la detección.
Para configurar Acción personalizada sobre datos en reposo

respuesta.
2 Agregue el tipo Acción personalizada sobre datos en reposo de la lista
Acciones.
El sistema muestra el campo Acción personalizada sobre datos en reposo.
3 Configure el parámetro Acción personalizada sobre datos en reposo.
Tabla 42-9 Parámetro de configuración de Acción personalizada sobre datos

en reposo
Carga útil Escriba los detalles sobre Acción personalizada sobre datos en reposo en el campo de la carga

Configuración de la acción Eliminar datos en reposo
Configuración de la acción Eliminar datos en reposo

La acción Eliminar datos en reposo elimina los datos confidenciales en la
aplicación de nube Dropbox a través del conector del servicio en la nube.
Para configurar la acción Eliminar datos en reposo
respuesta.
2 Agregue el tipo de acción Eliminar datos en reposo desde la lista Acciones.
El sistema muestra el campo Eliminar datos en reposo.
Configuración de la acción Cifrar datos en reposo

La acción Cifrar datos en reposo cifra los datos confidenciales en la aplicación
OneDrive a través del conector del servicio en la nube.
Para configurar la acción Cifrar datos en reposo

respuesta.
2 Agregue el tipo de acción Cifrar datos en reposo desde la lista Acciones.
El sistema muestra el campo Cifrar datos en reposo.
3 Configure el parámetro .
Configuración de la acción Ejecutar DRM sobre datos en reposo
Tabla 42-10 Parámetro de configuración de Cifrar datos en reposo
Carga útil Escriba los detalles sobre la acción Cifrar datos en reposo en el campo de la carga útil personalizada.
personalizada Estos detalles se devuelven en el parámetro customResponsePayload del resultado de la detección.
Configuración de la acción Ejecutar DRM sobre datos

en reposo
La acción Ejecutar DRM sobre datos en reposo aplica administración de derechos
digitales (DRM) a los datos confidenciales en las aplicaciones de nube a través del
conector del servicio en la nube.
Para configurar la acción Ejecutar DRM sobre datos en reposo

respuesta.
2 Agregue el tipo de acción Ejecutar DRM sobre datos en reposo de la lista
Acciones.
El sistema muestra el campo .
3 Configure el parámetro Ejecutar DRM sobre datos en reposo.
Tabla 42-11 Parámetro de configuración de Ejecutar DRM sobre datos en reposo
Carga útil Escriba los detalles sobre la acción Ejecutar DRM sobre datos en reposo en el campo de la carga
Configuración de la acción Poner en cuarentena datos en reposo
Configuración de la acción Poner en cuarentena datos

en reposo
La acción Poner en cuarentena datos en reposo pone en cuarentena los datos
confidenciales en las aplicaciones de nube de Salesforce, Box y OneDrive a través
del conector del servicio en la nube.
Para configurar la acción Poner en cuarentena datos en reposo
respuesta.
2 Agregue el tipo de acción Poner en cuarentena datos en reposo desde la
lista Acciones.
El sistema muestra el campo Poner en cuarentena datos en reposo.
3 Configure el parámetro Poner en cuarentena datos en reposo.
Tabla 42-12 Parámetro de configuración de Poner en cuarentena datos en reposo
Ruta de Escriba la ruta de acceso para la ubicación de cuarentena. Esta ruta de acceso está relacionada con
archivo la carpeta raíz del usuario.
Usar Seleccione Usar archivo marcador para crear un archivo de texto marcador para reemplazar el archivo
archivo original. Esta acción notifica al usuario lo que le sucedió al archivo en lugar de poner en cuarentena o
marcador eliminar el archivo sin ninguna explicación.
Configuración de la acción Etiquetar datos en reposo

La acción Etiquetar datos en reposo etiqueta los datos confidenciales en
aplicaciones de nube a través del conector del servicio en la nube.
Configuración de la acción Evitar descarga, copia e impresión
Para configurar la acción Etiquetar datos en reposo

respuesta.
2 Agregue el tipo de acción Etiquetar datos en reposo desde la lista Acciones.
El sistema muestra el campo Etiquetar datos en reposo.
3 Configure el parámetro Etiquetar datos en reposo.
Tabla 42-13 Parámetro de configuración de Etiquetar datos en reposo
Carga útil Escriba los detalles sobre la acción Etiquetar datos en reposo en el campo de la carga útil
personalizada personalizada. Estos detalles se devuelven en el parámetro customResponsePayload del resultado
de la detección.
Configuración de la acción Evitar descarga, copia e

impresión
La acción Evitar descarga, copia e impresión evita que archivos con datos
confidenciales se descarguen, se copien o se impriman desde la aplicación de
nube Google Drive a través del conector de servicio de nube.
Configuración de la acción Eliminar acceso de colaborador
Para configurar la acción Evitar descarga, copia e impresión

respuesta.
2 Añada el tipo de acción Evitar descarga, copia e impresión de la lista
Acciones.
Configuración de la acción Eliminar acceso de

colaborador
La acción Eliminar acceso de colaborador elimina el acceso de colaboradores
a los archivos de datos confidenciales en las siguientes aplicaciones de nube a
través del conector del servicio de nube:
■ Salesforce
■ Box
■ Dropbox
■ OneDrive
■ SharePoint
■ Google Drive
Para configurar la acción Eliminar acceso de colaborador
respuesta.
2 Añada el tipo de la acción Eliminar acceso de colaborador de la lista
Acciones.
Configuración de la acción Configurar acceso de colaborador en Edición
Configuración de la acción Configurar acceso de

colaborador en Edición
La acción Configurar acceso de colaborador en Edición garantiza a los
colaboradores el acceso de edición a archivos de datos confidenciales en las
siguientes aplicaciones de nube a través del conector del servicio de nube:
■ Salesforce
■ Box
■ Dropbox
■ OneDrive
■ SharePoint
■ Google Drive
Para configurar la acción Configurar acceso de colaborador en Edición
respuesta.
2 Añada el tipo de la acción Configurar acceso de colaborador en Edición

colaborador en Vista previa
La acción Configurar acceso de colaborador en Vista previa garantiza a los
colaboradores el acceso de vista previa a archivos con datos confidenciales en la
aplicación de nube Box a través del conector del servicio de nube.
Configuración de la acción Configurar acceso de colaborador en Lectura
Para configurar la acción Configurar acceso de colaborador en Vista previa

respuesta.
2 Añada el tipo de la acción Configurar acceso de colaborador en Vista previa

colaborador en Lectura
La acción Configurar acceso de colaborador en Lectura garantiza a los
colaboradores el acceso de edición a archivos de datos confidenciales en las
siguientes aplicaciones de nube a través del conector del servicio de nube:
■ Salesforce
■ Box
■ Dropbox
■ OneDrive
■ SharePoint
■ Google Drive
Para configurar la acción Configurar acceso de colaborador en Lectura
respuesta.
2 Añada el tipo de la acción Configurar acceso de colaborador en Lectura
Configuración de la acción Configurar acceso de archivo en Todo leído

archivo en Todo leído
La acción Configurar acceso de archivo en Todo leído garantiza el acceso de
lectura pública a archivos con datos confidenciales en las aplicaciones de nube
OneDrive, SharePoint y Google Drive a través del conector del servicio de nube.
Para configurar la acción Configurar acceso de archivo en Todo leído
respuesta.
2 Añada el tipo de la acción Configurar acceso de archivo en Todo leído de
la lista Acciones.
Configuración de la acción Configurar acceso a

archivo en Edición interna
La acción Configurar acceso a archivo en Edición interna garantiza el acceso
de edición a todos los miembros de su organización para los archivos confidenciales
en las siguientes aplicaciones de nube a través del conector del servicio de nube:
■ Salesforce
■ Box
■ OneDrive
■ SharePoint
■ Google Drive
Configuración de la acción Configurar acceso a archivo en Lectura interna
Para configurar la acción Configurar acceso a archivo en Edición interna

respuesta.
2 Añada el tipo de la acción Configurar acceso a archivo en Edición interna
Configuración de la acción Configurar acceso a

archivo en Lectura interna
La acción Configurar acceso a archivo en Lectura interna garantiza el acceso
de lectura a todos los miembros de su organización para los archivos con datos
confidenciales en las siguientes aplicaciones de nube a través del conector del
servicio de nube:
■ Salesforce
■ Box
■ OneDrive
■ SharePoint
■ Google Drive
Para configurar la acción Configurar acceso a archivo en Lectura interna
respuesta.
2 Añada el tipo de la acción Configurar acceso a archivo en Lectura interna
Configuración de la acción Agregar autenticación de dos factores
Configuración de la acción Agregar autenticación de

dos factores
La acción Agregar autenticación de dos factores añade autenticación de dos
factores a los archivos con datos confidenciales en las aplicaciones de nube a
través del conector del servicio de nube.
Para configurar la acción Agregar autenticación de dos factores
respuesta.
2 Añada el tipo de acción Agregar autenticación de dos factores desde la
lista Acciones.
Configuración de la acción Bloquear datos en

movimiento
La acción Bloquear datos en movimiento bloquea datos confidenciales en
Es posible configurar un mensaje para que a sus usuarios les informen por qué
los datos confidenciales fueron bloqueados. El mensaje aparece en el parámetro
message de la respuesta de la detección.
Para configurar la acción de la API de REST de datos en movimiento (DIM)

respuesta.
2 Agregue el tipo de acción Bloquear datos en movimiento de la lista Acciones.
El sistema muestra el campo Bloquear datos en movimiento.
Configuración de Acción personalizada sobre datos en movimiento
3 Configure el parámetro Bloquear datos en movimiento.

Tabla 42-14 Parámetro de configuración de Bloquear datos en movimiento
Mensaje Escriba un mensaje para el usuario para la acción Bloquear datos en movimiento en el campo
Mensaje. Estos detalles se devuelven en el parámetro message del resultado de la detección.
Configuración de Acción personalizada sobre datos

en movimiento
Acción personalizada sobre datos en movimiento devuelve una recomendación
de realizar cierta acción personalizada en los datos confidenciales con el resultado
de la detección.
Para configurar Acción personalizada sobre datos en movimiento

respuesta.
2 Agregue el tipo Acción personalizada sobre datos en movimiento de la
lista Acciones.
El sistema muestra el campo Acción personalizada sobre datos en
movimiento.
3 Configure el parámetro .
Configuración de la acción Cifrar datos en movimiento
Tabla 42-15 Parámetro de configuración de Acción personalizada sobre datos

en movimiento
Carga útil Escriba los detalles sobre Acción personalizada sobre datos en movimiento en el campo de la
personalizada carga útil personalizada. Estos detalles se devuelven en el parámetro customResponsePayload
del resultado de la detección.
Configuración de la acción Cifrar datos en movimiento

La acción Cifrar datos en movimiento cifra los datos confidenciales en la aplicación
de nube de Box a través del conector del servicio en la nube.
Para configurar la acción Cifrar datos en movimiento

respuesta.
2 Agregue el tipo de acción Cifrar datos en movimiento de la lista Acciones.
El sistema muestra el campo Cifrar datos en movimiento.
3 Configure el parámetro Cifrar datos en movimiento.
Tabla 42-16 Parámetro de configuración de Cifrar datos en movimiento
Carga útil Escriba los detalles sobre la acción Cifrar datos en movimiento en el campo de la carga útil
personalizada personalizada. Estos detalles se devuelven en el parámetro customResponsePayload del resultado
de la detección.

Configuración de la acción Ejecutar DRM sobre datos en movimiento
Configuración de la acción Ejecutar DRM sobre datos

en movimiento
La acción Ejecutar DRM sobre datos en movimiento aplica administración de
derechos digitales (DRM) a los datos confidenciales en aplicaciones de nube a
través del conector del servicio en la nube.
Para configurar la acción Ejecutar DRM sobre datos en movimiento

respuesta.
2 Agregue el tipo de acción Ejecutar DRM sobre datos en movimiento de la
lista Acciones.
El sistema muestra el campo Ejecutar DRM sobre datos en movimiento.
3 Configure el parámetro Ejecutar DRM sobre datos en movimiento.
Tabla 42-17 Parámetro de configuración de Ejecutar DRM sobre datos en

movimiento
Carga útil Escriba los detalles sobre la acción Ejecutar DRM sobre datos en movimiento en el campo de la

Configuración de la acción Poner en cuarentena datos en movimiento
Configuración de la acción Poner en cuarentena datos

en movimiento
La acción Poner en cuarentena datos en movimiento pone en cuarentena los
datos confidenciales en las aplicaciones de nube de Salesforce, Box y OneDrive
a través del conector del servicio en la nube.
Para configurar la acción Poner en cuarentena datos en movimiento

respuesta.
2 Agregue el tipo de acción Poner en cuarentena datos en movimiento desde
la lista Acciones.
El sistema muestra el campo Poner en cuarentena datos en movimiento.
3 Configure el parámetro Poner en cuarentena datos en movimiento.
Tabla 42-18 Parámetro de configuración de Poner en cuarentena datos en

movimiento
Carga útil Escriba los detalles sobre la acción Poner en cuarentena datos en movimiento en el campo de la

Configuración de la acción Ocultar datos en movimiento
Configuración de la acción Ocultar datos en

movimiento
La acción Ocultar datos en movimiento oculta los datos confidenciales en
Es posible configurar un mensaje para que a sus usuarios les informen por qué
los datos confidenciales fueron ocultados. El mensaje aparece en el parámetro
message de la respuesta de la detección.
Para configurar la acción Ocultar datos en movimiento

respuesta.
2 Agregue el tipo de acción Ocultar datos en movimiento desde la lista
Acciones.
El sistema muestra el campo Ocultar datos en movimiento.
3 Configure el parámetro Ocultar datos en movimiento.
Tabla 42-19 Parámetro de configuración de Ocultar datos en movimiento
Mensaje Escriba un mensaje para el usuario para la acción Ocultar datos en movimiento en el campo Mensaje.
Estos detalles se devuelven en el parámetro message del resultado de la detección.
Configurar la acción de Endpoint: FlexResponse

La acción de regla de respuesta de Endpoint: FlexResponse le permite implementar
una o más respuestas personalizadas que se han desarrollado usando el API de
FlexResponse.
Ver "Acerca de Endpoint FlexResponse" en la página 2246.
Esta regla de respuesta está disponible para Endpoint Discover.
Configurar la acción de Endpoint: FlexResponse
Nota: Esta función no está disponible para los agentes que se ejecutan en endpoints
de Mac.

en la página 1408.
Para configurar la acción de regla de respuesta de Endpoint: FlexResponse
respuesta.
2 Agregue el tipo de acción Endpoint: FlexResponse desde la lista Acciones.
3 Escriba el Nombre del complemento de FlexResponse y configure sus
Parámetros.
Tabla 42-20 Parámetros de acción de regla de respuesta de Endpoint:

FlexResponse
Complemento de Escriba el nombre de módulo del script con los paquetes separados por un punto (.)
Python de
FlexResponse
Parámetros de Haga clic en Agregar parámetro para agregar uno o más parámetros al script.
complemento
Escriba el par Clave/Valor para cada parámetro.
Credenciales Es posible agregar las credenciales para acceder al complemento.
Es posible agregar y almacenar credenciales en la pantalla Sistema > Configuración >

Credenciales .

Configurar la acción Endpoint Discover: Archivo en cuarentena
Configurar la acción Endpoint Discover: Archivo en

cuarentena
La acción de regla de respuesta Endpoint Discover: Archivo en cuarentena elimina
un archivo que contiene la información confidencial de una ubicación no segura y
lo pone en una ubicación segura.
Ver "Acerca de Endpoint Quarantine" en la página 2063.
Esta acción de regla de respuesta es específica para incidentes de Endpoint
Discover. Esta regla de respuesta no se aplica a métodos de detección de dos
niveles que necesitan un perfil de datos.
Ver "Configurar Endpoint Discover" en la página 2064.
Si usa varias reglas de respuesta de endpoint en una única política, asegúrese de
que se comprenda el orden de precedencia para tales reglas.
en la página 1420.
Nota: Esta función no está disponible para los agentes que se ejecutan en endpoints
de Mac.
Para configurar la acción de regla de respuesta Endpoint Discover: Archivo en

cuarentena
respuesta.
2 Agregue el tipo de acción Endpoint Discover: Archivo en cuarentena desde
la lista Acciones.
3 Escriba la Ruta de cuarentena y la configuración del Archivo marcador.
Configurar la acción Endpoint Discover: Archivo en cuarentena
Tabla 42-21 Parámetros de acción de regla de respuesta Endpoint Discover:

Archivo en cuarentena
Ruta de Escriba la ruta a la ubicación asegurada en donde es necesario que los archivos sean puestos. La
cuarentena ubicación segura puede estar en la unidad local del endpoint o puede estar en un recurso compartido
del archivo remoto. Las carpetas de EFS se pueden usar también como la ubicación de cuarentena.
Modo de Si su ubicación segura está en un recurso compartido del archivo remoto, deberá seleccionar cómo
acceso accederá el Agente Symantec DLP a ese archivo compartido.
Seleccione uno de los siguientes tipos de acceso a credenciales:
■ Acceso anónimo
■ Usar credenciales guardadas
En modo anónimo, el Agente Symantec DLP se ejecuta como usuario de LocalSystem para mover
el archivo confidencial. Es posible usar el modo anónimo para mover los archivos a una ubicación
segura en una unidad local o al recurso compartido remoto si permite el acceso anónimo.
Nota: Las carpetas de EFS no pueden aceptar usuarios anónimos.
Una credencial especificada permite al Agente Symantec DLP personificar al usuario especificado
para acceder a la ubicación segura. Las credenciales deben estar en el formato siguiente:
dominio\usuario
Es necesario escribir las credenciales especificadas para usar en la página de credenciales del
sistema.
Ver "Configuración de credenciales de endpoint" en la página 175.
Archivo Seleccione la casilla Poner el marcador en lugar del archivo reparado para crear un archivo
marcador marcador de posición que reemplace el archivo confidencial.
Texto Especifique el texto que aparecerá en el archivo marcador. Si seleccionó la opción de dejar el
marcador archivo marcador en lugar del archivo reparado, se pueden usar variables en el texto marcador.

en la página 1408.
Configuración de la acción Endpoint Prevent: Bloquear

La acción de regla de respuesta Endpoint Prevent: Bloquear bloquea el movimiento
de datos confidenciales en el endpoint y se muestra opcionalmente una notificación
en pantalla al usuario de endpoint.
Esta acción de regla de respuesta es específica para incidentes de Endpoint
Prevent. Esta regla de respuesta no se aplica a métodos de detección de dos
niveles que necesitan un Perfil de datos.
Ver "Configurar Endpoint Discover" en la página 2064.
Si combina varias reglas de respuesta de endpoint en una única política, asegúrese
de comprender el orden de precedencia de dichas reglas.
en la página 1420.
Nota: La acción de bloqueo no se activa para una copia de datos confidenciales a

una unidad local.
Para configurar la acción de regla de respuesta Endpoint Prevent: Bloquear

respuesta.
2 Agregue el tipo de acción Endpoint Prevent: Bloquear de la lista Acciones.
3 Ver "Configuración de acciones de regla de respuesta" en la página 1434.
4 Especifique la configuración de Contenido de notificación de endpoint.
Tabla 42-22 Parámetros de la acción de regla de respuesta Endpoint Prevent:

Bloquear
Parámetro Configuración
Idioma Seleccione el idioma en el que desea que se ejecute la regla de respuesta. Haga clic en Agregar
idioma para agregar más de un idioma.
Ver "Acerca de las reglas de respuesta de Endpoint Prevent en diversas configuraciones regionales"
en la página 2051.
Ver "Configuración de las reglas de respuesta de Endpoint Prevent para diversas configuraciones
Visualizar Este campo es opcional para acciones de bloqueo de endpoint. Seleccione una acción de bloqueo
cuadro de de endpoint para mostrar una notificación en pantalla al usuario de endpoint cuando el sistema
alerta con este bloquea un intento de copia de datos confidenciales.
mensaje
Escriba el mensaje de notificación en el cuadro de texto. Es posible agregar variables al mensaje
al seleccionar los valores apropiados del cuadro Insertar variable.
Opcionalmente, puede configurar la notificación en pantalla para incluir justificaciones de usuario,

así como una opción para que los usuarios especifiquen su propia justificación.
Es posible también agregar hipervínculos para referir a los usuarios a las direcciones URL que
contienen información de seguridad de la compañía. Para agregar hipervínculos se utilizan etiquetas,
direcciones URL y sintaxis HTML estándar. Las etiquetas distinguen entre mayúsculas y minúsculas.
Es posible incluir el texto de hipervínculos entre texto regular. Por ejemplo, usted escribiría:
$CONTENT_TYPE$ "$CONTENT_NAME$" contiene información confidencial. <a

href="http://www.company.com">Haga clic aquí para obtener información</a>. Contáctese
con el <a href="mailto:admin@company.com">administrador</a> si tiene consultas.
Insertar Seleccione las variables que desea incluir en la notificación en pantalla al endpoint cuando el sistema
variable bloquee un intento de copia de datos confidenciales.
Es posible seleccionar variables basadas en los siguientes tipos:
■ Aplicación
■ Nombre del contenido
■ Tipo de contenido
■ Tipo de dispositivo
■ Nombres de política
■ Protocolo
Parámetro Configuración
Permitir al Seleccione esta opción para mostrar hasta cuatro justificaciones de usuario en la notificación en
usuario elegir pantalla. Cuando la notificación aparece en el endpoint, el usuario debe elegir una de las
explicación justificaciones. (Si selecciona Permitir al usuario escribir explicación de texto, el usuario puede
escribir una justificación). Symantec Data Loss Prevention proporciona cuatro justificaciones
predeterminadas, que se pueden modificar o quitar según las necesidades.
Justificación:
■ Capacitación del usuario

■ Proceso empresarial dañado
■ Aprobado por supervisor
■ Falso positivo
Cada entrada de justificación incluye las siguientes opciones:
■ Casilla de selección
Esta opción indica si se incluye la justificación asociada en la notificación. Para eliminar una
justificación, desmarque la casilla de selección al lado de ella. Para incluir una justificación,
marque la casilla de selección al lado de ella.
■ Justificación
La etiqueta del sistema para la justificación. Este valor aparece en informes (para solicitar y filtrar
propósitos), pero el usuario no lo ve. Es posible seleccionar la opción deseada de la lista
desplegable.
■ Opción presentada al usuario final
El texto de justificación que el sistema muestra en la notificación. Este valor aparece en informes
con la etiqueta de justificación. Es posible modificar el texto predeterminado según lo deseado.
Para agregar una nueva justificación, seleccione Justificación nueva de la lista desplegable. En
el cuadro de texto de Escribir justificación nueva que aparece, escriba el nombre de la justificación.
Cuando guarda la regla, Symantec Data Loss Prevention la incluye como opción (en orden alfabético)
en todas las listas desplegables de Justificación.
Nota: Es necesario ser selectivo al agregar nuevas justificaciones. Actualmente, no se admite la
eliminación de nuevas justificaciones.
Permitir al Seleccione esta opción para incluir un cuadro de texto en el cual los usuarios puedan escribir su
usuario escribir propia justificación.
explicación de
texto

en la página 1408.
Ver "Recuperar los archivos confidenciales en los endpoints de Mac"
en la página 2110.
Configuración de la acción Endpoint Prevent: Cifrar

La acción de la regla de respuesta de Endpoint Prevent: Cifrar muestra una
notificación con limitación temporal cuando el usuario intenta transferir un archivo
confidencial a un dispositivo externo extraíble.
Para obtener información sobre las limitaciones de la acción de regla de respuesta
Endpoint Prevent: Cifrar, Ver "Prácticas recomendadas de regla de respuesta"
en la página 1426.
Esta acción de la regla de respuesta está disponible después de aplicar la licencia
de ICE de Endpoint Prevent.
Para usar esta acción de respuesta, asegúrese de que ha configurado las opciones
siguientes. Si no configura las opciones siguientes, la acción de la respuesta Cifrar
bloquea el archivo en vez de cifrarlo.
■ Se aplica la licencia de ICE de Endpoint Prevent y se configura Enforce Server
para conectarse a la nube de Symantec Information Centric Encryption.
Para obtener información sobre cómo Symantec Data Loss Prevention interactúa
con Symantec ICE, consulte la Guía de implementación de Symantec Information
Centric Encryption.
Ver "Configuración de Enforce Server para conectarse a la nube de Symantec
ICE" en la página 242.
■ Es necesario habilitar la configuración de Information Centric Encryption para
agentes DLP en la página Sistema > Agentes > Configuración de agente >
Configuración.
Ver "Configuración del agente" en la página 2106.
Ver "Configuración de Information Centric Encryption para agentes DLP"
en la página 2114.
Los usuarios tienen una cantidad de tiempo limitada para decidir omitir la infracción
de política o no. Si se ignora la infracción, el agente DLP cifra el archivo, la
transferencia de datos se completa y se crea un incidente. Si no se omite la
infracción, se detiene la transferencia de datos y se crea un incidente. Si el usuario
no toma una decisión en el tiempo asignado, la transferencia de datos se bloquea
automáticamente y se crea un incidente. Es posible proporcionar un motivo para
la notificación, así como opciones para que el usuario de endpoint especifique una
justificación de la acción. Esta acción de la regla de respuesta está disponible para
Endpoint Prevent en endpoints de Windows y de Mac.
Ver "Cómo implementar Endpoint Prevent" en la página 2049.
Para configurar la acción Endpoint Prevent: Cifrar

1 Configure una regla de respuesta en la pantalla Configurar regla de respuesta.
Agregue el tipo de acción Endpoint Prevent: Cifrar de la lista Acciones.
2 Configure los parámetros de Endpoint Prevent: Cifrar.
Tabla 42-23 Parámetros de Endpoint Prevent: Cifrar
Idioma Seleccione el idioma en el que desea que se ejecute la regla de

respuesta. Haga clic en Agregar idioma para agregar más de un
idioma.
Ver "Acerca de las reglas de respuesta de Endpoint Prevent en

diversas configuraciones regionales" en la página 2051.
Ver "Configuración de las reglas de respuesta de Endpoint Prevent

para diversas configuraciones regionales" en la página 2053.
Advertencia previa al Este campo es necesario para notificar a los usuarios que tienen
tiempo de espera una cantidad de tiempo limitada para responder al incidente.
Escriba el mensaje de notificación en el cuadro de texto. Es posible

agregar variables al mensaje al seleccionar los valores apropiados
del cuadro Insertar variable.
Mensaje posterior al Este campo notifica a los usuarios que la cantidad de tiempo para
tiempo de espera anular la política ha caducado. La transferencia de datos fue
bloqueada.

Visualizar cuadro de Este campo es necesario para las acciones de cifrado de endpoint.
alerta con este mensaje Seleccione esta opción para mostrar una notificación en pantalla
al usuario de endpoint.
Opcionalmente, puede configurar la notificación en pantalla para

incluir justificaciones de usuario, así como la opción de que los
usuarios especifiquen sus propias justificaciones.
Es posible también agregar hipervínculos para referir a los

usuarios a las direcciones URL que contienen información de
seguridad de la compañía. Para agregar hipervínculos se utilizan
etiquetas, direcciones URL y sintaxis HTML estándar. Las
etiquetas distinguen entre mayúsculas y minúsculas. Es posible
incluir el texto de hipervínculos entre texto regular. Por ejemplo,
usted escribiría:
$CONTENT_TYPE$ "$CONTENT_NAME$" contiene

información confidencial. <a
href="http://www.company.com">Haga clic aquí para obtener
información</a>. Contáctese con el <a
href="mailto:admin@company.com">administrador</a> si
tiene consultas.
Insertar variable Seleccione las variables que desea incluir en la notificación en

pantalla para el usuario de endpoint.
■ Aplicación
■ Nombre de la política
■ Protocolo
■ Contador de tiempo de espera
Nota: Es necesario usar la variable del contador del tiempo de

espera para mostrar cuánto tiempo queda para bloquear la
transferencia de datos.
Permitir al usuario elegir Seleccione esta opción para mostrar hasta cuatro justificaciones
explicación. de usuario en la notificación en pantalla. Cuando la notificación
aparece en el endpoint, el usuario debe elegir una de las
justificaciones. (Si selecciona Permitir al usuario escribir
explicación de texto, el usuario puede escribir una justificación).
Symantec Data Loss Prevention proporciona cuatro justificaciones
predeterminadas, que se pueden modificar o quitar según las
necesidades.
Justificaciones disponibles:

■ Falso positivo
■ Personalizado (nueva justificación)
Esta opción indica si se incluye la justificación asociada en la
notificación. Para eliminar una justificación, desmarque la
casilla de selección al lado de ella. Para incluir una justificación,
marque la casilla de selección al lado de ella.
■ Justificación
La etiqueta del sistema para la justificación. Este valor aparece
en informes (para solicitar y filtrar propósitos), pero el usuario
no lo ve. Es posible seleccionar la opción deseada de la lista
desplegable.
El texto de justificación de Symantec Data Loss Prevention se
muestra en la notificación. Este valor aparece en informes con
la etiqueta de justificación. Es posible modificar el texto
predeterminado según lo deseado.
Para agregar una nueva justificación, seleccione Justificación

nueva de la lista desplegable correspondiente. En el cuadro de
texto de Escribir justificación nueva que aparece, escriba el
nombre de la justificación. Cuando guarda la regla, el sistema
incluye la nueva justificación como opción (en orden alfabético)
en todas las listas desplegables de Justificación.
Nota: Es necesario ser selectivo al agregar nuevas justificaciones.
Actualmente, no se admite la eliminación de nuevas justificaciones.
Configuración de la acción Endpoint Prevent: Notificar
Permitir al usuario Seleccione esta opción para incluir un cuadro de texto en el cual
escribir explicación de los usuarios puedan escribir su propia justificación.
texto.

La acción de regla de respuesta Endpoint Prevent: Notificar muestra una notificación
en pantalla para el usuario de endpoint cuando el usuario intenta copiar o enviar
un archivo confidencial. Es posible proporcionar un motivo para la notificación, así
como opciones para que el usuario de endpoint dé una justificación de la acción.
Esta acción de regla de respuesta solamente está disponible para Endpoint Prevent.
Nota: La acción de notificación no se activa para una copia de datos confidenciales

a una unidad local.
Para configurar la acción Endpoint Prevent: Notificar

respuesta.
Agregue el tipo de acción Endpoint Prevent: Notificar de la lista Acciones.
2 Configure los parámetros de acciones.
Tabla 42-24 Parámetros de la acción de regla de respuesta Endpoint Prevent:

Notificar
Idioma Seleccione el idioma en el que desea que se ejecute la regla de respuesta.
Haga clic en Agregar idioma para agregar más de un idioma.

Ver "Configuración de las reglas de respuesta de Endpoint Prevent para diversas

Visualizar cuadro de Este campo es necesario para las acciones de notificación de endpoint. Seleccione esta opción
alerta con este para mostrar una notificación en pantalla al usuario de endpoint.
mensaje
Opcionalmente, puede configurar la notificación en pantalla para incluir justificaciones de

usuario, así como la opción de que los usuarios especifiquen sus propias justificaciones.
contienen información de seguridad de la compañía. Para agregar hipervínculos se utilizan
etiquetas, direcciones URL y sintaxis HTML estándar. Las etiquetas distinguen entre mayúsculas
y minúsculas. Es posible incluir el texto de hipervínculos entre texto regular. Por ejemplo, usted
escribiría:

Insertar variable Seleccione las variables que desea incluir en la notificación en pantalla para el usuario de
endpoint.
■ Aplicación
■ Nombres de política
■ Protocolo
Permitir al usuario Seleccione esta opción para mostrar hasta cuatro justificaciones de usuario en la notificación
elegir explicación en pantalla. Cuando la notificación aparece en el endpoint, el usuario debe elegir una de las
justificaciones. (Si selecciona Permitir al usuario escribir explicación de texto, el usuario
puede escribir una justificación). Symantec Data Loss Prevention proporciona cuatro
justificaciones predeterminadas, que se pueden modificar o quitar según las necesidades.

■ Falso positivo
Esta opción indica si se incluye la justificación asociada en la notificación. Para eliminar
una justificación, desmarque la casilla de selección al lado de ella. Para incluir una
justificación, marque la casilla de selección al lado de ella.
■ Justificación
La etiqueta del sistema para la justificación. Este valor aparece en informes (para solicitar
y filtrar propósitos), pero el usuario no lo ve. Es posible seleccionar la opción deseada de
la lista desplegable.
El texto de justificación de Symantec Data Loss Prevention se muestra en la notificación.
Este valor aparece en informes con la etiqueta de justificación. Es posible modificar el texto
Para agregar una nueva justificación, seleccione Justificación nueva de la lista desplegable
correspondiente. En el cuadro de texto de Escribir justificación nueva que aparece, escriba
el nombre de la justificación. Cuando guarda la regla, el sistema incluye la nueva justificación
como opción (en orden alfabético) en todas las listas desplegables de Justificación.
Nota: Es necesario ser selectivo al agregar nuevas justificaciones. Actualmente, no se admite
la eliminación de nuevas justificaciones.
Permitir al usuario Seleccione esta opción para incluir un cuadro de texto en el cual los usuarios puedan escribir
escribir explicación su propia justificación.
de texto

en la página 1408.
Configuración de la acción Endpoint Prevent: Cancelado por el usuario
Configuración de la acción Endpoint Prevent:

Cancelado por el usuario
La acción de regla de respuesta Endpoint Prevent: Cancelado por el usuario muestra
una notificación inmediata destinada al usuario cuando se infringe una política.
Los usuarios tienen una cantidad de tiempo limitada para decidir omitir la infracción
de política o no. Si se omite la infracción, se completa la transferencia de datos y
se crea un incidente. Si no se omite la infracción, se detiene la transferencia de
datos y se crea un incidente. Si el usuario no toma una decisión en el tiempo
asignado, la transferencia de datos se bloquea automáticamente y se crea un
incidente. Es posible proporcionar un motivo para la notificación, así como opciones
para que el usuario de endpoint especifique una justificación de la acción.
Esta acción de la regla de respuesta está disponible para Endpoint Prevent en los
endpoints de Windows solamente.
Para configurar la acción Endpoint Prevent: Cancelado por el usuario
respuesta.
Agregue el tipo de acción Endpoint Prevent: Cancelado por el usuario de
la lista Acciones.
2 Configure los parámetros de Endpoint Prevent: Cancelado por el usuario.
Tabla 42-25 Parámetros de Endpoint Prevent: Cancelado por el usuario
Idioma Seleccione el idioma en el que desea que se ejecute la regla de respuesta.

Haga clic en Agregar idioma para agregar más de un idioma.

Ver "Configuración de las reglas de respuesta de Endpoint Prevent para diversas

Advertencia previa al Este campo es necesario para notificar a los usuarios que tienen una cantidad de tiempo
tiempo de espera limitada para responder al incidente.

Mensaje posterior al Este campo notifica a los usuarios que la cantidad de tiempo para anular la política ha caducado.
tiempo de espera La transferencia de datos fue bloqueada.

Visualizar cuadro de Este campo es necesario para las acciones de cancelación de usuarios de endpoint. Seleccione
alerta con este esta opción para mostrar una notificación en pantalla al usuario de endpoint.
mensaje
Opcionalmente, puede configurar la notificación en pantalla para incluir justificaciones de

usuario, así como la opción de que los usuarios especifiquen sus propias justificaciones.
contienen información de seguridad de la compañía. Para agregar hipervínculos se utilizan
etiquetas, direcciones URL y sintaxis HTML estándar. Las etiquetas distinguen entre mayúsculas
y minúsculas. Es posible incluir el texto de hipervínculos entre texto regular. Por ejemplo, usted
escribiría:

Insertar variable Seleccione las variables que desea incluir en la notificación en pantalla para el usuario de
endpoint.
■ Aplicación
■ Nombre de la política
■ Protocolo
■ Contador de tiempo de espera
Nota: Es necesario usar la variable del contador del tiempo de espera para mostrar cuánto
tiempo queda para bloquear la transferencia de datos.
Permitir al usuario Seleccione esta opción para mostrar hasta cuatro justificaciones de usuario en la notificación
elegir explicación. en pantalla. Cuando la notificación aparece en el endpoint, el usuario debe elegir una de las
justificaciones. (Si selecciona Permitir al usuario escribir explicación de texto, el usuario
puede escribir una justificación). Symantec Data Loss Prevention proporciona cuatro
justificaciones predeterminadas, que se pueden modificar o quitar según las necesidades.

■ Falso positivo
Esta opción indica si se incluye la justificación asociada en la notificación. Para eliminar
una justificación, desmarque la casilla de selección al lado de ella. Para incluir una
justificación, marque la casilla de selección al lado de ella.
■ Justificación
La etiqueta del sistema para la justificación. Este valor aparece en informes (para solicitar
y filtrar propósitos), pero el usuario no lo ve. Es posible seleccionar la opción deseada de
la lista desplegable.
El texto de justificación de Symantec Data Loss Prevention se muestra en la notificación.
Este valor aparece en informes con la etiqueta de justificación. Es posible modificar el texto
Para agregar una nueva justificación, seleccione Justificación nueva de la lista desplegable
correspondiente. En el cuadro de texto de Escribir justificación nueva que aparece, escriba
el nombre de la justificación. Cuando guarda la regla, el sistema incluye la nueva justificación
como opción (en orden alfabético) en todas las listas desplegables de Justificación.
Nota: Es necesario ser selectivo al agregar nuevas justificaciones. Actualmente, no se admite
la eliminación de nuevas justificaciones.
Permitir al usuario Seleccione esta opción para incluir un cuadro de texto en el cual los usuarios puedan escribir
escribir explicación su propia justificación.
de texto.

Cómo configurar la acción Network Prevent for Web: Bloquear solicitud de FTP
Cómo configurar la acción Network Prevent for Web:

Bloquear solicitud de FTP
La acción de la regla de respuesta de Network Prevent for Web: Bloquear solicitud
de FTP bloquea cualquier transferencia de archivos por medio del FTP en su red.
Esta regla de respuesta solamente está disponible para Network Prevent for Web
integrado con un servidor proxy.
Para configurar la acción de regla de respuesta de Network Prevent for Web:
Bloquear solicitud de FTP
respuesta.
2 Agregue el tipo de acción Network Prevent for Web: Bloquear solicitud de
FTP de la lista Acciones.
La acción de regla de respuesta Bloquear solicitud de FTP no necesita más
configuración. Una vez que una regla de respuesta se implementa en una
política, esta acción bloquea cualquier intento del FTP.

Bloquear HTTP/S
La acción de regla de respuesta Network Prevent for Web: Bloquear HTTP/S
bloquea la transmisión de contenido web que detecta Network Prevent for Web.
Esta acción además bloquea mensajes de correo electrónico basado en Web y
archivos adjuntos.
Esta acción de regla de respuesta bloquea la transmisión de contenido web con
el protocolo de adaptación de contenido de Internet (ICAP). Para implementar esta
Cómo configurar la acción Network Prevent for Web: Bloquear HTTP/S
acción de regla de respuesta es necesario integrar el servidor de detección con

un servidor proxy web.
Para configurar la acción de regla de respuesta Network Prevent: Bloquear HTTP/S
1 Integre Network Prevent for Web con un servidor proxy y, si es necesario, un
servidor VPN.
respuesta.
3 Agregue el tipo de acción Network Prevent for Web: Bloquear HTTP/S de
la lista Acciones.
4 Edite Mensaje de rechazo, según sea necesario.
El sistema presenta este mensaje al navegador del usuario cuando el contenido
bloquea la acción.
Por ejemplo, es posible incluir texto con código HTML para mostrarlo en un
navegador.
Nota: Si el cliente que realiza la solicitud no espera una respuesta HTML, el

Mensaje de rechazo no se puede mostrar en el navegador del cliente. Por
ejemplo, un cliente que espera una respuesta XML de una publicación web
puede indicar solamente un error de Javascript.
5 Haga clic en Guardar para guardar la configuración de la regla de respuesta.

Ciertas aplicaciones no pueden proporcionar una respuesta adecuada a la acción
de respuesta Network Prevent for Web: Bloquear HTTP/S. Este comportamiento
se ha observado con la aplicación de correo de Yahoo! cuando un servidor de
detección bloquea una carga de archivo. Si un usuario intenta cargar un archivo
adjunto de correo electrónico y el archivo adjunto activa una respuesta de acción
Network Prevent for Web: Bloquear HTTP/S, el Correo de Yahoo! no responde ni
muestra un mensaje de error para indicar que el archivo está bloqueado. Por el
contrario, el correo Yahoo! parece continuar cargando el archivo seleccionado,
pero la carga nunca se completa. El usuario debe cancelar manualmente la carga
en algún momento pulsando Cancelar.
Otras aplicaciones también pueden mostrar este comportamiento, en función de
cómo controlan la solicitud de bloqueo. En estos casos, se crea un incidente del
Configuración de la acción Network Prevent: Bloquear mensaje SMTP
servidor de detección, y la carga del archivo se bloquea aunque la aplicación no

proporcione ninguna indicación.
Configuración de la acción Network Prevent: Bloquear

mensaje SMTP
La acción de regla de respuesta Network Prevent: Bloquear mensaje SMTP bloquea
los mensajes de correo electrónico SMTP que causan un incidente en el servidor
de detección de Network Prevent (correo electrónico).
Esta acción de regla de respuesta solamente está disponible con Network Prevent
for Email.
Ver "Acciones de la regla de respuesta para la detección de Network Prevent"
en la página 1408.
Debe integrar Network Prevent for Email al servidor de detección con un agente
de transferencia de correo (MTA) para implementar esta acción de regla de
respuesta. Consulte la Guía de integración de MTA de Symantec Data Loss
Prevention para Network Prevent (correo electrónico) para obtener más detalles.
Para configurar la acción de regla de respuesta Bloquear mensaje SMTP
respuesta.
2 Agregue el tipo de acción Network Prevent: Bloquear mensaje SMTP de la
lista Acciones.
3 Configure los parámetros de la acción Bloquear mensaje SMTP.
4 Haga clic en Guardar para guardar la regla de respuesta.
Configuración de la acción Network Prevent: Modificar mensaje SMTP
Tabla 42-26 Parámetros de Network Prevent: Bloquear mensaje SMTP
Devolver mensaje al remitente Escriba el texto que desea que aparezca en el error de SMTP que Network
Prevent (correo electrónico) devuelve al MTA. Algunos MTA muestran este
texto en el mensaje rebotado que se envía al remitente.
Si deja este campo en blanco, el mensaje no rebota al remitente, pero MTA

envía su propio mensaje.
Redireccionar mensaje a esta Si desea redireccionar mensajes bloqueados a una dirección determinada
dirección (como el administrador de Symantec Data Loss Prevention), escriba esa
dirección en este campo.
Si deja este campo en blanco, el mensaje rebotado se envía al remitente

solamente.
Configuración de la acción Network Prevent: Modificar

mensaje SMTP
La acción de regla de respuesta Network Prevent: Modificar mensaje SMTP permite
modificar un correo electrónico confidencial. Por ejemplo, puede usar esta acción
para cambiar un encabezado del asunto del correo electrónico para incluir
información sobre el tipo de infracción de política.
Esta acción de regla de respuesta solamente está disponible para Network Prevent
for Email.
en la página 1408.
Para configurar la acción Network Prevent: Modificar mensaje SMTP
respuesta.
2 Agregue el tipo de acción Network Prevent: Modificar mensaje SMTP de la
lista Acciones.
Cómo configurar la acción Network Prevent for Web: Eliminar contenido HTTP/S

Tabla 42-27 Parámetros de Network Prevent: Modificar mensaje SMTP
Asunto Seleccione el tipo de modificación de las siguientes opciones para convertirla en el asunto del
mensaje:
■ No modificar : no cambia el texto del asunto.

■ Anteceder : se agrega nuevo texto al principio del asunto.
■ Anexar : se agrega nuevo texto al final del asunto.
■ Reemplazar por : el nuevo texto reemplaza totalmente al antiguo texto del asunto.
Si el texto del asunto se modifica en este momento, especifique el nuevo texto.
Por ejemplo, si desea anteceder la “INFRACCIÓN” del asunto del mensaje, seleccione Anteceder
y escriba INFRACCIÓN en el campo del texto.
Encabezados Especifique un nombre único y un valor para cada encabezado que desee agregar al mensaje
(tres como máximo).
Habilitar conexión Seleccione esta opción para habilitar la integración con Symantec Messaging Gateway. Cuando
a la cuarentena se habilita esta opción, Symantec Data Loss Prevention agrega los encabezados X configurados
de correo previamente al mensaje que informan a Symantec Messaging Gateway que el mensaje se debe
electrónico poner en cuarentena.
(requiere
Para obtener más información, consulte la Guía de implementación de Symantec Data Loss
Symantec
Prevention Email Quarantine Connect FlexResponse.
Messaging
Gateway)

Eliminar contenido HTTP/S
La acción de regla de respuesta Network Prevent for Web: Eliminar contenido
HTTP/S elimina los datos confidenciales que se envían a sitios web de correo
(como Gmail), blogs (como Blogspot) y otros sitios. Esta acción además elimina
los datos confidenciales que se incluyen en cualquier archivo que los usuarios
cargan a sitios web o adjuntan a correo web. Esta acción solo se aplica a los
comandos HTTP/S POST y no se aplica a los comandos GET.
Cómo configurar la acción Network Prevent for Web: Eliminar contenido HTTP/S

Esta acción de regla de respuesta solamente está disponible para Network Prevent
for Web.
en la página 1408.
Symantec Data Loss Prevention reconoce los campos de formulario web para
correo web, blogs y sitios de redes sociales seleccionados. Si Network Prevent for
Web no puede eliminar los datos confidenciales de un sitio web que reconoce, crea
un evento del sistema y ejecuta una opción configurada de retroceso.
Nota: Symantec Data Loss Prevention elimina el contenido de cargas de archivo

y, para Network Prevent, archivos adjuntos de correo web, incluso en sitios que
no reconoce para la eliminación de contenido HTTP.
Para configurar la acción Network and Mobile Prevent for Web: Eliminar contenido
HTTP/S
respuesta.
2 Agregue el tipo de acción Network Prevent for Web: Eliminar contenido
HTTP/S de la lista Acciones.
Tabla 42-28 Parámetros de Network Prevent for Web: Eliminar contenido HTTP/S
Campo Descripción
Mensaje de El mensaje que aparece en el contenido (publicaciones web, correo web o archivos) de los cuales
eliminación el sistema ha eliminado la información confidencial. Solamente el destinatario ve este mensaje.
Configuración de la acción Network Protect: Copiar archivo
Campo Descripción
Opción de La acción que debe tomar si Network Prevent for Web no puede eliminar la información confidencial
último recurso que se detectó en una publicación HTTP o HTTPS.
Las opciones disponibles son Bloquear (opción predeterminada) y Permitir.
Nota: Symantec Data Loss Prevention elimina los datos confidenciales en cargas de archivo y, para
Network Prevent, archivos adjuntos de correo web, incluso sitios en los cuales no se realiza
eliminación de contenido. La Opción de último recurso se acepta únicamente cuando Symantec
Data Loss Prevention detecta contenido confidencial en un formulario web reconocido, pero no
puede eliminar el contenido.
Mensaje de El mensaje que Network Prevent for Web devuelve a un cliente cuando bloquea una publicación
rechazo HTTP o HTTPS. La aplicación web del cliente puede (o no) mostrar el mensaje de rechazo en función
de la manera en que la aplicación maneje los mensajes de error.
Configuración de la acción Network Protect: Copiar

archivo
La acción de regla de respuesta Network Protect: Copiar archivo copia un archivo
confidencial al sistema del archivo local.
Esta acción de regla de respuesta solo está disponible para Network Discover
configurado para Network Protect.
en la página 1408.
Para configurar la acción de regla de respuesta Network Protect: Copiar archivo
1 Configure un archivo compartido de red y especifique una ubicación en la que
desea copiar los archivos.
Ver "Configuración de Network Protect para archivos compartidos"
en la página 1887.
respuesta.
Configuración de la acción Network Protect: Archivo en cuarentena
3 Seleccione el tipo de acción Network Protect: Copiar archivo de la lista

Acciones.
Esta acción no requiere que configure ningún parámetro.
Configuración de la acción Network Protect: Archivo

en cuarentena
La acción de regla de respuesta Network Protect: Archivo en cuarentena pone en
cuarentena un archivo que el servidor de detección identifica como confidencial o
protegido.
en la página 1408.
Para configurar la acción de regla de respuesta Network Protect: Archivo en
cuarentena
respuesta.
2 Agregue el tipo de acción Network Protect: Poner archivo en cuarentena
3 Configure los parámetros de Network Protect: Poner archivo en cuarentena.
Configuración de Network Protect: acción Cifrar archivo
Tabla 42-29 Parámetros de configuración de Network Protect: Poner archivo en

cuarentena
Archivo Seleccione esta opción para crear un archivo de texto marcador para reemplazar el archivo original.
marcador Esta acción notifica al usuario lo que le sucedió al archivo en lugar de poner en cuarentena o eliminar
el archivo sin ninguna explicación.
Nota: El archivo marcador es del mismo tipo y tiene el mismo nombre que el archivo original, siempre
que sea un archivo de texto. Un ejemplo de este tipo de archivo es Microsoft Word. Si el archivo original
es un PDF o un archivo de imagen, el sistema crea un archivo marcador sin formato. El sistema otorga
al archivo el mismo nombre que el archivo original con la extensión .txt añadida al final del archivo.
Por ejemplo, si el nombre del archivo original es cuentas.pdf, el nombre del archivo marcador
cuentas.pdf.txt.
Texto Especifique el texto que aparecerá en el archivo marcador. Si seleccionó la opción de dejar el archivo
marcador marcador en lugar del archivo reparado, se pueden usar variables en el texto marcador.
Configuración de Network Protect: acción Cifrar

archivo
La acción de la regla de respuesta Network Protect: cifrar archivo cifra un archivo
que el servidor de detección identifica como confidencial o protegido. Esta función
está disponible solamente si la licencia de ICE de Network Discover está instalada
y Enforce Server se ha configurado para conectarse a la nube de Symantec ICE.
Ver "Configuración de Enforce Server para conectarse a la nube de Symantec ICE"
en la página 242.
Para obtener información sobre cómo Symantec Data Loss Prevention interactúa
con Symantec ICE, consulte la Guía de implementación de Symantec Information
Centric Encryption.
Nota: Cuando se cifra un archivo, la extensión del archivo cambia a .html. Debe
actualizar manualmente cualquier vínculo que señale al archivo original sin cifrar.
Configuración de Network Protect: acción Cifrar archivo

Para obtener información sobre las limitaciones de la acción de la regla de respuesta
Network Protect: Cifrar archivo, Ver "Prácticas recomendadas de regla de respuesta"
en la página 1426.
en la página 1408.
Para configurar la acción de regla de respuesta Network Protect: cifrar archivo
respuesta.
2 Agregue el tipo de acción Network Protect: cifrar archivo de la lista Acciones.
Sección 6
Cómo reparar y administrar
incidentes
■ Capítulo 43. Cómo reparar incidentes
■ Capítulo 44. Cómo reparar incidentes de Network
■ Capítulo 45. Cómo reparar incidentes de Endpoint
■ Capítulo 46. Cómo reparar incidentes de Discover
■ Capítulo 47. Utilización de incidentes del conector de nube
■ Capítulo 48. Cómo administrar e informar incidentes
■ Capítulo 49. Ocultar los incidentes
■ Capítulo 50. Cómo trabajar con datos de incidente
■ Capítulo 51. Trabajar con riesgos de los usuarios
■ Capítulo 52. Implementación de complementos de búsqueda

Capítulo 43
Cómo reparar incidentes
■ Acerca de la reparación de incidentes
■ Cómo reparar incidentes
■ Cómo ejecutar reglas de respuesta inteligentes
■ Comandos de acción de reparación de incidentes
■ Variables de acción de respuesta
Acerca de la reparación de incidentes

A medida que los incidentes ocurren en su sistema, las personas en su organización
deben analizar los incidentes, determinar por qué ocurrieron, identificar tendencias
y reparar los problemas.
Symantec Data Loss Prevention proporciona un amplio conjunto de funcionalidades
que se pueden usar para generar un proceso eficaz de reparación de incidentes.
Una vez que usted esté listo para tomar medidas, podrá usar una serie de comandos
de incidentes en las páginas Instantánea del incidente y Lista del incidente.
Como la página Instantánea del incidente muestra los detalles acerca de un
incidente específico, se puede seleccionar un comando para que realice una acción
en el incidente mostrado.
En la página Lista del incidente, se puede realizar una acción en varios incidentes
al mismo tiempo. Es posible seleccionar más de un incidente de la lista y, luego,
elegir el comando deseado.
Tabla 43-1 describe las opciones implicadas en la reparación del incidente:
Cómo reparar incidentes 1516
Tabla 43-1 Opciones implicadas en la reparación del incidente
Opciones de la Descripción
reparación
Control de acceso Es posible controlar rigurosamente el acceso a la información del

basado en roles incidente en el sistema Symantec Data Loss Prevention con el
control de acceso basado en rol. Los roles controlan sobre qué
incidentes puede tomar medidas un reparador determinado, así
como qué información del incidente está disponible para el
reparador. Por ejemplo, el control de acceso se puede usar para
asegurarse de que un reparador determinado pueda tomar medidas
únicamente sobre los incidentes que se originen dentro de una
unidad de negocio específica. Además, puede que evite que el
personal de esa unidad de negocio vea incidentes de gravedad
alta, al dirigir esos incidentes al departamento de seguridad.
Asignación del nivel de La gravedad del incidente es una medida del riesgo que se asocia
gravedad a un incidente determinado. Por ejemplo, un mensaje de correo
electrónico que contiene 50 registros del cliente se puede considerar
más grave que un mensaje que contiene 50 infracciones de una
política de uso aceptable. Symantec Data Loss Prevention permite
especificar qué constituye un grave incidente configurándolo en el
nivel de la regla de la política. Symantec Data Loss Prevention,
luego, usa la gravedad del incidente para conducir las respuestas
subsiguientes al incidente. Este proceso le permite dar prioridad a
incidentes y dedicar sus recursos de reparación manual a las áreas
donde son más necesarios.
Operación de La operación de búsqueda personalizada del atributo es el proceso

búsqueda de recopilar información adicional sobre el incidente desde los
personalizada del orígenes de datos fuera de Enforce y el incidente en sí mismo. Por
atributo ejemplo, se puede consultar un servidor corporativo del LDAP para
obtener más información sobre el remitente del mensaje, como el
nombre del administrador del remitente o de la unidad del negocio.

en la página 1663.
Por ejemplo, se pueden usar atributos personalizados como entrada

a las respuestas automáticas subsiguientes para notificar
automáticamente al administrador del remitente sobre la infracción
de políticas.
Ver "Cómo configurar los valores de atributos personalizados

manualmente" en la página 1666.
reparación
Respuestas Una función eficaz de Enforce Server es la capacidad de responder

automatizadas ante automáticamente a los incidentes a medida que se presentan. Por
incidentes ejemplo, se puede configurar el sistema para responder a un
incidente grave bloqueando la comunicación ofensiva. Es posible
enviar un mensaje de correo electrónico al administrador del
remitente. Es posible enviar una alerta a un sistema de
administración de eventos de seguridad. Es posible enviar el
incidente al departamento de seguridad. Por otra parte, un incidente
de uso aceptable puede dispensarse enviando un mensaje de
correo electrónico al remitente. A continuación, se puede marcar
el incidente como cerrado, sin necesidad de realizar ninguna otra
acción. Entre estos extremos, se puede establecer una política que
cifre automáticamente las transmisiones de datos confidenciales a
un socio comercial. Todas estas situaciones se pueden manejar
automáticamente sin la intervención del usuario.

en la página 1434.
Respuesta Aunque la respuesta automática sea una parte importante del

inteligente proceso de la reparación, SmartResponse es necesario a veces,
particularmente en el caso de incidentes más graves. Symantec
Data Loss Prevention proporciona una instantánea de incidente
detallada con toda la información necesaria para determinar los
pasos siguientes en la reparación. Es posible usar SmartResponse
para actualizar manualmente la gravedad del incidente, el estado
y los atributos personalizados, y agregar comentarios al incidente.
Es posible mover el incidente a través del flujo de trabajo de la
reparación para resolverlo.

en la página 1434.
Las siguientes acciones estándar de SmartResponse están
disponibles:
■ Agregar nota
■ Registrar en un servidor Syslog
■ Enviar notificación por correo electrónico
■ Definir estado
Ver "Cómo configurar la acción de Server FlexResponse"

en la página 1458.
reparación
Distribución de los Es posible crear y distribuir automáticamente informes de incidente

informes de incidente agregados a los propietarios de los datos para la reparación.
agregados
Enforce Server maneja todos estos pasos, a excepción de Respuesta inteligente.

Es posible manejar incidentes de manera totalmente automática. Es posible reservar
la intervención manual (Respuesta inteligente) para los incidentes más graves
únicamente.
Ver "Instantánea de incidente de Network" en la página 1533.
Ver "Instantánea de incidente de endpoint" en la página 1544.

Cuando se repara un incidente, se pueden realizar las acciones siguientes:
■ Configurar el estado o la gravedad del incidente.
■ Aplicar una regla de respuesta inteligente al incidente.
■ Configurar los atributos personalizados del incidente.
■ Agregar comentarios al registro de incidentes.
■ Reparar los incidentes accediendo a una lista o una instantánea de incidente
y seleccionando acciones para ejecutar en uno o más incidentes.
■ Realizar combinaciones de estas acciones.
Es posible importar un paquete de soluciones durante la instalación. Los paquetes
de soluciones completan previamente las listas y las instantáneas de incidentes
con varias opciones de reparación y atributos personalizados. Para obtener
descripciones completas de todos los paquetes de soluciones (incluida información
sobre todas las opciones de reparación y atributos personalizados que contienen),
consulte la documentación de cada uno de los paquetes de soluciones en el
directorio de paquetes de soluciones en la documentación.
Cómo ejecutar reglas de respuesta inteligentes
Para reparar incidentes

1 Acceda a una lista o una instantánea de incidente.
En las listas de incidentes, Symantec Data Loss Prevention muestra opciones
de reparación disponibles en el menú desplegable Acciones del incidente.
El menú se activa cuando selecciona uno o más incidentes en la lista (con la
casilla de selección). En detalles del incidente, Symantec Data Loss Prevention
también muestra las opciones de reparación disponibles. Es posible configurar
Estado o un nivel de Gravedad en los menús desplegables.
Ver "Visualizar incidentes" en la página 1595.
Es posible también editar Atributos y proporcionar información relacionada.
■ Cuando vea una lista de incidentes, seleccione los incidentes que se
repararán (seleccione la casilla). Es posible seleccionar incidentes
individualmente o seleccionar todos los incidentes en la pantalla actual. A
continuación, seleccione la acción deseada del menú desplegable Acciones
del incidente. Por ejemplo, seleccione Acciones del incidente > Definir
estado > Elevado.
Es posible realizar tantas acciones como sea necesario.
■ Cuando ve una instantánea de incidente, puede configurar el Estado y la
Gravedad de los menús desplegables.
Si una respuesta inteligente se ha configurado previamente, puede
seleccionar una regla de respuesta inteligente en la barra de reparación.
Por ejemplo, si instaló uno de los paquetes de soluciones, puede seleccionar
Rechazar falso positivo en la barra de reparación. Cuando aparezca la
pantalla Ejecutar regla de respuesta, haga clic en Aceptar. Esta regla
de respuesta inteligente cambia el estado del incidente de Nuevo a
Rechazado y configura el atributo Motivo del rechazo en Falso positivo.
Es posible realizar tantas acciones de reparación como sea necesario.
Cómo ejecutar reglas de respuesta inteligentes

Cuando se ejecuta una regla de respuesta que envía un correo electrónico, se
pueden componer manualmente los contenidos de la notificación por correo
electrónico.
Comandos de acción de reparación de incidentes
Nota: El envío de una notificación por correo electrónico al remitente se aplica

solamente a incidentes de SMTP. Además, los destinatarios de la notificación que
se basan en atributos personalizados (como “correo electrónico del administrador”)
funcionan correctamente solo si el complemento de búsqueda de atributos los
completa.
Para componer una respuesta de notificación por correo electrónico

1 Escriba correos electrónicos opcionales para las copias en el campo CC.
2 Seleccione el idioma.
3 Componga o edite el asunto y el cuerpo del correo electrónico.
4 Inserte variables para los campos en el incidente. Las variables admitidas
aparecen como vínculos a la derecha de los campos editables.
Por ejemplo, si desea incluir la política y las reglas infringidas, es posible que
deba escribir:
A message has violated the following rules in $POLICY$:

$RULES$
5 Haga clic en Aceptar para enviar la notificación.


En una lista de incidentes, use el menú desplegable Acciones del incidente para
seleccionar acciones de reparación.
Las acciones siguientes del incidente están disponibles para una lista de incidentes:
Agregar nota Agregue una breve nota a los incidentes seleccionados.

El comentario aparece en la ficha Historial del
incidente de la página Instantánea de incidente para
cada incidente seleccionado.
Eliminar incidentes Elimine los incidentes seleccionados del sistema de

Sea cauteloso al eliminar incidentes. Se eliminan todos

los datos asociados a los incidentes. Esta operación no
se puede anular.
Exportar selec.: CSV Exporte los incidentes seleccionados a un archivo

separado por comas (.csv).
Exportar selec.: XML Exporte los incidentes seleccionados a un archivo XML.
Ocultar/Mostrar Seleccione una de las siguientes acciones de incidentes

para configurar el estado oculto para los incidentes
seleccionados:
■ Ocultar incidentes : Marca los incidentes

seleccionados como archivados.
■ Mostrar incidentes : Restaura los incidentes
seleccionados al estado no archivado.
■ No ocultar : Evita que los incidentes seleccionados
se archiven.
■ Permitir ocultar : Permite que los incidentes
seleccionados se archiven.
Ver "Acerca de ocultar el incidente" en la página 1648.
Buscar atributos Use los complementos de búsqueda configurados para

buscar los atributos configurados.
Establecer atributos Muestre la página Establecer atributos de modo que

se puedan introducir o editar valores de atributo para
los incidentes seleccionados.
Configurar propietario de los Configure los siguientes atributos de propietario de

datos datos:
■ Nombre
Definir la gravedad Cambie la gravedad configurada para los incidentes

seleccionados a una de las opciones en Definir la
gravedad.
Definir estado Cambie el estado de los incidentes seleccionados a una

de las opciones en Definir estado. Un administrador
del sistema puede personalizar las opciones que
aparecen en esta lista en la página Atributos de
incidente.
Ver "Acerca de atributos del estado del incidente"

en la página 1653.
Variables de acción de respuesta
Ejecutar respuesta inteligente Realice una de las respuestas enumeradas en los

incidentes seleccionados. Cuando se hace clic en una
regla de respuesta, la página Ejecutar regla de
respuesta aparece.
Estas reglas de respuesta manuales están disponibles

solamente si tiene permiso para reparar.

Las variables de acción de respuesta se pueden usar en reglas de respuesta.
Ver "Cómo ejecutar reglas de respuesta inteligentes" en la página 1519.
Las variables de acción de respuesta varían según el tipo de incidente.
Ver "Variables generales de incidentes" en la página 1522.
Ver "Variables de incidente de endpoint" en la página 1524.
Ver " Variables de incidentes de Network Monitor y Network Prevent"
en la página 1523.
Ver "Variables de incidentes de Discover" en la página 1523.
Variables generales de incidentes

Las variables generales siguientes están disponibles para todos los tipos de
incidente:
$APPLICATION_NAME$ Especifica el nombre de la aplicación que se asocia al incidente.
$ATTACHMENT_FILENAME$ Especifica el nombre del archivo adjunto.
$BLOCKED$ Indicación de si Symantec Data Loss Prevention bloqueó o no el

mensaje (sí o no).
$DESTINATION_IP$ Especifica la dirección IP de destino.
$INCIDENT_ID$ El identificador único del incidente.
$INCIDENT_SNAPSHOT$ La URL completa de la página de la instantánea de incidente para el

incidente.
$MATCH_COUNT$ La cantidad de coincidencias del incidente.

$OCCURED_ON$ Especifica la fecha en la cual el incidente ocurrió. Esta fecha puede

ser diferente a la fecha en que el incidente se informó.
$POLICY$ El nombre de la política que se infringió.
$POLICY_RULES$ Una lista separada por comas de una o más reglas de políticas que
fueron infringidas.
$PROTOCOL$ El protocolo, el tipo de dispositivo y el tipo de destino del incidente,

según corresponda.
$RECIPIENTS$ Una lista separada por comas de uno o más destinatarios del mensaje.
$REPORTED_ON$ Especifica la fecha en la cual el incidente se informó.
$MONITOR_NAME$ Especifica el servidor de detección o el detector en la nube que creó

el incidente.
$SENDER$ El remitente del mensaje.
$SEVERITY$ La gravedad que es asignada al incidente.
$STATUS$ Especifica el estado de reparación del incidente.
$SUBJECT$ El asunto del mensaje.
$URL$ Especifica la ruta o la ubicación del archivo.
Variables de incidentes de Network Monitor y Network Prevent

Las variables Network Monitor y Network Prevent están disponibles:
$DATAOWNER_NAME$ La persona responsable de reparar el incidente. Este campo debe

configurarse manualmente o con uno de los complementos de
búsqueda.
Los informes se pueden enviar automáticamente al propietario de los

datos para la reparación.
$DATAOWNER_EMAIL$ La dirección de correo electrónico de la persona responsable de

reparar el incidente. Este campo debe configurarse manualmente o
con uno de los complementos de búsqueda.
Variables de incidentes de Discover

Las variables de incidentes de Network Discover/Cloud Storage Discover y Network
Protect siguientes están disponibles:

búsqueda.


$ENDPOINT_MACHINE$ El nombre del equipo de endpoint que generó la infracción.
$PATH$ La ruta completa al archivo en el cual el incidente fue encontrado.
$FILE_NAME$ El nombre del archivo en el cual el incidente fue encontrado.
$PARENT_PATH$ La ruta al directorio principal del archivo en el cual el incidente fue

encontrado.
$QUARANTINE_PARENT_PATH$ La ruta al directorio principal en el cual el archivo fue puesto en

cuarentena.
$SCAN_DATE$ La fecha del análisis que encontró el incidente.
$TARGET$ El nombre del destino en el cual el incidente fue encontrado.
Variables de incidente de endpoint

Las siguientes variables de incidente de endpoint están disponibles:
$APPLICATION_USER$ El nombre del usuario de la aplicación.

búsqueda.


$ENDPOINT_LOCATION$ La ubicación del equipo de endpoint.
$ENDPOINT_MACHINE$ El nombre del equipo de endpoint que generó la infracción.
$ENDPOINT_USER_NAME$ El nombre del usuario del endpoint.

$MACHINE_IP$ La dirección IP corporativa del equipo de endpoint.
$USER_JUSTIFICATION$ La justificación que fue proporcionada por el usuario del endpoint.
Variables del incidente del conector en la nube

Las siguientes variables del incidente del conector en la nube están disponibles:

configurarse manualmente.


reparar el incidente. Este campo debe configurarse manualmente.
Capítulo 44
Cómo reparar incidentes de
Network
■ Lista de incidentes de red
■ Lista de incidentes de red - Acciones
■ Lista de incidentes de red - Columnas
■ Instantánea de incidente de Network
■ Instantánea de incidente de Network - Título y navegación
■ Instantánea de incidente de Network: información general
■ Instantánea de incidente de Network - Coincidencias
■ Instantánea de incidente de Network - Atributos
■ Informe de resumen de red
Lista de incidentes de red

Una lista de incidentes de red muestra varios registros de incidentes de red con
información acerca de los incidentes, como: la gravedad, la política asociada, el
número de coincidencias y el estado del incidente. Haga clic en una fila de la lista
de incidentes para ver más detalles sobre un incidente específico. Seleccione los
incidentes específicos (o los grupos de incidentes) para modificar o para reparar
haciendo clic en las casillas de selección de la izquierda.
Cuando aparecen direcciones IPv6 en los informes, siguen estas reglas:
■ Las direcciones se normalizan en los campos IP de origen e IP de destino.
Cómo reparar incidentes de Network 1527
■ En los campos Destinatario (URL), las direcciones se representan como se

las haya proporcionado, lo que es generalmente un nombre de host y varía por
protocolo.
■ En los campos Remitente, la representación de las direcciones varía por
protocolo.
■ Los campos normalizados se utilizan para el filtro basado en IP.
Cuando aparecen direcciones IPv6 en filtros de listas de incidentes, siguen estas
reglas:
■ En el campo Destinatario (URL), se representan las direcciones como se las
haya proporcionado en los campos Destinatario (URL), Dominio y Remitente.
■ Los campos normalizados se utilizan para el filtro basado en IP.
Cuando aparecen direcciones IPv6 en detalles de incidentes, siguen estas reglas:
■ En el campo Destinatario (URL), las direcciones se representan como se las
haya proporcionado.
■ En el campo Remitente (URL), las direcciones se representan como se las
haya proporcionado.
■ Los vínculos a las listas filtradas se comportan como la entrada del usuario.
Es posible ver direcciones IPv6 normalizadas en un resumen de incidentes:
■ Las direcciones se resumen por los campos IP de origen, IP de destino,
Remitente y Dominio.
■ La normalización ocurre para los campos como los hace en los detalles del
incidente.
Es posible ver direcciones IPv6 no normalizadas en un resumen de incidentes:
■ Las direcciones se resumen por los campos IP de origen, IP de destino,
Remitente y Dominio.
■ La normalización ocurre para los campos como los hace en los detalles del
incidente.
Nota: Sea cuidadoso cuando haga clic en Seleccionar todo. Esta acción selecciona
todos los incidentes del informe (no solo los de la página actual). Cualquier comando
de incidente que se aplique posteriormente afecta todos los incidentes. Para
seleccionar solamente los incidentes en la página actual, seleccione la casilla en
la parte superior izquierda de la lista de incidentes.
La información de incidentes se divide en varias columnas. Haga clic en cualquier

encabezado de columna para ordenar de modo alfanumérico los datos de esa
columna. Para ordenar de modo inverso, haga clic en el encabezado de la columna
una segunda vez. De forma predeterminada, Symantec Data Loss Prevention
ordena los incidentes por fecha.
La columna Tipo muestra los iconos que indican el tipo de incidente de red.
Tabla 44-1 describe los iconos.
Tabla 44-1 Tipo de incidente de red
Icono Descripción
SMTP
La adición del segundo icono indica un

archivo adjunto del mensaje.
HTTP
Symantec Data Loss Prevention además

detecta el tráfico de mensajería instantánea
de Yahoo! y MSN que se envía por túnel a
través de HTTP.
La adición del segundo icono indica un

archivo adjunto de correo electrónico basado
en Web.
HTTPS
FTP
NNTP
MI: MSN
MI: AIM
MI: Yahoo
TCP: protocolo_personalizado
Esta columna además indica si la comunicación fue bloqueada o alterada.

Tabla 44-2 muestra los valores posibles.
Tabla 44-2 Bloqueo de incidentes o estado alterado
Icono Descripción
Sin icono. Espacio en blanco si la comunicación no fue

bloqueada.
Indica que Symantec Data Loss Prevention

bloqueó la comunicación que contenía el
texto coincidente.
Indica datos confidenciales eliminados de

Symantec Data Loss Prevention de
publicaciones web o de mensajes de correo
electrónico basados en Web. Este icono
puede además indicar que un archivo fue
cargado en un sitio web o adjuntado a un
mensaje de correo electrónico basado en
Web.
Indica que Symantec Data Loss Prevention

agregó o modificó los encabezados del
mensaje que generó el incidente.
Use los siguientes vínculos para aprender más sobre la página de lista de incidentes
de red:
Para aprender más acerca de Consulte esta sección
Columnas de la tabla de lista de incidentes Ver "Lista de incidentes de red - Columnas"

en la página 1531.
Acciones para realizar en incidentes Ver "Lista de incidentes de red - Acciones"

seleccionados en la página 1530.
Detalles de un incidente específico Ver "Instantánea de incidente de Network"

en la página 1533.
Visión de un resumen de todos los incidentes Ver "Informe de resumen de red"

de red en la página 1539.
Funciones comunes de todos los informes Ver "Acerca de los informes sobre incidentes"
de Symantec Data Loss Prevention en la página 1585.
Ver "Funciones comunes del informe de

incidentes" en la página 1620.
Ver "Cómo guardar Informes de incidentes

personalizados" en la página 1600.
Lista de incidentes de red - Acciones
Lista de incidentes de red - Acciones

Es posible seleccionar uno o más incidentes y, después, repararlos usando
comandos en la lista desplegable Acciones del incidente. Los comandos de
incidentes son los siguientes:
Agregar nota Seleccione para abrir un cuadro de diálogo,

escriba un comentario y, después, haga clic
en Aceptar.
Ocultar/Mostrar Seleccione una de las siguientes acciones

de archivo de almacenamiento para
configurar el estado del archivo de los
incidentes seleccionados:
■ Ocultar incidentes : Marca los incidentes

seleccionados como archivados.
■ Mostrar incidentes : Restaura los
incidentes seleccionados al estado no
archivado.
■ No ocultar : Evita que los incidentes
seleccionados se archiven.
■ Permitir ocultar : Permite que los
incidentes seleccionados se archiven.
Ver "Acerca de ocultar el incidente"

en la página 1648.
Eliminar incidentes Seleccione para eliminar incidentes

especificados.
Exportar selec.: CSV Seleccione para guardar incidentes

especificados en un archivo de texto
Exportar selec.: XML
separado por comas (.csv) o un archivo XML,
que se puede mostrar en varias aplicaciones
comunes, como Microsoft Excel.
Buscar atributos Use los complementos de búsqueda para

buscar atributos personalizados de
incidentes.
Lista de incidentes de red - Columnas
Ejecutar respuesta inteligente Seleccione para ejecutar una regla de

respuesta inteligente que su administrador o
usted configuró. (Para configurar una regla
de respuesta inteligente, vaya a Política >
Reglas de respuesta, haga clic en Agregar
regla de respuesta y seleccione Respuesta
inteligente ).
Establecer atributos Seleccione para configurar los atributos de

los incidentes seleccionados.
Configurar propietario de los datos Configure la dirección de correo electrónico

o el nombre del propietario de los datos. El
propietario de los datos es la persona
responsable de reparar el incidente.
Los informes se pueden enviar

automáticamente al propietario de los datos
para la reparación.
Definir la gravedad Seleccione para configurar la gravedad.
Definir estado Seleccione para establecer el estado.

Ver "Lista de incidentes de red" en la página 1526.

muestra los incidentes por fecha.
El informe incluye las columnas siguientes:
■ Casillas de selección que le permiten seleccionar incidentes para reparar.
Es posible seleccionar uno o más incidentes a los cuales aplicar comandos del
menú desplegable Incidente en la parte superior de la lista. Haga clic en la
casilla de selección en la parte superior de la columna para seleccionar todos
los incidentes en la página actual. (Tenga en cuenta que se puede también
hacer clic en Seleccionar todo, bien a la derecha para seleccionar todos los
incidentes en el informe).
■ Tipo
El protocolo sobre el cual la coincidencia fue detectada.
■ Asunto/Remitente/Destinatarios
Asunto del mensaje, dirección de correo electrónico o dirección IP del remitente,
direcciones de correo electrónico o URL del destinatario.
■ Enviado
Fecha y hora en que se envió el mensaje.
■ ID/Política
Número de Id. de incidente de Symantec Data Loss Prevention y política
respecto de la cual el incidente fue registrado.
■ Coincidencias
Número de coincidencias en el incidente.
■ Gravedad
Gravedad del incidente determinada según la configuración de gravedad de la
regla con la cual el incidente coincidió.
Los valores posibles son los siguientes:
Icono Descripción
Alta
Media
Baja
Para información solamente
■ Estado
Estado actual del incidente.
■ Nuevo
■ En curso
■ Elevado
■ Falso positivo
■ Errores de configuración
■ Resuelto
Instantánea de incidente de Network
Usted o su administrador pueden agregar nuevas designaciones de estado en

la página Configuración de atributos.
Instantánea de incidente de Network

Una instantánea de incidente proporciona información detallada sobre un incidente
determinado. Muestra información general del incidente, coincidencias detectadas
en el texto interceptado y atributos del incidente. La instantánea además permite
ejecutar cualquier regla de respuesta inteligente que se haya configurado.
La instantánea de incidente se divide en tres paneles, con opciones de respuesta
inteligente y navegación. Haga clic en un vínculo para ver más ayuda sobre la
instantánea de incidente:
Para aprender más acerca de Consulte la sección
Opciones de respuesta inteligente y Ver "Instantánea de incidente de Network -

navegación Título y navegación" en la página 1533.
Información general del incidente (panel Ver "Instantánea de incidente de Network:

izquierdo) información general" en la página 1534.
Coincidencias en el incidente (panel medio) Ver "Instantánea de incidente de Network -

Coincidencias" en la página 1537.
Atributos (panel derecho) Ver "Instantánea de incidente de Network -

Atributos" en la página 1538.
Instantánea de incidente de Network - Título y

navegación
Las herramientas de navegación de la página siguiente aparecen cerca de la parte
superior de la instantánea de incidente:
Anterior Muestra el incidente anterior en el informe de

origen.
Siguiente Muestra el incidente siguiente en el informe

de origen.
Vuelve al informe de origen (donde se hizo

clic en el vínculo para llegar a esta pantalla).
Instantánea de incidente de Network: información general
Actualiza la instantánea con cualquier dato

nuevo, tal como un nuevo comentario en la
sección Historial o un estado modificado.
Si configuró cualquier regla de respuesta inteligente, Symantec Data Loss

Prevention muestra las opciones de respuesta para ejecutar las reglas en la parte
superior de la página. Según la cantidad de reglas de respuesta inteligente, también
puede aparecer un menú desplegable.
Instantánea de incidente de Network: información

general
La sección izquierda de la instantánea muestra información general del incidente.
Es posible hacer clic en la mayoría de los valores para ver una lista de incidentes
que se filtre en ese valor. Un icono puede aparecer al lado de la lista desplegable
Estado para indicar si la solicitud que generó el incidente fue bloqueada o alterada.
El estado actual y la gravedad del incidente aparecen a la derecha del título de la
instantánea. Para cambiar uno de los valores actuales, haga clic en él y elija otro
valor de la lista desplegable.
Las partes restantes del panel de información de carácter general se dividen en
cuatro fichas.
■ Información de clave
■ Historial
■ Notas
■ Correlaciones
La información en esta sección se divide en las categorías siguientes (no todas
aparecen para cada tipo de incidente):
Tabla 44-3 Fichas de información de carácter general del incidente
Nombre de la ficha Descripción
Información de clave
La ficha Información de clave muestra la política que fue

infringida en el incidente. Además, muestra el número total
de coincidencias para la política, así como las coincidencias
por regla de políticas. Haga clic en el nombre de la política
para ver una lista de todos los incidentes que infringieron la
política. Haga clic en Ver política para ver una versión de
solo lectura de la política.
Esta sección, además, enumera otras políticas que el mismo

archivo infringió. Para ver la instantánea de un incidente
asociado a una política determinada, haga clic en Ir al
incidente junto al nombre de la política. Para ver una lista
de todos los incidentes que el archivo creó, haga clic en
Mostrar todo.
La ficha Información de clave además incluye la siguiente

información:
■ El nombre del servidor de detección que registró el

incidente.
■ La fecha y la hora en que el mensaje fue enviado
■ El correo electrónico o la dirección IP del remitente
■ El correo electrónico o las direcciones IP del destinatario
■ El encabezado de SMTP o el encabezado del asunto de
NNTP
■ El campo Está oculto muestra el estado archivado del
incidente, independientemente de si el incidente se puede
ocultar, y le permite alternar el indicador No ocultar para
el incidente.
■ Nombres de archivos adjuntos. Haga clic para abrir o
para guardar el archivo.
Si una regla de respuesta le dice a Symantec Data Loss
Prevention que deseche el mensaje original, no se puede
ver el archivo adjunto.
■ La persona responsable de reparar el incidente ( Nombre
de propietario de datos ). Este campo debe configurarse
manualmente o con un complemento de búsqueda. Los
informes se pueden enviar automáticamente al propietario
de los datos para la reparación.
Si hace clic en el hipervínculo Nombre de propietario
de datos, una lista filtrada de incidentes por Nombre de
propietario de datos se muestra.
■ La dirección de correo electrónico de la persona
responsable de reparar el incidente ( Dirección de correo
electrónico del propietario de datos ). Este campo
Instantánea de incidente de Network - Coincidencias
debe configurarse manualmente o con un complemento

de búsqueda.
Si hace clic en el hipervínculo Dirección de correo
electrónico del propietario de datos, una lista filtrada
de incidentes por Dirección de correo electrónico del
Historial Consulte las acciones que fueron realizadas en el incidente.

Para cada acción, Symantec Data Loss Prevention muestra
la fecha y la hora de la acción, el actor (un usuario o un
servidor) y la acción o el comentario.
Ver "Cómo ejecutar reglas de respuesta inteligentes"

en la página 1519.
Notas Consulte cualquier nota que usted u otros haya agregado al

incidente. Haga clic en Agregar nota para agregar una nota.
Correlaciones Es posible ver una lista de esos incidentes que comparten

atributos del incidente actual. Por ejemplo, se puede ver una
lista de todos los incidentes que una única cuenta generó.
La ficha Correlaciones muestra una lista de correlaciones
que coinciden con atributos únicos. Haga clic en los valores
de atributo para ver listas de incidentes que se relacionan
con esos valores.
Para buscar otros incidentes con los mismos atributos, haga
clic en Encontrar elementos similares. En el cuadro de
diálogo Encontrar incidentes similares que aparece,
seleccione los atributos deseados de búsqueda. A
continuación, haga clic en Buscar incidentes.
Nota: La lista de incidentes correlacionados no muestra los
incidentes relacionados que se ocultaron.

Instantánea de incidente de Network - Coincidencias

Debajo de la información de carácter general, Symantec Data Loss Prevention
muestra el contenido del mensaje (si es necesario) y las coincidencias que causaron
Instantánea de incidente de Network - Atributos
el incidente. Symantec Data Loss Prevention muestra los siguientes tipos de

contenido de mensaje, dependiendo del tipo de protocolo:
Protocolo Contenido del mensaje
SMTP Cuerpo del mensaje
HTTP Pares de valor de nombre de la solicitud

HTTP
FTP No se muestra nada
NNTP Cuerpo del mensaje
MI (todos los proveedores) Conversación de MI
TCP Datos que fueron transmitidos a través de un

protocolo personalizado
Las coincidencias se resaltan en amarillo y se ordenan según el componente del

mensaje (tal como encabezado, cuerpo o archivo adjunto) por el cual fueron
detectados. Symantec Data Loss Prevention muestra las coincidencias relevantes
totales para cada componente del mensaje. Muestra las coincidencias por el orden
en el cual aparecen en el texto original. Para ver la regla que activó una
coincidencia, haga clic en la coincidencia resaltada.
Instantánea de incidente de Network - Atributos

Nota: Esta sección aparece solamente si un administrador del sistema ha
configurado atributos personalizados.
Es posible ver una lista de atributos personalizados y de sus valores, si se han

especificado algunos. Haga clic en los valores de atributo para ver una lista de
incidentes que filtre en ese valor. Para agregar nuevos valores o editar los
existentes, haga clic en Editar. En el cuadro de diálogo Editar atributos que
aparece, escriba los nuevos valores y haga clic en Guardar.
Ver "Cómo configurar los valores de atributos personalizados manualmente"
en la página 1666.
Informe de resumen de red

El informe de resumen de red proporciona información de resumen sobre los
incidentes que se encuentran en la red. Es posible organizar el informe por uno o
dos criterios de resumen. Un informe de resumen único se organiza con un único
criterio de resumen, como la política que se asocia a cada incidente. Un informe
de resumen doble se organiza por dos criterios, como el estado de la política y del
incidente.
Para ver los criterios principales y los criterios de resumen secundarios disponibles
para el informe actual, haga clic en la barra Filtros avanzados y resúmenes. La
barra se encuentra cerca de la parte superior del informe. Las listas Resumir por:
muestran los criterios de resumen principales y secundarios. En cada cuadro de
lista, Symantec Data Loss Prevention muestra todos los criterios listos para usar
en orden alfabético, seguidos por cualquier criterio personalizado que el
administrador del sistema haya definido. Los informes de resumen toman su nombre
del criterio de resumen principal (valor del primer cuadro de lista). Si vuelve a
ejecutar un informe con nuevos criterios, el nombre del informe cambia en
consecuencia.
Las entradas de resumen se dividen en varias columnas. Haga clic en cualquier
una segunda vez.
Tabla 44-4 Columnas de informe de resumen
summary_criterion Esta columna lleva el nombre del criterio de

resumen principal. Enumera elementos de
resumen principales y (para los resúmenes
dobles) secundarios. En Resumen de política,
esta columna lleva el nombre Política y
enumera las políticas. Haga clic en un
elemento de resumen para ver una lista de
incidentes que se asocien a ese elemento.
Total El número total de incidentes que se asocian

al elemento de resumen. En Resumen de
política, esta columna indica el número total
de incidentes que se asocian a cada política.
Alta Número de incidentes de gravedad alta que

se asocian al elemento de resumen. (La
configuración de gravedad de la regla con la
que se estableció coincidencia determina la
gravedad del incidente).
Media Número de incidentes de gravedad media

que se asocian al elemento de resumen.
Baja Número de incidentes de gravedad baja que

se asocian al elemento de resumen.
Información El número de incidentes de información que

Gráfico de barras Una representación visual del número de

incidentes (de todas las gravedades)
asociados al elemento de resumen. La barra
se divide en secciones coloreadas y
proporcionales que representan las diversas
gravedades.
Coincidencias Número total de coincidencias asociadas al

elemento de resumen.
Si alguna de las columnas de gravedad contiene totales, se puede hacer clic en

ellos para ver una lista de incidentes de la gravedad elegida.
Ver "Acerca de informes y resúmenes ejecutivos del panel de información"
en la página 1587.
Capítulo 45
Endpoint
■ Acerca de las listas del incidente de endpoint
■ Instantánea de incidente de endpoint
■ Cómo informar sobre reglas de respuesta de Endpoint Prevent
■ Información específica de protocolo o destino de incidentes de endpoint
■ Informes de resumen de incidentes de endpoint
Acerca de las listas del incidente de endpoint

Una lista de incidentes de endpoint muestra los incidentes de endpoint que
contienen información básica, como protocolo o destino, gravedad, política asociada,
cantidad de coincidencias y estado. Haga clic en cualquier incidente para ver una
instantánea que contiene más detalles de incidentes. Es posible seleccionar
incidentes específicos (o grupos de incidentes) para modificar o para reparar.
Nota: Los informes de endpoints muestran solamente los incidentes que fueron
capturados por Endpoint Prevent. Los incidentes que fueron capturados por Endpoint
Discover aparecen en los informes de Network Discover.

encabezado de columna para ordenar de modo alfanumérico los datos en esa
enumera incidentes por fecha.
Cómo reparar incidentes de Endpoint 1542

■ Casillas de selección que le permiten seleccionar incidentes para reparar
Es posible seleccionar uno o más incidentes a los cuales aplicar comandos del
menú desplegable Incidente en la parte superior de la lista. Haga clic en la casilla
de selección en la parte superior de la columna para seleccionar todos los incidentes
en la página actual. (Es posible hacer clic en Seleccionar todo en el extremo
derecho para seleccionar todos los incidentes en el informe).
Tabla 45-1 Tipo del incidente de endpoint
Gráfico Tipo de incidente
Grabadora de CD/DVD (por ejemplo,

grabadora de Windows Media)
Soportes extraíbles (por ejemplo, una unidad

flash USB o tarjeta SD)
Unidad fija (por ejemplo, la unidad C:\)
Copia de endpoint a recurso compartido de

red
Correo electrónico/SMTP
HTTP
HTTPS
FTP
MI: MSN
MI: Yahoo
Imprimir/Enviar fax
Portapapeles
Gráfico Tipo de incidente
Acceso a archivo por aplicación
Una columna de respuesta que indica si Symantec Data Loss Prevention bloqueó
un intento de infracción o notificó al usuario final sobre la infracción de datos
confidenciales.
■ Espacio en blanco si Symantec Data Loss Prevention no bloqueó la infracción
ni notificó al usuario final
■ Un icono rojo indica que la infracción fue bloqueada por Symantec Data Loss
Prevention, por el usuario o si el límite de tiempo del usuario de la opción de
cancelación caducó.
■ Un icono de notificación indica que Symantec Data Loss Prevention notificó al
usuario final sobre las políticas infringidas de datos confidenciales. El icono de
notificación, además, aparece si el usuario permitió la transferencia de datos
en infracción. El icono, además, aparece si la opción de límite de tiempo de
cancelación del usuario ha caducado, y se configura la acción predeterminada
para permitir transferencias de datos.
Las otras columnas de esta sección aparecen de la siguiente manera:
Tabla 45-2 Columnas de incidentes de endpoint
Columna Definición
Nombre de Nombre de archivo, equipo, usuario de

archivo/equipo/usuario/asunto/destinatario endpoint (dominio y nombre de inicio de
sesión), título de asunto (si es una infracción
de electrónico/SMTP) y usuario del
destinatario que se asocia con el incidente
Cuando los archivos temporales generan

incidentes en los agentes de Mac, el nombre
del archivo temporal se muestra en la
columna Nombre de archivo.
Fecha de incidencia ■ Fecha y hora del incidente

■ Fecha en que fue informado
■ Hora y fecha en que el incidente fue
informado. Si el endpoint se desconecta
de la red corporativa, se informan los
incidentes cuando se restaura la
conexión.
Instantánea de incidente de endpoint
Columna Definición
Id./Política Número de Id. de incidente de Symantec

Data Loss Prevention y política respecto de
la cual el incidente fue registrado.
Coincidencias Cantidad de coincidencias en el incidente.
Gravedad Gravedad del incidente determinada según

la configuración de gravedad de la regla con
la cual el incidente coincidió.
■ Alta
■ Media
■ Baja
■ Para información solamente
Estado Estado actual del incidente.

■ Nuevo
■ En curso
■ Elevado
■ Falso positivo
■ Resuelto
Usted o su administrador pueden agregar nuevas designaciones de estado en la

página Configuración de atributos.

Una instantánea de incidente proporciona la información detallada sobre un incidente
determinado de Endpoint Prevent. Muestra información general del incidente,
coincidencias detectadas en el texto interceptado y detalles sobre atributos, historial
del incidente y la política infringida. Es posible también buscar incidentes similares
en el área Correlaciones.
Nota: Los incidentes de Endpoint Discover se capturan en informes de Network

Discover.
Ver "Listas de incidentes de Discover" en la página 1560.

El estado y la gravedad actuales aparecen en el título de la instantánea. Para
cambiar uno de los valores actuales, haga clic en él y elija otro valor de la lista
desplegable. Si cualquier icono de acción está asociado, también aparece aquí.
Si ha configurado cualquier regla de respuesta inteligente, Symantec Data Loss
Prevention muestra una barra Reparación (en la barra Estado). La barra Reparación
incluye las opciones para ejecutar las reglas. Según la cantidad de reglas de
respuesta inteligente, también puede aparecer un menú desplegable.
La sección superior izquierda de la instantánea muestra información general del
incidente. Es posible hacer clic en la mayoría de los valores de información para
ver una lista del incidente que filtre en ese valor. La información en esta sección
se divide en las categorías siguientes (no todas aparecen para cada tipo de
incidente):
Tabla 45-3 Tipo de incidente
Icono Tipo de incidente
Grabadoras de CD/DVD (por ejemplo,

grabadora de Windows Media)
Soportes extraíbles (por ejemplo, una unidad

flash USB o tarjeta SD)
Unidad local
Recurso compartido de red
Correo electrónico/SMTP
HTTP
HTTPS/SSL
FTP
Icono Tipo de incidente
MI: MSN
MI: Yahoo
Imprimir/Enviar fax
Portapapeles
Acceso a archivo de aplicación
La tabla siguiente contiene las otras secciones informativas:
Tabla 45-4 Secciones del incidente
Sección Descripción
Servidor Nombre del servidor de endpoints que

detectó el incidente para la detección de dos
niveles. También es el nombre del servidor
de endpoints que recibió el incidente del
Agente Symantec DLP.
Respuesta del agente La acción de bloqueo de endpoint,

notificación a endpoint, cuarentena de
endpoint, Endpoint FlexResponse o
cancelación por el usuario, si hay alguna. Los
valores posibles son los siguientes:
■ Espacio en blanco o ningún icono si

Symantec Data Loss Prevention no
bloqueó la copia ni notificó al usuario final.
■ Un icono circular rojo indica que
Symantec Data Loss Prevention bloqueó
■ Un icono de mensaje indica que
Symantec Data Loss Prevention notificó
al usuario final que los datos son
confidenciales.
Consulte la elaboración de informes sobre

las reglas de respuesta de Endpoint Prevent.
Fecha de incidencia del incidente Fecha y hora de incidencia del incidente.
Incidente informado el Fecha y hora en que el servidor de endpoints

detectó el incidente.
Está oculto Muestra el estado oculto del incidente,

independientemente de que el incidente se
pueda ocultar o no, y permite que se alterne
el indicador No ocultar para el incidente. Ver
"Acerca de ocultar el incidente"
en la página 1648.
Usuario Nombre de usuario de endpoint (por ejemplo,

MYDOMAIN\bsmith).
Justificación del usuario La etiqueta de justificación precede según el

texto que se presenta al usuario final en la
notificación en pantalla (por ejemplo,
Administrador aprobado: “Mi administrador
aprobó la transferencia de estos datos”).
Symantec Data Loss Prevention usa la
etiqueta con fines de clasificación y filtro en
informes, pero el usuario de endpoint nunca
la ve. Haga clic en la etiqueta para ver una
lista de incidentes en los cuales el usuario
final eligió esta justificación.
Nombre del equipo Equipo en el cual ocurrió el incidente.
IP del equipo (corporativo) La dirección IP del equipo que infringe, si el

equipo estaba en la red corporativa.
Nombre de archivo Nombre de archivo que infringió la política.

El campo Nombre de archivo aparece
solamente para los incidentes de unidad
reparada.
Resultado de cuarentena Si tiene reglas de respuesta de Endpoint

Discover: Cuarentena configuradas, se puede
ver una de las siguientes situaciones de
cuarentena:
■ Archivo puesto en cuarentena

■ Error en la puesta en cuarentena
■ Tiempo de espera de resultado de
cuarentena
Ubicación de cuarentena Muestra la ruta del archivo de la ubicación

segura donde el archivo fue movido.
Detalles de cuarentena Muestra el motivo por el que la tarea de

cuarentena no pudo mover el archivo
confidencial. Por ejemplo, la acción puede
fallar porque el archivo de origen falta o las
credenciales para acceder a la ubicación
segura son incorrectas.
El archivo Detalles de cuarentena, además,

muestra información si el estado del archivo
en cuarentena es desconocido debido a un
evento de Tiempo de espera de resultado de
cuarentena.
Ubicación del endpoint Indica si el endpoint estaba conectado a la

red corporativa cuando ocurrió el incidente.
Nombre de la aplicación El nombre de la aplicación que causó el

incidente.
Destino La ruta de la ubicación o del archivo de

destino para los datos confidenciales, según
el dispositivo o el protocolo.
IP de destino La dirección IP de destino para los datos

confidenciales. La dirección IP de destino
aparece solamente para los incidentes de
red específicos.
Origen El archivo o los datos originales de la

infracción. El origen aparece sobre todo en
incidentes de transferencia de archivos.
Remitente El remitente de los datos confidenciales para

las infracciones de red.
Destinatario El destinatario previsto de los datos

confidenciales para las infracciones de red.
Nombre de usuario FTP El nombre de usuario de origen que infringe

transferencias por FTP.
Archivos adjuntos Los archivos o los archivos adjuntos

asociados enviados (para los incidentes de
red). Si su administrador ha configurado
Symantec Data Loss Prevention para
conservar datos de incidente de endpoint, se
puede hacer clic en un nombre de archivo
para ver contenidos del archivo.
Propietario de datos El propietario especificado de los datos

confidenciales.
Dirección de correo electrónico del propietario La dirección de correo electrónico para el

de datos propietario de los datos confidenciales.
Información de acceso La información disponible de ACL. Solamente

aplicable a la supervisión de unidades locales
de Endpoint Discover y Endpoint Prevent.
Ver "Sección de información de acceso a

instantánea de incidente" en la página 1627.
Otras secciones de la instantánea de incidente son comunes en todos los productos

Symantec Data Loss Prevention. Estas secciones comunes incluyen:
■ Coincidencias de instantánea de incidente
Ver "Sección de coincidencias de instantánea de incidente" en la página 1626.
■ Sección de política de instantánea de incidente
Ver "Sección de política de instantánea de incidente" en la página 1626.
■ Sección de correlaciones de instantánea de incidente
Ver "Ficha de correlaciones de instantánea de incidente" en la página 1625.
■ Sección de atributos de instantánea de incidente. (Esta sección aparece
solamente si un administrador del sistema ha configurado atributos
personalizados).
■ Sección de historial de instantánea de incidente
Ver "Ficha de historial de instantánea de incidente" en la página 1624.
La instantánea de incidente de endpoint, además, contiene dos secciones que no
son comunes en otras líneas de productos. Esas secciones son:
■ Información específica de protocolo o destino
Ver "Información específica de protocolo o destino de incidentes de endpoint"
en la página 1551.
Cómo informar sobre reglas de respuesta de Endpoint Prevent
■ Cómo informar sobre reglas de respuesta de Endpoint Prevent

Ver "Cómo informar sobre reglas de respuesta de Endpoint Prevent"
en la página 1550.
Cómo informar sobre reglas de respuesta de Endpoint

Prevent
Si la actividad de usuario en el endpoint activa más de una regla de respuesta,
Symantec Data Loss Prevention determina qué política aplicar según un orden de
precedencia establecido. Solamente se ejecuta la regla de respuesta que se asocia
a la política que prevalece. Symantec Data Loss Prevention crea incidentes para
todas las políticas que se infrinjan. Indica (en la instantánea de incidente relevante)
que las reglas de respuesta fueron sustituidas.
De forma predeterminada, la lista siguiente es el orden de precedencia principal
para los incidentes de Endpoint Prevent:
■ Regla de respuesta
■ Cancelado por el usuario
■ Endpoint FlexResponse
■ Notificar
Nota: Para Endpoint Discover, los incidentes de cuarentena siempre toman

precedencia sobre los incidentes de Endpoint FlexResponse.
Tenga en cuenta el siguiente comportamiento con respecto a la elaboración de

informes de incidentes sustituidos:
■ Las instantáneas de un incidente sustituido de bloqueo de endpoint o cancelado
por el usuario aún muestran el icono Bloqueado porque Symantec Data Loss
Prevention bloqueó el contenido en cuestión. El icono, además, indica si el
contenido fue bloqueado porque el usuario eligió bloquear el contenido.
Alternativamente, el icono indica que el límite de tiempo de cancelación del
usuario fue excedido y que el contenido fue bloqueado.
■ Las instantáneas de un incidente sustituido de notificación a endpoint no incluyen
el icono Notificar. El icono Notificar no está incluido porque Symantec Data
Loss Prevention no mostró la notificación en pantalla determinada que fue
configurada en la política.
Información específica de protocolo o destino de incidentes de endpoint
■ Las instantáneas de un incidente sustituido de cuarentena de endpoint muestran

el icono Bloqueado porque los datos no se movieron del área asegurada. El
icono, además, indica si el contenido fue bloqueado porque el usuario eligió
bloquear el contenido. Alternativamente, el icono indica que el límite de tiempo
de cancelación del usuario fue excedido y que el contenido fue bloqueado. La
ficha Historial de la instantánea de incidente muestra siempre información sobre
si la regla de Endpoint FlexResponse fue satisfactoria.
■ Las instantáneas de un incidente sustituido de Endpoint FlexResponse muestran
el icono Bloqueado porque los datos no se movieron del área asegurada. El
icono, además, indica si una regla de respuesta de cuarentena de endpoint fue
activada.
Si ha configurado reglas de respuesta de Endpoint Prevent para mostrar
notificaciones en pantalla que indiquen a los usuarios que justifiquen sus acciones,
las declaraciones siguientes son verdaderas:
■ Symantec Data Loss Prevention muestra la justificación de usuario en los
detalles de todos los incidentes generados por las políticas que incluyen la regla
de respuesta ejecutada.
■ Symantec Data Loss Prevention muestra la justificación Sustituido - Sí en las
instantáneas de todos los incidentes sustituidos que no incluyen la regla de
respuesta ejecutada.
■ Si no hay ningún usuario que especifique una justificación, por ejemplo, si un
usuario accede a un equipo remoto, la alineación muestra N/D.
Información específica de protocolo o destino de

incidentes de endpoint
Según el tipo de incidente, la información adicional que se asocia a la instantánea
de incidente es visible.
Tabla 45-5 Información específica de protocolo o destino
Destino o protocolo Descripción
URL Para los incidentes de red, denota la URL

donde ocurrió el incidente.
Información específica de protocolo o destino de incidentes de endpoint
Puerto y dirección IP de origen Para los incidentes de red, denota la

dirección IP o el puerto del endpoint que
originó el incidente. Esta información se
muestra solamente si el incidente se crea en
este endpoint.
Puerto y dirección IP de destino La dirección IP del endpoint de destino que

se asocia al incidente. Esta información se
muestra solamente si el incidente se crea en
este endpoint.
Correo electrónico de remitente/destinatario Para los incidentes de correo

electrónico/SMTP y de MI, los incidentes,
además, contienen las direcciones de correo
electrónico del remitente y del destinatario.
La dirección de correo electrónico del
remitente o del destinatario solamente se
muestra si el incidente ocurre en ellos.
Asunto La línea de asunto del mensaje de correo

electrónico/SMTP se muestra.
Nombre de usuario de FTP en el destino de Para los incidentes de FTP, se muestra el

FTP nombre de usuario en el destino de FTP.
IP del servidor Para los incidentes de FTP, se muestra la

dirección IP del servidor.
Ubicación/nombre de archivo Para los incidentes de impresión/fax, se

muestra el nombre de archivo y la ubicación
del archivo en el endpoint.
Nombre de trabajo de impresión Para los incidentes de impresión/fax, el

nombre del trabajo de impresión es el nombre
de archivo del trabajo de impresión que
generó el incidente.
Tipo/nombre de impresora Para los incidentes de impresión/fax, el tipo

y el nombre de impresora se muestran
solamente si no se le puede dar un nombre
al archivo mediante el nombre de trabajo de
impresión. O si el archivo fue generado a
partir de un navegador de Internet.
Informes de resumen de incidentes de endpoint
Ventana de la aplicación Para los incidentes de Portapapeles, la

ventana de la aplicación es el nombre de la
aplicación desde la cual los contenidos del
Portapapeles se tomaron.
Aplicación de origen Para los incidentes del Portapapeles, el

nombre de aplicación desde el cual los
contenidos de Portapapeles fueron tomado.
Título de la ventana de la aplicación de origen Para los incidentes del Portapapeles, el

nombre de la ventana de la aplicación desde
el cual los contenidos del Portapapeles fueron
tomados.
Barra de título Para los incidentes del Portapapeles, la barra

de título es la ventana desde la cual los datos
fueron copiados.

Los informes resumidos de incidentes de endpoint proporcionan información sobre
esos incidentes de endpoint que ha sido resumida según criterios específicos. Es
posible resumir incidentes de uno o más tipos de criterios. Un informe de resumen
único se organiza con un único criterio de resumen, como la política que se asocia
a cada incidente. Un informe de resumen doble se ordena según dos o más criterios,
como el estado de la política y del incidente.
Nota: Los informes de endpoint muestran solamente los incidentes que son
capturados por Endpoint Prevent. Los incidentes de Endpoint Discover aparecen
en los informes de Network Discover.
Para ver los criterios de resumen principales y secundarios disponibles para el

informe, vaya al vínculo Resumir por. Haga clic en Editar. En los menús
desplegables Principal y secundario, Symantec Data Loss Prevention muestra
todos los criterios en orden alfabético, seguidos por criterios personalizados que
su administrador del sistema definió. Es posible seleccionar criterios de los menús
desplegables Principal y secundario y, después, hacer clic en Ejecutar ahora
para crear un nuevo informe de resumen. Los informes de resumen toman su
nombre del criterio de resumen principal. Si vuelve a ejecutar un informe con nuevos
criterios, el nombre del informe cambia en consecuencia.
Ver "Acerca de los filtros y las opciones de resumen para los informes"
en la página 1628.
Las entradas de resumen se dividen en varias columnas. Haga clic en cualquier
una segunda vez.
Tabla 45-6 Detalles del informe de resumen de incidentes de endpoint
Campo Descripción
Criterios de resumen Esta columna contiene el nombre del criterio

de resumen que usted seleccionó. Si
selecciona criterios de resumen principales
y secundarios, solo se muestran los criterios
principales.
Total Número total de los incidentes asociados al

elemento de resumen. Por ejemplo, en un
Resumen de política, esta columna da el
número total de incidentes que se asocian a
cada política.
Alta Número de incidentes de gravedad alta que

se asocian al elemento de resumen. (La
configuración de la gravedad de la regla que
coincidió determina el nivel de gravedad).
Media Número de incidentes de gravedad media

que se asocian al elemento de resumen.
Baja Número de incidentes de gravedad baja que

Información Número de los incidentes informativos que

Gráfico de barras Una representación visual del número de

incidentes (de todas las gravedades)
asociados al elemento de resumen. La barra
se segmenta en secciones coloreadas
proporcionales que representan las diversas
gravedades.
Campo Descripción
Coincidencias Número total de coincidencias asociadas al

elemento de resumen.
Si alguna de las columnas de gravedad
contiene totales, se puede hacer clic en ellos
para ver una lista de incidentes de la
gravedad elegida.
Capítulo 46
Discover
■ Acerca de los informes para Network Discover
■ Acerca de los informes de incidentes para Network Discover/Cloud Storage

Discover
■ Informes de incidentes de detección
■ Listas de incidentes de Discover
■ Acciones de incidentes de Discover
■ Entradas de incidentes de Discover
■ Instantánea de incidente de Discover
■ Informes de resumen de Discover
Acerca de los informes para Network Discover

Symantec Data Loss Prevention tiene informes para los incidentes, los destinos
de Network Discover/Cloud Storage Discover, los detalles del análisis y el historial
de análisis.
Los informes de incidentes de Network Discover/Cloud Storage Discover contienen
los detalles de los datos confidenciales que se exponen.
Ver "Acerca de los informes de incidentes para Network Discover/Cloud Storage
Cómo reparar incidentes de Discover 1557
Acerca de los informes para Network Discover
Para obtener información sobre los destinos y el historial de análisis de Network

Discover/Cloud Storage Discover, vaya a Administrar > Análisis de detección
> Destinos de Discover y seleccione uno de los destinos de Discover de la lista.
Para obtener información sobre los detalles de análisis de Network Discover/Cloud
Storage Discover, vaya a Administrar > Análisis de detección > Historial de
destinos y seleccione uno de los destinos de Discover de la lista.
Ver "Administrar análisis de destinos de Network Discover/Cloud Storage Discover"
en la página 1815.
Tabla 46-1enumera los informes de Network Discover/Cloud Storage Discover.
Tabla 46-1 Informes de Network Discover/Cloud Storage Discover
Informe Navegación
Destinos de Network Este informe está en la consola de administración de Enforce

Discover/Cloud Server, en el menú Administrar, Análisis de detección >
Storage Discover Destinos de Discover.
Ver "Acera de la lista de destinos de análisis de Network

Discover/Cloud Storage Discover" en la página 1816.
Estado del análisis Este informe está en la consola de administración de Enforce

Server, en el menú Administrar, Análisis de Discover >
Servidores de descubrimiento.
Ver "Visualización de estado del servidor Network Discover/Cloud

Historial de análisis Este informe es de la consola de administración de Enforce Server,

(un solo destino) en el menú Administrar, Análisis de detección > Destinos de
Discover. Haga clic en el vínculo en la columna Estado del
análisis para ver el historial de un destino de análisis determinado.
Ver "Acerca de los historiales de análisis de Network

Historial de análisis Este informe es de la consola de administración de Enforce Server,

(todos los destinos) en el menú Administrar, Análisis de detección > Historial de
análisis.
Ver "Acerca de los historiales de análisis de Network

Acerca de los informes de incidentes para Network Discover/Cloud Storage Discover
Informe Navegación
Detalles del análisis Este informe es de la consola de administración de Enforce Server,

en el menú Administrar, Análisis de detección > Historial de
análisis. Haga clic en el vínculo en la columna Estado del análisis
para ver los detalles del análisis.
Ver "Acerca de los detalles de los análisis de Network

Acerca de los informes de incidentes para Network

Discover/Cloud Storage Discover
Use los informes de incidentes para realizar un seguimiento de incidentes de
Network Discover/Cloud Storage Discover y para responderlos. Es posible guardar,
enviar, exportar o programar informes de Symantec Data Loss Prevention.
En la consola de administración de Enforce Server, en el menú Incidentes, haga
clic en Discover. Este informe de incidentes muestra todos los incidentes para
todos los destinos de Discover. Es posible seleccionar los informes estándar para
todos los incidentes, los nuevos incidentes, el resumen de destino, la política por
el destino, el estado por el destino o los recursos compartidos de mayor importancia
en peligro.
Las opciones de resúmenes y filtros pueden seleccionar los incidentes para mostrar.
Ver "Acerca de informes y paneles de información personalizados" en la página 1597.
en la página 1628.
Es posible crear informes personalizados con combinaciones de filtros y de
resúmenes para identificar los incidentes para reparar.
Por ejemplo puede crear los informes siguientes:
■ Un informe de resumen del número de incidentes en cada categoría de
reparación.
Seleccione el resumen Estado de protección.
■ Un informe de todos los incidentes que fueron reparados con copia o cuarentena.
Seleccione el filtro Estado de protección con valores de Archivo copiado y
de Archivo puesto en cuarentena.
Informes de incidentes de detección
■ Un informe de los incidentes de Network Discover que no se vieron antes (para

identificar estos incidentes y notificar a los propietarios de los datos para que
los reparen).
Seleccione el filtro ¿Lo vio antes?. Configure un valor de No.
■ Un informe de los incidentes de Network Discover que están todavía presentes
(para saber qué incidentes elevar para la reparación).
Seleccione el filtro ¿Lo vio antes?. Configure un valor de Sí.
■ Un informe que usa los filtros de resumen, tales como meses desde la primera
detección.
Seleccione el resumen Meses desde la primera detección.
Informes de incidentes de detección

Use los informes de incidentes de Network Discover/Cloud Storage Discover para
supervisar y responder a los incidentes de Network Discover/Cloud Storage
Discover. Es posible guardar, enviar, exportar o programar informes de Symantec
clic en Discover. Este informe de incidentes muestra todos los incidentes para
todos los destinos de Discover. Es posible seleccionar los informes estándar para
todos los incidentes, los nuevos incidentes, el resumen de destino, la política por
el destino, el estado por el destino o los recursos compartidos de mayor importancia
en peligro.
Ver "Opciones de resumen y filtro de informes de incidentes" en la página 1622.
resúmenes para identificar los incidentes para reparar.
Network Discover tiene los siguientes tipos de informes:
■ Lista de incidentes
■ Instantánea de incidente
■ Resumen de incidentes
Ver "Informes de resumen de Discover" en la página 1567.
Listas de incidentes de Discover
Listas de incidentes de Discover

Una lista de incidentes de Discover muestra los incidentes que se informan durante
los análisis de Discover (incluyendo incidentes de Endpoint Discover). Los registros
de incidentes individuales contienen información, como gravedad, política asociada,
cantidad de coincidencias y estado.
Ver " Entradas de incidentes de Discover" en la página 1561.
Es posible seleccionar incidentes específicos (o grupos de incidentes) para modificar
o para reparar.
Ver "Acciones de incidentes de Discover" en la página 1560.
Es posible hacer clic en cualquier incidente para ver una instantánea que contenga
más detalles.
Ver "Informes de incidentes de detección" en la página 1559.
Acciones de incidentes de Discover

Es posible seleccionar uno o más incidentes y, después, repararlos usando
comandos en la lista desplegable Acciones del incidente.
Los comandos de incidentes son los siguientes:
■ Agregar nota
Seleccione para abrir un cuadro de diálogo, escriba un comentario y, después,
Seleccione para eliminar incidentes especificados.
■ Exportar selec.: CSV
Seleccione para guardar incidentes especificados en un archivo de texto
separado por comas (.csv), que se puede mostrar en varias aplicaciones
■ Exportar selec.: XML
Seleccione para guardar incidentes específicos en un archivo XML, que se
puede mostrar en varias aplicaciones comunes.
■ Ocultar/Mostrar
Seleccione una de las siguientes acciones para configurar el estado de
visualización de los incidentes seleccionados:
■ Ocultar incidentes : indica los incidentes seleccionados como ocultos.
Entradas de incidentes de Discover
■ No ocultar incidentes : restaura los incidentes seleccionados al estado no

oculto.
■ No ocultar : evita que los incidentes seleccionados estén ocultos.
■ Evitar ocultar : permite que los incidentes seleccionados estén ocultos.
■ Establecer atributos
Seleccione para configurar los atributos de los incidentes seleccionados.
■ Configurar propietario de los datos
Configure la dirección de correo electrónico o el nombre del propietario de los
datos. El propietario de los datos es la persona responsable de reparar el
incidente.
Los informes se pueden enviar automáticamente al propietario de los datos
■ Definir estado
Seleccione para establecer el estado.
■ Definir la gravedad
Seleccione para configurar la gravedad.
■ Buscar atributos
Use los complementos de búsqueda para buscar atributos personalizados de
incidentes.
■ Ejecutar respuesta inteligente
Seleccione para ejecutar una regla de respuesta inteligente que su administrador
o usted configuró.

una segunda vez.
■ Casillas de selección que le permiten seleccionar incidentes para reparar.
Es posible seleccionar uno o más incidentes a los cuales aplicar comandos
desde el menú desplegable Acciones del incidente.
Haga clic en la casilla de selección en la parte superior de la columna o haga

clic en Seleccionar todo para seleccionar todos los incidentes en la página
actual.
Nota: Sea cuidadoso cuando use Seleccionar todo. Esta opción selecciona
todos los incidentes en el informe, no solo los de la página actual. Cualquier
comando de incidente que se aplique posteriormente afecta todos los incidentes.
Es conveniente configurar la propiedad maximum-incident-batch-size para
limitar la cantidad de incidentes que un complemento de Server FlexResponse
procesa al mismo tiempo.
Ver "Cómo agregar un complemento de Server FlexResponse al archivo de
propiedades de los complementos" en la página 1845.
■ Tipo
Tipo de destino en el cual la coincidencia fue detectada.
Un icono representa cada tipo de destino.
Esta columna además muestra un icono de reparación si cualquier regla de
respuesta se aplicó.
Espacio en blanco si ninguna regla de respuesta se aplicó
Copiado
En cuarentena
Error de reparación
Cuando usa una acción de Server FlexResponse para una regla de respuesta
inteligente o automatizada, puede aparecer uno de los siguientes iconos:
Este incidente fue correctamente reparado usando una acción de Server

FlexResponse.
La acción de Server FlexResponse está en proceso.
La acción de Server FlexResponse tiene un error.
Estos mismos iconos también pueden aparecer para otros tipos de incidente y
se pueden ejecutar las acciones de Server FlexResponse en esos incidentes.
■ Ubicación/destino/análisis
Ubicación del repositorio o del archivo, nombre de destino y fecha y hora del
análisis más reciente.
■ Propietario del archivo
Nombre de usuario del propietario del archivo (por ejemplo,
MIDOMINIO\Administrador).
■ Id./Política
El número del incidente de Symantec Data Loss Prevention y la política que el
incidente infringió.
■ Coincidencias
Cantidad de coincidencias en el incidente.
■ Gravedad
Los valores posibles son:
Alta
Media
Baja
■ Estado
El estado actual del incidente.
■ Nuevo
■ En curso
■ Elevado
■ Falso positivo
■ Resuelto
El icono siguiente se puede mostrar cerca del estado si este incidente fue
considerado antes:
Se muestra este icono si este incidente tiene un incidente conectado

anterior.
Instantánea de incidente de Discover
Usted o su administrador pueden agregar nuevas designaciones de estado en

la página Configuración de atributos.

en el contenido y detalles sobre atributos, historial del incidente y la política. Es
posible también buscar incidentes similares en el área Correlaciones.
desplegable.
Use los iconos de la parte superior derecha para imprimir el informe o enviarlo
como correo electrónico. Para enviar informes, usted o su administrador debe
primero habilitar la distribución de informes en la configuración del sistema.
en la página 192.
Si se configuran algunas reglas de respuesta inteligente, Symantec Data Loss
Prevention muestra una barra de reparación que incluye botones para ejecutar las
reglas. Según la cantidad de reglas de respuesta inteligente, también puede
aparecer un menú desplegable.
Los datos de incidentes se dividen en las secciones siguientes:
■ Ficha Información de clave
■ Coincidencias de políticas
■ Detalles del incidente
Los detalles siguientes están incluidos:
Servidor Nombre del servidor de Discover que detectó el incidente.
Estado de El último estado de reparación del archivo que generó el

detección de incidente.
reparación
Destino Nombre de destino de Network Discover.

Análisis La fecha y la hora del análisis que registró el incidente.
Fecha de La fecha y la hora en que el incidente fue detectado.

detección
Estado de Para los incidentes de Box, se muestra el estado de reparación

protección del contenido que generó el incidente.
Visto antes No, si este incidente no fue detectado previamente. Sí, si este
incidente fue detectado previamente.
Asunto Asunto del correo electrónico para los análisis integrados de

Exchange.
Remitente Remitente del correo electrónico para los análisis integrados

de Exchange.
Destinatario Destinatario del correo electrónico para los análisis integrados

de Exchange.
Ubicación del Ubicación del archivo, del repositorio o del elemento.

archivo
Haga clic en Ir al archivo para ver el elemento o el archivo o
en Ir al directorio para ver el directorio. Si ve un incidente de
Endpoint Discover, no ve los vínculos Ir al archivo o Ir al
directorio.
Está oculto Muestra el estado oculto del incidente, independientemente

de si el incidente se puede ocultar, y le permite alternar el
indicador No ocultar para el incidente. Ver "Acerca de ocultar
el incidente" en la página 1648.
URL Para SharePoint, esta URL es el elemento del servidor de

SharePoint. Haga clic en esta URL para ir al elemento del
servidor de SharePoint.
Nombre del Nombres del archivo o del elemento

documento
Propietario del Creador del archivo o del elemento.

archivo
Para los detalles del incidente de SharePoint y de Exchange
el Propietario del archivo se muestra como desconocido
porque no es aplicable a estos tipos de destino.
Fecha de Fecha en que se ejecutó el adaptador de destino personalizado

extracción (en el navegador Firefox, estos vínculos no funcionan sin
configuración adicional.
Se aplica a los destinos personalizados solamente).

Equipo analizado Nombre del host del equipo analizado.
Para SharePoint este nombre es el nombre de aplicación web.
Base de datos de Nombre de la base de datos de IBM (Lotus) Notes [se aplica
notas a IBM (Lotus) Notes solamente].
Archivo creado La fecha y la hora en que el archivo o el elemento fueron

creados.
Última Fecha y hora de la última modificación al archivo o al elemento.

modificación
Último acceso Fecha y hora del último acceso de usuario al archivo o al

elemento.
Para SharePoint, esta fecha es no válida.
Creado por El usuario que creó el archivo.
Modificado por El usuario que modificó el archivo por última vez.
Nombre de La persona responsable de reparar el incidente. Este campo

propietario de debe configurarse manualmente o con un complemento de
datos búsqueda.
Los informes se pueden enviar automáticamente al propietario

Si hace clic en el hipervínculo Nombre de propietario de

datos, una lista filtrada de incidentes por Nombre de
Dirección de La dirección de correo electrónico de la persona responsable

correo electrónico de reparar el incidente. Este campo debe configurarse
del propietario de manualmente o con un complemento de búsqueda.
datos
Si hace clic en el hipervínculo Dirección de correo
electrónico del propietario de datos, una lista filtrada de
incidentes por Dirección de correo electrónico del propietario
de datos se muestra.
■ Información de acceso
Ver "Sección de información de acceso a instantánea de incidente"
en la página 1627.
Para los detalles del incidente de SharePoint, los niveles de permiso
muestran los permisos de SharePoint, por ejemplo, Contribuir o Diseñar.
La lista en la instantánea de incidente muestra solamente las primeras 50
entradas. Todas las entradas de ACL se pueden exportar a un archivo CSV.
Informes de resumen de Discover
Los permisos están separados por comas. No se registran ni se muestran

los usuarios o los grupos con niveles de permiso de acceso limitado.
Nota: Si está analizando un repositorio de SharePoint sin usar la solución

de SharePoint, la instantánea de incidente no mostrará ninguna información
de los permisos de SharePoint.
Las instantáneas de incidentes de Box muestran información de la carpeta

colaborativa, incluidos los colaboradores y sus roles.
■ Información de vínculo compartido
Las instantáneas de incidente del almacenamiento en la nube muestran
información de vínculo compartido, incluido si un vínculo se comparte, si
está protegido mediante contraseña, si se puede descargar y la fecha de
caducidad del vínculo.
■ Cuerpo del mensaje
Para un elemento de la lista de SharePoint, el cuerpo del mensaje muestra
los pares de nombre y de valor en la lista.
■ Atributos
Ver "Sección de atributos de instantáneas de incidente" en la página 1625.
■ Ficha Historial
■ Ficha Notas
La ficha Notas muestra cualquier nota para este incidente.
■ Ficha Correlaciones
■ Coincidencias y contenido del archivo

Los informes de resumen de detección proporcionan información resumida sobre
los incidentes que se encuentran durante los análisis de detección.
Si está ejecutando Endpoint Discover, los informes de resumen de detección
además incluyen los incidentes de Endpoint Discover.
Es posible filtrar o resumir las opciones en los informes.
Es posible extraer la información del informe en formatos seleccionados.

Es posible hacer clic en los elementos resaltados, tales como las entradas en la
columna Totales, para ver los detalles.
Los iconos proporcionan navegación a través de informes extensos.
Ver "Navegación de página en informes de incidente" en la página 1621.
Capítulo 47
Utilización de incidentes del
conector de nube
■ Acerca de los informes de incidentes de aplicaciones
■ Lista de incidentes de la aplicación
■ Entradas de incidentes de aplicaciones
■ Acciones de incidentes de aplicaciones
■ Instantánea de incidente de aplicaciones
■ Informes de resumen de aplicaciones
Acerca de los informes de incidentes de aplicaciones

Use los informes de incidentes de aplicaciones para supervisar y administrar los
incidentes del conector en la nube. Es posible guardar, enviar, exportar o programar
informes de Symantec Data Loss Prevention.
clic en Aplicaciones. Este informe de incidentes muestra todos los incidentes para
todos los conectores de nube.
Es posible filtrar previamente sus informes de incidentes de aplicaciones por los
tipos Datos en reposo y Datos en movimiento:
■ Incidentes > Aplicaciones > Datos en reposo
■ Incidentes > Aplicaciones > Datos en movimiento
Es posible seleccionar los informes estándar siguientes para todos los incidentes:
Utilización de incidentes del conector de nube 1570
Acerca de los informes de incidentes de aplicaciones
■ Incidentes - Todos
Muestra una lista de todos los incidentes.
Ver "Lista de incidentes de la aplicación" en la página 1571.
■ DIM: Incidentes: Todos
Muestra una lista de todos los incidentes de datos en movimiento (DIM).
■ DIM: Incidentes: Nuevos
Muestra una lista de todos los incidentes de DIM con un estado Nuevo.
■ DIM: Resumen de políticas
Muestra un resumen de los incidentes de DIM por política.
Ver "Informes de resumen de aplicaciones" en la página 1579.
■ DIM: Estado por política
Muestra un resumen de los incidentes de DIM por el estado de la política y del
incidente.
■ DIM: Usuarios con riesgo alto: Últimos 30 días
Muestra un resumen de los incidentes de DIM asociados a los usuarios de alto
riesgo en los últimos 30 días.
■ DAR: Incidentes: Todos
Muestra una lista de todos los incidentes de datos en reposo (DAR).
■ DAR: Incidentes: Nuevos
Muestra una lista de todos los incidentes de DAR con un estado Nuevo.
■ DAR: Resumen de aplicaciones
Muestra un resumen de los incidentes de DAR por aplicación de la nube.
■ DAR: Resumen de políticas
Muestra un resumen de los incidentes de DAR por política.
■ DIM: Estado por aplicación
Muestra un resumen de los incidentes de DAR por el estado y la aplicación de
la nube.
■ DAR: Usuarios con riesgo alto
Lista de incidentes de la aplicación
Muestra un resumen de los incidentes de DAR asociados a los usuarios de alto

riesgo.
resúmenes para supervisar los incidentes.
Los conectores de nube tienen los siguientes tipos de informes:
■ Lista de incidentes
■ Instantánea de incidente
Ver "Instantánea de incidente de aplicaciones" en la página 1574.
■ Resumen de incidentes
Lista de incidentes de la aplicación

Una lista de incidentes de aplicaciones muestra los incidentes que informa un
conector del servicio en la nube. Los registros de incidentes individuales contienen
información, como gravedad, política asociada, cantidad de coincidencias y estado.
Ver "Entradas de incidentes de aplicaciones" en la página 1571.
Es posible seleccionar incidentes específicos (o grupos de incidentes) para modificar
o para administrar.
Ver "Acciones de incidentes de aplicaciones" en la página 1573.
Es posible hacer clic en cualquier incidente para ver una instantánea que contenga
más detalles.
Ver "Instantánea de incidente de aplicaciones" en la página 1574.
Ver "Acerca de los informes de incidentes de aplicaciones" en la página 1569.
Entradas de incidentes de aplicaciones

encabezado de columna para ordenar de modo alfanumérico los datos en esa
una segunda vez.
Entradas de incidentes de aplicaciones

■ Casillas de selección que le permiten seleccionar incidentes para administrar.
Es posible seleccionar uno o más incidentes a los cuales aplicar comandos
desde el menú desplegable Acciones del incidente.
Haga clic en la casilla de selección en la parte superior de la columna o haga
clic en Seleccionar todo para seleccionar todos los incidentes en la página
actual.
Nota: Sea cuidadoso cuando use Seleccionar todo. Esta opción selecciona
todos los incidentes en el informe, no solo los de la página actual. Cualquier
comando de incidente que se aplique posteriormente afecta todos los incidentes.
■ Tipo de datos
Especifica si el incidente es de Conector de DAR o de Conector de DIM.
■ Ubicación/Aplicación/Fecha de detección
La ubicación de los datos confidenciales, la aplicación con la cual el incidente
es asociado y la fecha en la cual la infracción de políticas fue detectada.
■ Usuario
Muestra la información del usuario asociado al incidente, si es necesario.
■ Id./Política
El número del incidente de Symantec Data Loss Prevention y la política que el
incidente infringió.
■ Coincidencias
Cantidad de coincidencias en el incidente.
■ Gravedad
Alta
Media
Baja
■ Estado
Acciones de incidentes de aplicaciones
El estado actual del incidente. Los valores posibles son:

■ Nuevo
■ En curso
■ Elevado
■ Falso positivo
■ Resuelto
Acciones de incidentes de aplicaciones

Es posible seleccionar uno o más incidentes y, después, administrarlos usando
comandos en la lista desplegable Acciones del incidente.
Los comandos de incidentes son los siguientes:
■ Agregar nota
Seleccione para abrir un cuadro de diálogo, escriba un comentario y, después,
Seleccione para eliminar incidentes especificados.
■ Exportar selec.: CSV
Seleccione para guardar incidentes especificados en un archivo de texto
separado por comas (.csv), que se puede mostrar en varias aplicaciones
■ Exportar selec.: XML
Seleccione para guardar incidentes específicos en un archivo XML, que se
puede mostrar en varias aplicaciones comunes.
■ Marca aceptada
Seleccione para configurar el estado de reparación en Aceptado.
■ Ejecutar respuesta inteligente
Seleccione para ejecutar las reglas de respuesta inteligente Poner en
cuarentena o Restaurar archivo.
■ Ocultar/Mostrar
Seleccione una de las siguientes acciones para configurar el estado de
visualización de los incidentes seleccionados:
Instantánea de incidente de aplicaciones

oculto.
■ Establecer atributos
Seleccione para configurar los atributos de los incidentes seleccionados.
■ Configurar propietario de los datos
Seleccione para configurar el propietario de datos según su nombre de usuario
o su dirección de correo electrónico.
■ Definir la gravedad
Seleccione para configurar la gravedad.
■ Definir estado
Seleccione para establecer el estado.

en el contenido y detalles sobre atributos, historial del incidente y la política. Es
posible también buscar incidentes similares en el área Correlaciones.
desplegable.
Es posible usar la casilla de verificación Aceptada para fijar el estado de reparación
en Aceptada por el usuario. Este estado de reparación indica que el incidente
fue reparado por el usuario, el administrador de CASB u otro contestador de
incidentes.
Use los iconos de la parte superior derecha para imprimir el informe o enviarlo
como correo electrónico. Para enviar informes, usted o su administrador debe
primero habilitar la distribución de informes en la configuración del sistema.
en la página 192.
Los datos del incidente del conector en la nube se dividen en las secciones
siguientes:
■ Ficha Información de clave :
■ Coincidencias de políticas
■ Detalles del incidente
Los detalles siguientes se incluyen para los incidentes de DAR y DIM:
Tipo de Especifica el tipo de datos DAR o DIM.

datos
Detector Especifica el detector en la nube que creó el incidente.
Está oculto Muestra el estado oculto del incidente, independientemente de si el

incidente se puede ocultar, y le permite alternar el indicador No
ocultar para el incidente. Ver "Acerca de ocultar el incidente"
en la página 1648.
Destinatario Para las cargas de datos, el destinatario es el sitio en el cual los

datos son cargados.
Para las descargas de datos, el destinatario es el usuario que

descarga los datos.
Fecha La fecha en que el incidente fue creado.
Asunto El campo de asunto de los datos confidenciales. Haga clic en el

vínculo del asunto para ver todos los incidentes con el mismo asunto.
Nombre de La persona responsable de reparar el incidente. Este campo debe

propietario configurarse manualmente.
de datos
Los informes se pueden enviar de forma automática al propietario
Haga clic en Nombre propietario de datos para ver una lista filtrada
de incidentes para ese propietario de los datos.
Dirección de La dirección de correo electrónico de la persona responsable de

correo reparar el incidente. Este campo debe configurarse manualmente.
electrónico
Haga clic en Dirección de propietario de datos para ver una lista
del
filtrada de incidentes para esa dirección de correo electrónico del
propietario
propietario de los datos.
de datos
Id. de El identificador único de la solicitud de detección del conector del

solicitud servicio en la nube. Es posible usar este identificador para seguir
este incidente en las consolas externas de la nube, tales como
Symantec CloudSOC.
Nombre de El nombre del usuario que se asocia al incidente.

usuario
Tipo de Especifica el tipo de actividad de usuario en el archivo. Las

actividad del actividades posibles son:
usuario ■ Crear
■ Editar
■ Cambiar nombre
■ Eliminar
■ Cargar/Descargar
Id. de El identificador único de transacción que es proporcionado por la

transacción aplicación de la nube. Es posible usar este identificador para seguir
externa este incidente en las consolas externas de la nube, tales como
Symantec CloudSOC.
■ Detalles del sitio o la aplicación

Especifica los detalles siguientes sobre el sitio web o la aplicación de la
nube que se asocia al incidente de DAR o DIM:
Calificación La calificación de Shadow IT proporcionada por Symantec

del servicio CloudSOC.
Nombre de la El nombre de la aplicación de la nube asociado al incidente.

aplicación
Calificación La puntuación del riesgo del sitio proporcionada por Blue Coat WSS
de riesgo del sobre la base de la información de Global Intelligence Network.
sitio
URL HTTP La URL HTTP a la que accedió por el usuario.
■ Detalles del usuario

Esta sección proporciona los detalles siguientes sobre el usuario que se
asocia al incidente de DAR o DIM:
Calificación Especifica la calificación de amenazas de usuario como está previsto

de amenaza por Symantec CloudSOC o Blue Coat WSS.
para el
usuario
Cantidad de Especifica la cantidad de documentos expuestos para ese usuario.

documentos Haga clic en Más información para ver la información de la
expuestos exposición del documento en su consola externa de la nube.
Actividad de Proporciona un vínculo a los detalles de usuario de la actividad en

usuario su consola externa de la nube.
■ Detalles de exposición de datos (DAR solamente)

Esta sección proporciona los detalles siguientes sobre la exposición de los
datos confidenciales:
El documento Especifica si el documento se expone en una ubicación

está expuesto públicamente accesible.
públicamente
El documento Especifica si el documento se comparte con los miembros de su

se comparte organización.
internamente
El documento Especifica si el documento se expone fuera de su organización.

está expuesto
El documento Especifica si el documento está dentro de su organización.

es interno
Cantidad de Especifica la cantidad de veces que se ha accedido al documento.

actividades en
el documento
Id. del creador El identificador del creador del documento.

del documento
Id. de El identificador del documento.

documento
Id. de carpeta de El identificador de la carpeta que contiene el documento.

documentos
principal
■ Información de archivo (DAR solamente)

Esta sección especifica la siguiente información sobre el archivo que contiene
los datos confidenciales:
Carpeta de Especifica la carpeta que contiene el archivo. Haga clic en Más

archivos información para ir al panel de las exposiciones para ese archivo.
Última Especifica la fecha y la hora en que el archivo se modificó por última

modificación vez.
URL para Especifica la URL en la cual se comparte el archivo.

compartir
Tipo de Especifica el tipo de documento del archivo.

documento
Actividad de Haga clic en Más información para ver la actividad de archivo en

archivos su consola externa de la nube.
Alerta en Haga clic en Más información para ver la información del incidente
CASB en su consola externa de la nube.
■ Transferencia de archivos (DIM solamente)

Especifica los detalles siguientes sobre el dispositivo que se asocia al
incidente de DIM:
Dirección de Especifica la dirección del tráfico de red, de carga o de descarga.

red
Protocolo de Especifica el protocolo de red de transferencia de datos, como

origen de https.
conector
IP de origen Especifica la dirección IP originaria del tráfico de red.
IP de destino Especifica la dirección IP de destino del tráfico de red.
El dispositivo Especifica si el dispositivo cumple con los estándares de su

es compatible organización.
El dispositivo Especifica si el dispositivo no es administrado por su organización.

no está
administrado
El dispositivo Especifica si el dispositivo es de propiedad personal del usuario.

es personal
El dispositivo Especifica si el dispositivo es confiado por su organización.

es de
confianza
Método HTTP Especifica el método HTTP que fue llamado cuando el incidente
fue creado.
Cookies HTTP Enumera cualquier cookie que se asocie al incidente.
SO del Especifica el sistema operativo del dispositivo.

dispositivo
Tipo de Especifica el tipo de dispositivo.

dispositivo
■ Ubicación (DIM solamente)

Especifica la información de ubicación siguiente del dispositivo:
Informes de resumen de aplicaciones
Ubicación Especifica la ubicación de la ciudad y del país del dispositivo.
Latitud Especifica la coordenada de la latitud del dispositivo.
Longitud Especifica la coordenada de la longitud del dispositivo.
■ Cuerpo del mensaje

Proporciona un vínculo al mensaje original con formato JSON.
■ Historial
■ Notas
La ficha Notas muestra cualquier nota para este incidente.
■ Correlaciones
■ Coincidencias
Informes de resumen de aplicaciones

Los informes de resumen de aplicaciones proporcionan información resumida sobre
los incidentes de la aplicación.
Es posible filtrar o resumir las opciones en los informes.
Es posible extraer la información del informe en formatos seleccionados.
Es posible hacer clic en elementos resaltados, tales como las entradas de la
columna Totales, para desglosar en detalles.
Los iconos proporcionan navegación a través de informes extensos.
Capítulo 48
Cómo administrar e
informar incidentes
■ Acerca de los informes de Symantec Data Loss Prevention
■ Acerca de las estrategias para usar informes
■ Cómo configurar preferencias del informe
■ Acerca de los informes sobre incidentes
■ Acerca de informes y resúmenes ejecutivos del panel de información
■ Cómo ver paneles de información
■ Cómo crear informes de panel de información
■ Configurar informes de consola
■ Elegir informes para incluir en un panel de información
■ Acerca de los informes resumidos
■ Cómo ver informes de resumen
■ Cómo crear informes de resumen
■ Visualizar incidentes
■ Acerca de informes y paneles de información personalizados
■ Cómo usar IT Analytics para administrar incidentes
■ Cómo filtrar informes

Cómo administrar e informar incidentes 1581
■ Cómo guardar Informes de incidentes personalizados
■ Programación de informes de incidente personalizados
■ Opciones de programación de entrega para informes de incidentes y de sistema
■ Opciones de programación de entrega para informes de consola
■ Cómo usar el widget de la fecha para programar informes
■ Cómo editar los paneles de información y los informes personalizados
■ Exportación de informes de incidentes
■ Campos exportados para Network Monitor
■ Campos exportados para Network Discover/Cloud Storage Discover
■ Campos exportados para Endpoint Discover
■ Cómo eliminar incidentes
■ Cómo eliminar los paneles de información y los informes personalizados
■ Funciones comunes del informe de incidentes
■ Navegación de página en informes de incidente
■ Opciones de resumen y filtro de informes de incidentes
■ Envío de informes sobre incidentes por correo electrónico
■ Informes de incidentes de impresión
■ Ficha de historial de instantánea de incidente
■ Sección de atributos de instantáneas de incidente
■ Ficha de correlaciones de instantánea de incidente
■ Sección de política de instantánea de incidente
■ Sección de coincidencias de instantánea de incidente
■ Sección de información de acceso a instantánea de incidente
■ Cómo personalizar las páginas de instantánea de incidente
■ Acerca de los filtros y las opciones de resumen para los informes
■ Filtros generales para informes
■ Opciones de resumen para los informes de incidentes

Acerca de los informes de Symantec Data Loss Prevention
■ Opciones de filtros avanzados para informes
Acerca de los informes de Symantec Data Loss

Prevention
Use los informes de incidentes para realizar un seguimiento de los incidentes y
para responderlos. Symantec Data Loss Prevention informa un incidente cuando
detecta los datos que coinciden con los parámetros de detección de una regla de
políticas.
Tales datos pueden incluir el contenido específico del archivo, un remitente o un
destinatario del correo electrónico, propiedades de archivo del archivo adjunto o
muchos otros tipos de información.
Los datos que coinciden con los parámetros de detección se llaman coincidencia
y un único incidente puede incluir cualquier cantidad de coincidencias individuales.
Es posible fijar un indicador de ocultación en un incidente para indicar que el
incidente se ha ocultado. De forma predeterminada, los incidentes ocultos no
aparecen en los informes de incidentes, pero se pueden incluir en los informes de
incidente al configurar Filtros avanzados en el informe. Incluir los incidentes ocultos
en un informe puede ralentizar las actividades de elaboración de informes. Ver
"Acerca de ocultar el incidente" en la página 1648.
Symantec Data Loss Prevention realiza un seguimiento de los incidentes para
todos los servidores de detección. Estos servidores incluyen Network Discover/Cloud
Storage Discover Server, Network Monitor Server, Network Prevent for Email Server,
Network Prevent for Web Server y Endpoint Server.
Es posible especificar los informes que muestra Symantec Data Loss Prevention
en el panel de la navegación.
Ver "Cómo configurar preferencias del informe" en la página 1585.
Symantec Data Loss Prevention proporciona los siguientes tipos de informes de
incidente:
■ La lista de incidentes muestra los registros de incidentes individuales que
contienen información tal como gravedad, política asociada, cantidad de
coincidencias y estado. Es posible hacer clic en cualquier incidente para ver
una instantánea que contenga más detalles. Además, puede seleccionar
incidentes o grupos específicos de incidentes para modificar o para reparar.
Symantec Data Loss Prevention proporciona informes separados para los
incidentes seleccionando Network, Endpoint, Discover o Usuario.
■ Los resúmenes proporcionan la información resumen sobre los incidentes en
su sistema. Se ordenan con uno o dos criterios de resumen. Un informe del
Acerca de los informes de Symantec Data Loss Prevention
único resumen se ordena con un único criterio de resumen, tal como la política
que se asocia a cada incidente. Un informe de doble resumen se ordena con
dos criterios, tales como el estado de la política y del incidente. De forma
predeterminada, los incidentes ocultos no aparecen en las cantidades que
muestran los informes de resumen, pero se pueden configurar los filtros
avanzados para incluir los incidentes ocultos. (Ver "Acerca de ocultar el
incidente" en la página 1648.)
■ Los paneles de información combinan información de varios informes. Incluyen
los gráficos y los totales de incidentes que representan los contenidos de
diversas listas y resúmenes de incidentes. Los gráficos pueden contener a
veces listas de incidentes de la alta gravedad o listas de grupos de resúmenes.
Es posible hacer clic en los portlets del informe (las ventanas individuales que
contienen datos del informe) para desglosar las versiones detalladas de los
informes.
Symantec Data Loss Prevention se envía con los resúmenes ejecutivos para
los incidentes de Network, Endpoint y Discover.
Los resúmenes ejecutivos son muy similares a los paneles de información. La
diferencia entre ellos es que se puede personalizar un panel de información,
pero no se puede personalizar un resumen ejecutivo.
Es posible crear y guardar las versiones personalizadas de todos los informes
(excepto los resúmenes ejecutivos) para uso continuo.
Symantec Data Loss Prevention muestra informes en secciones separadas en la
pantalla Informes sobre incidentes de la siguiente manera:
■ La sección Informes guardados contiene cualquier informe compartido que
se asocie a su rol actual. Esta sección aparece solamente si otros usuarios o
usted en su rol actual han creado informes guardados.
en la página 1597.
■ La sección Network contiene listas de incidentes proporcionadas por Symantec,
resúmenes y consolas para incidentes de red.
■ La sección Endpoint contiene listas de incidentes proporcionadas por Symantec,
resúmenes y paneles de información para incidentes de endpoint. Los informes
de endpoint incluyen los incidentes que endpoint captura, tales como incidentes
de bloqueo de endpoint y notificación a endpoint.
Los Incidentes que Endpoint Discover captura aparecen en informes de
detección.
Acerca de las estrategias para usar informes
■ La sección Detectar contiene listas de incidentes proporcionadas por Symantec,

resúmenes y paneles de información para incidentes de Endpoint Discover y
Network Discover/Cloud Storage Discover.
■ La sección Usuarios contiene la lista de usuarios y el resumen de riesgo de
usuarios, que muestra a los usuarios y sus incidentes de correo electrónico y
endpoint asociados.
Acerca de las estrategias para usar informes

Muchas compañías configuran su elaboración de informes de Symantec Data Loss
Prevention para acomodar los roles principales siguientes:
■ Un ejecutivo responsable de la reducción del riesgo general que supervisa
tendencias de riesgo y desarrolla iniciativas de alto nivel para responder a esas
tendencias.
El ejecutivo supervisa los paneles de información y los informes resumidos
(para obtener una visión general de las tendencias de la pérdida de datos en
la organización). El ejecutivo además desarrolla programas e iniciativas para
reducir el riesgo y comunica esta información a los autores de políticas y a los
contestadores de incidentes. El ejecutivo supervisa a menudo informes mediante
correo electrónico u otro formato de informe exportado.
Los paneles de información y los informes resumidos de Symantec Data Loss
Prevention le permiten supervisar tendencias de riesgo en su organización.
Estos informes proporcionan una descripción general de alto nivel de incidentes.
Los ejecutivos y los administradores pueden evaluar rápidamente tendencias
de riesgo y aconsejar a autores de políticas y contestadores de incidentes sobre
cómo dirigir estas tendencias. Es posible ver informes resumidos y paneles de
información existentes, y crear versiones personalizadas de estos informes.
Ver "Acerca de informes y resúmenes ejecutivos del panel de información"
en la página 1587.
Ver "Acerca de los informes resumidos" en la página 1593.
■ Un contestador de incidentes, tal como un analista de InfoSec o un administrador
de InfoSec, que supervisa y responde a los incidentes determinados.
El respondedor supervisa informes y detalles del incidente para responder a
los incidentes que se asocian a un grupo de políticas determinado, a un
departamento de organización o a una ubicación geográfica. El respondedor
puede además ser autor de las políticas para reducir riesgo. Estas políticas se
pueden originar en la dirección de un administrador de reducción de riesgo o
basarse en su propia experiencia de seguimiento de incidentes.
Cómo configurar preferencias del informe
Cómo configurar preferencias del informe

Es posible especificar los informes que Symantec Data Loss Prevention muestra
en el panel de navegación para cada uno de los tipos de informes.
Para configurar las preferencias de la elaboración de informes
1 En la consola de administración de Enforce Server, en el menú Incidentes,
haga clic en Todos los informes.
2 En la pantalla Todos los informes, haga clic en Editar preferencias.
La pantalla Editar preferencias de informes enumera todos los informes
guardados (para todos sus roles asignados).
La pantalla, además, enumera los informes de red, endpoint y descubrimientos.
3 Para mostrar un informe en la lista, seleccione el cuadro Mostrar informe
para ese informe. Para eliminar un informe de la lista, deje Mostrar informe
en blanco para ese informe.
La lista seleccionada de informes se muestra en un panel izquierdo de
navegación para cada uno de los tipos de informes.
Por ejemplo, para ver la lista de informes de red, en el menú Incidentes, haga
clic en Network.
4 Una vez que haya cambiado sus preferencias, haga clic en Guardar.
Acerca de los informes sobre incidentes

Use los informes de incidentes para realizar un seguimiento y para responder a
los incidentes en su red. Symantec Data Loss Prevention informa un incidente
cuando detecta datos que coinciden con una regla de detección en una política
activa. Tales datos pueden incluir el contenido específico del archivo, un remitente
o un destinatario del correo electrónico, propiedades de archivo del archivo adjunto
o muchos otros tipos de información. Los datos que coinciden con una regla de
detección se llaman coincidencia, y un único incidente puede incluir cualquier
cantidad de coincidencias individuales.
Nota: Es posible configurar los informes que aparecen en el panel de navegación.

Para hacerlo, vaya a Todos los informes y, después, haga clic en Editar
preferencias.
Symantec Data Loss Prevention proporciona los siguientes tipos de informes de

incidentes:
Acerca de los informes sobre incidentes
Listas de Muestran los registros de incidentes individuales que contienen

incidentes información, como gravedad, política asociada, cantidad de coincidencias
y estado. Es posible hacer clic en cualquier incidente para ver una
instantánea que contenga más detalles. Es posible seleccionar incidentes
o grupos específicos de incidentes para modificar o para reparar.
Resúmenes Muestran los totales de incidentes ordenados por un atributo específico

del incidente, tal como estado o política asociada. Por ejemplo, Resumen
de política incluye filas para todas las políticas que tienen incidentes
asociados. Cada fila incluye un nombre de política, el número total de
incidentes asociados y el total de incidentes ordenados por gravedad.
Es posible hacer clic en cualquier total de gravedad para ver la lista de
incidentes relevantes.
Resúmenes Muestran totales de incidentes ordenados por dos atributos del incidente.
dobles Por ejemplo, un resumen de tendencia de política muestra los incidentes
totales por política y por semana. De manera similar a un resumen de
políticas, cada entrada incluye un nombre de política, el número total de
incidentes asociados y el total de incidentes ordenados por gravedad.
Además, cada entrada incluye una línea aparte para cada semana,
muestra los totales de incidentes de la semana y los incidentes ordenados
por gravedad.
Consolas y Son consolas de referencia rápida que combinan información de varios

resúmenes informes. Incluyen los gráficos y los totales de incidentes que representan
ejecutivos los contenidos de diversas listas, resúmenes y resúmenes de incidentes.
Los gráficos, a veces, son listas adicionales de incidentes de gravedad
alta o listas de grupos de resúmenes. Es posible hacer clic en nombres
de informe constitutivos para desglosar los informes que se representan
en la consola.
Symantec Data Loss Prevention incluye resúmenes ejecutivos para

informes de red, de endpoint y de detecciones, y estos no son
personalizables.
Es posible crear consolas usted mismo y personalizarlas según lo

deseado.
Personalizado Enumera los informes compartidos que se asocian a su rol actual. (Tales
informes aparecen solamente si usted u otros usuarios en su rol actual
los han creado).
Network Enumera los informes de incidente de red.
Endpoint Enumera los informes de incidente de endpoint. Los informes de endpoint

incluyen incidentes, como incidentes de bloqueo de endpoint y de
notificación a endpoint.
Los incidentes de Endpoint Discover se incluyen en informes de

detecciones.
Acerca de informes y resúmenes ejecutivos del panel de información
Discover Enumera los informes de incidentes de Network Discover/Cloud Storage

Discover y Endpoint Discover.
El informe de riesgo de la carpeta muestra las carpetas de archivo

compartido clasificadas por riesgo prioritario. La puntuación del riesgo
se basa en información relevante de los incidentes de Symantec Data
Loss Prevention e información del servidor de administración de VML
Management Server.
Consulte la Guía de implementación de Symantec Data Loss Prevention

Data Insight.
Usuarios La Lista de usuarios detalla los usuarios de datos de su organización. El

Resumen de riesgos de los usuarios detalla todos los usuarios con su
correo electrónico e incidentes de endpoint asociados.

Ver "Acerca de las listas del incidente de endpoint" en la página 1541.
Acerca de informes y resúmenes ejecutivos del panel

de información
Los paneles de información y los resúmenes ejecutivos son pantallas de informe
de referencia rápida que presentan el resumen de la información actual de varios
informes de incidentes.
Symantec Data Loss Prevention se envía con un resumen ejecutivo para cada
informe de incidentes de red, endpoint y descubrimiento.
Los paneles de información y los resúmenes ejecutivos tienen dos columnas de
informes. La columna izquierda muestra un gráfico circular o un gráfico y una barra
de los totales de incidentes. La columna derecha muestra los mismos tipos de
información que la columna izquierda. La columna derecha además muestra una
lista de los incidentes más significativos o una lista de elementos de resúmenes
con los totales asociados de incidentes. Los incidentes más significativos se alinean
Acerca de informes y resúmenes ejecutivos del panel de información
usando gravedad y cantidad de coincidencias. Es posible hacer clic en un informe

para consultar el informe detallado que representa.
Los paneles de información incluyen hasta seis portlets, cada uno proporciona un
resumen rápido de un informe que se especifica.
Symantec Data Loss Prevention incluye tres resúmenes ejecutivos (similares a
paneles de información): resumen ejecutivo de red, resumen ejecutivo de endpoint
y resumen ejecutivo de descubrimiento. (Los paneles de información y los
resúmenes ejecutivos comparten el mismo formato, pero los resúmenes ejecutivos
no son personalizables).
Es posible crear los paneles de información personalizados para los usuarios con
responsabilidades de seguridad específicas. Si elige compartir un panel de
información, el panel de información es accesible a todos los usuarios en el rol con
el cual usted lo crea. (Tenga en cuenta que el usuario Administrador no puede
crear los paneles de información compartidos).
Los paneles de información tienen dos columnas de los portlets del informe (las
ventanas que contienen datos del informe). Los portlets de la columna izquierda
muestran un gráfico circular o un gráfico y la barra de los totales. Los portlets de
la columna derecha muestran los mismos tipos de información que los de la
izquierda. Sin embargo, además muestran una lista de los incidentes más
significativos o una lista de criterios de resúmenes y de incidentes asociados. Los
incidentes se alinean usando gravedad y cantidad de coincidencias. Los criterios
de resúmenes resaltan los totales de incidentes de alta gravedad. Es posible elegir
hasta tres informes para incluir en la columna izquierda y hasta tres informes a
incluir en la columna derecha.
Para crear los paneles de información personalizados, haga clic en Informes sobre
incidentes en la parte superior del panel de la navegación y en la pantalla Informes
sobre incidentes que aparece, haga clic en Crear panel de información. El
administrador puede crear solamente los paneles de información privados, pero
los usuarios pueden decidir si compartir un nuevo panel de información o mantenerlo
privado.
Para editar los contenidos de cualquier panel de información personalizado, vaya
al panel de información deseado y haga clic en Personalizar cerca de la parte
superior de la pantalla.
Ver "Configurar informes de consola" en la página 1591.
Para mostrar un panel de información personalizado al iniciar sesión, especifíquelo
como el informe de inicio de sesión predeterminado.
Ver "Cómo configurar preferencias del informe" en la página 1585.
Cómo ver paneles de información
Cómo ver paneles de información

Este procedimiento le muestra cómo ver un panel de información.
Para ver un panel de información
haga clic en Informes sobre incidentes. En Informes, haga clic en el nombre
de un panel de información.
Los paneles de información incluyen hasta seis portlets que proporcionan un
resumen de un informe determinado.
Por ejemplo, el panel de información de Resumen ejecutivo - red incluye los
portlets para Resumen de políticas de red, Remitentes de alto riesgo,
Resumen de protocolo, Dominios de destinatarios principales, Estado
por semana e Incidentes - Todos.
2 Para consultar el informe entero de un portlet, haga clic en el portlet.
Symantec Data Loss Prevention muestra la lista de incidentes o el informe de
resumen apropiados.
3 Navegue a través de la lista de incidentes o el informe de resumen.
Cómo crear informes de panel de información

Es posible crear consolas e informes personalizados.
Si ha iniciado sesión como otro usuario que no sea el administrador, Symantec
Data Loss Prevention le permite elegir si compartir su consola o mantenerla privada.
Para crear una consola
haga clic en Informes sobre incidentes.
2 En la pantalla Informes sobre incidentes que aparece, haga clic en Crear
panel de información.
La pantalla Configurar panel de información aparece.
Cómo crear informes de panel de información
3 Elija si compartir el panel de información o mantenerlo privado.

Si elige compartir un panel de información, el panel de información es accesible
para todos los usuarios a los que se asignó el rol con el cual lo creó.
Si ha iniciado sesión como administrador, no verá esta opción.
Nota: Symantec Data Loss Prevention automáticamente designa todas las

consolas que el administrador crea como privadas.
Haga clic en Siguiente.

4 En la sección General, para Nombre, escriba un nombre para el panel de
información.
5 Para Descripción, escriba una descripción opcional para el panel de
información.
6 En la sección Programación de entrega, se puede regenerar y enviar el
informe del panel de información a las cuentas de correo electrónico
especificadas.
Si el SMTP no está configurado en su Enforce Server, usted no verá la sección
Programación de entrega.
Si ha configurado su sistema para enviar alertas e informes, se puede
configurar una hora de regeneración y envío del informe del panel de
información a las cuentas de correo electrónico especificadas.
Ver "Cómo configurar Enforce Server para enviar alertas de correos
electrónicos" en la página 192.
Si no ha configurado Symantec Data Loss Prevention para enviar informes,
vaya al paso siguiente.
Para configurar una programación, localice la sección Programación de
entrega y seleccione una opción de la lista desplegable Programación. Es
posible seleccionar alternativamente Sin programación.
Por ejemplo, seleccione Enviar semanalmente el día.
Escriba los datos que son necesarios para su opción de Programación. La
información necesaria incluye una o más direcciones de correo electrónico
(separadas por comas). Puede además incluir la fecha calendario, la hora, los
días de la semana, los días del mes o la última fecha para enviar.
Ver "Opciones de programación de entrega para informes de consola"
en la página 1607.
Configurar informes de consola
7 Para la Columna izquierda, se puede elegir qué mostrar en un gráfico circular

o un gráfico. Para la Columna derecha, se puede mostrar también una tabla
de la información.
Ver "Elegir informes para incluir en un panel de información" en la página 1593.
Seleccione un informe de hasta tres de las listas desplegables Columna
izquierda (gráfico solamente). A continuación, seleccione un informe de hasta
tres de las listas desplegables Columna derecha (gráfico y tabla).
9 Es posible editar el panel de información posteriormente en la pantalla Editar
preferencias de informes.
Para mostrar un panel de información personalizado al iniciar sesión,
especifíquelo como el informe de inicio de sesión predeterminado en la pantalla
Editar preferencias de informes.
Ver "Cómo editar los paneles de información y los informes personalizados"
en la página 1610.

Es posible crear las consolas personalizadas que se adaptan para los usuarios
con roles específicos.
Las consolas incluyen hasta seis portlets, cada uno proporciona un resumen rápido
de un informe que se especifica.
Si elige compartir una consola, la consola es accesible para todos los usuarios a
los que se asignó el rol con el cual la creó.
Nota: El usuario Administrador no puede crear consolas compartidas.
Para configurar una consola personalizada

1 En la sección General, para Nombre, escriba un nombre para la consola.
2 Para Descripción, escriba una descripción opcional para el panel de
información.
3 En la sección Programación de entrega, se puede regenerar y enviar el

informe del panel de información a las cuentas de correo electrónico
especificadas.
Si el SMTP no está configurado en su Enforce Server, usted no verá la sección
Programación de entrega.
Si ha configurado su sistema para enviar alertas e informes, se puede
configurar una hora de regeneración y envío del informe del panel de
información a las cuentas de correo electrónico especificadas.
Si no ha configurado Symantec Data Loss Prevention para enviar informes,
vaya al paso siguiente.
Para configurar una programación, localice la sección Programación de
entrega y seleccione una opción de la lista desplegable Programación. Es
posible seleccionar alternativamente Sin programación.
Por ejemplo, seleccione Enviar semanalmente el día.
Escriba los datos que son necesarios para su opción de Programación. La
información necesaria incluye una o más direcciones de correo electrónico
(separadas por comas). Puede además incluir la fecha calendario, la hora, los
días de la semana, los días del mes o la última fecha para enviar.
Ver "Opciones de programación de entrega para informes de consola"
en la página 1607.
4 Para la Columna izquierda, se puede elegir qué mostrar en un gráfico circular
o un gráfico. Para la Columna derecha, se puede mostrar también una tabla
de la información.
Ver "Elegir informes para incluir en un panel de información" en la página 1593.
Seleccione un informe de hasta tres de las listas desplegables Columna
izquierda (gráfico solamente). A continuación, seleccione un informe de hasta
tres de las listas desplegables Columna derecha (gráfico y tabla).
6 Es posible editar el panel de información posteriormente en la pantalla Editar
preferencias de informes.
Para mostrar un panel de información personalizado al iniciar sesión,
especifíquelo como el informe de inicio de sesión predeterminado en la pantalla
Editar preferencias de informes.
en la página 1610.
Elegir informes para incluir en un panel de información
Elegir informes para incluir en un panel de

información
Los paneles de información tienen dos columnas de portlets de informe.
Los portlets en la columna izquierda muestran un gráfico circular o un gráfico.
Los portlets de la columna derecha muestran la misma información que los de la
izquierda. Además, muestran una lista de los incidentes más significativos o un
resumen. Los incidentes se clasificadas por gravedad y cantidad de coincidencias.
Es posible mostrar una lista de criterios de resumen y de incidentes asociados que
resalte todos los totales de incidentes de gravedad alta.
Es posible elegir hasta tres informes para incluir en la columna izquierda y hasta
tres informes a incluir en la columna derecha.
Para elegir informes para incluir
1 Elija un informe de hasta tres de las listas desplegables Columna izquierda
(gráfico solamente).
2 Elija un informe de hasta tres de las listas desplegables Columna derecha
(gráfico y tabla).
3 Una vez que se configure el panel de información, haga clic en Guardar.
Acerca de los informes resumidos

Symantec Data Loss Prevention proporciona dos tipos de informes resumidos:
resúmenes únicos y resúmenes dobles.
Los resúmenes únicos muestran los totales de incidentes ordenados por un atributo
específico del incidente, por ejemplo, estado o política asociados. Por ejemplo, un
resumen de políticas incluye una fila para cada política que tiene incidentes
asociados. Cada fila incluye un nombre de política, el número total de incidentes
asociados y el total de incidentes ordenados por gravedad.
Los resúmenes dobles muestran los totales de incidentes ordenados por dos
atributos de incidentes. Por ejemplo, un resumen de tendencias de políticas muestra
el total de incidentes ordenados por política y semana. Como en un resumen de
políticas, cada entrada incluye un nombre de política, el número total de incidentes
asociados y el total de incidentes ordenados por gravedad. Además, cada entrada
incluye una línea aparte para cada semana, muestra los totales de incidentes de
la semana y los incidentes ordenados por gravedad.
Ver "Opciones de resumen para los informes de incidentes" en la página 1634.
Cómo ver informes de resumen
Es posible crear informes resumidos personalizados de cualquier lista de incidentes.
Cómo ver informes de resumen

Este procedimiento le muestra cómo ver un informe de resumen.
Para ver un informe de resumen
seleccione uno de los tipos de informes.
Por ejemplo, seleccione Network y, a continuación, haga clic en Resumen
de políticas.
El informe consiste en entradas de resumen (filas) que se dividen en varias
columnas. La primera columna lleva el nombre del criterio de resumen principal.
Enumera elementos de resumen principales y (para los resúmenes dobles)
secundarios. Por ejemplo, en Resumen de política esta columna se denomina
Política y enumera las políticas. Cada entrada incluye una columna para el
número total de incidentes asociados. Además incluye las columnas que
muestran la cantidad de incidentes de nivel de gravedad Alta, Media, Baja e
Informativa. Finalmente, incluye un gráfico de barras que representa la cantidad
de incidentes por gravedad.
2 Opcionalmente, se puede ordenar el informe de manera alfanumérica por los
datos de una columna determinada. Para hacerlo, haga clic en el título de
columna correspondiente. Para ordenar en orden inverso, haga clic nuevamente
en el título de columna.
3 Para identificar áreas de riesgo potencial, haga clic en la columna con
encabezado Alta para mostrar entradas de resumen por la cantidad de
incidentes de alta gravedad.
4 Haga clic en una entrada para ver una lista de incidentes asociados. En
cualquiera de las columnas de gravedad, se puede hacer clic en el total para
ver una lista de incidentes de la gravedad elegida.
Cómo crear informes de resumen

Este procedimiento le muestra cómo crear un informe de resumen.
Visualizar incidentes
Para crear un informe de resumen de una lista de incidentes

seleccione uno de los tipos de informes y haga clic en una lista de incidentes.
Por ejemplo, seleccione Discover y, a continuación, el informe Incidentes -
Todos los análisis.
2 Haga clic en la barra Filtros avanzados y resúmenes (cerca del inicio del
informe).
En Resumir por del cuadro de lista principal y el cuadro de lista secundario
que aparecen, Symantec Data Loss Prevention muestra todos los criterios
provistos por Symantec en orden alfabético. Los criterios preceden cualquier
criterio personalizado que el administrador haya definido.
3 Seleccione un criterio del cuadro de lista principal y un criterio opcional del
cuadro de lista secundario. Por ejemplo, seleccione Grupo de políticas y, a
continuación, Política. Tenga en cuenta que las opciones en el cuadro de lista
secundario aparecen solamente después de que se elige una opción del cuadro
de lista principal.
4 Para crear el informe de resumen, haga clic en Aplicar.
Los informes de resumen toman su nombre del criterio de resumen principal.
Si vuelve a ejecutar un informe con nuevos criterios, el nombre del informe
cambia en consecuencia.
5 Guarde el informe.
Las listas de incidentes de Symantec Data Loss Prevention muestran los registros
de incidentes individuales con la información sobre los incidentes. Es posible hacer
clic en cualquier incidente para ver una instantánea que contenga más detalles.
Es posible seleccionar incidentes o grupos específicos de incidentes para modificar
o para reparar.
Symantec Data Loss Prevention proporciona las listas de incidentes para incidentes
de red, endpoint y descubrimiento.
Para ver incidentes

Por ejemplo, seleccione Discover. En el panel izquierdo de la navegación,
haga clic en Incidentes - Todos los análisis.
La lista de incidentes muestra los registros de incidentes individuales que
contienen información, como la gravedad, la política asociada, la cantidad de
coincidencias y el estado.
2 Opcionalmente, puede usar filtros de informe para acortar la lista de incidentes.
Ver "Cómo filtrar informes" en la página 1599.
3 Para ver más detalles de un incidente determinado, haga clic en el incidente.
La instantánea de incidente aparece y muestra la información general del
incidente, las coincidencias detectadas en el texto interceptado y los detalles
sobre la política, los atributos y el historial del incidente.
Es posible también buscar incidentes similares en la ficha Correlaciones.
4 Opcionalmente, haga clic en la instantánea de incidente para ver más
información sobre el incidente.
La lista siguiente describe las maneras en que se puede acceder a más
información por medio de las instantáneas:
■ Es posible encontrar la información sobre la política que detectó el incidente.
En la ficha Información clave, la sección Coincidencias de políticas
muestra el nombre de política. Haga clic en el nombre de política para ver
una lista de incidentes que se asocien con esa política. Haga clic en Ver
política para ver una versión de solo lectura de la política.
Esta sección, además, enumera otras políticas infringidas con el mismo
archivo o mensaje. Cuando se detallan varias políticas, se pueden ver la
instantánea de un incidente que se asocia con una política determinada.
Haga clic en Ir al incidente al lado del nombre de la política. Para ver una
lista de todos los incidentes que el archivo o el mensaje crearon, haga clic
en mostrar todo.
■ Es posible ver las listas de los incidentes que comparten diversos atributos
con el incidente actual. La ficha Correlaciones muestra una lista de
correlaciones que coinciden con atributos únicos. Haga clic en los valores
de atributo para ver las listas de incidentes que se relacionan con esos
valores.
Por ejemplo, el incidente de la red actual se activa desde un mensaje de
una cuenta de correo electrónico determinada. Es posible sacar a colación
una lista de todos los incidentes que esta cuenta creó.
Acerca de informes y paneles de información personalizados
■ Para la mayoría de los incidentes de red, se puede acceder a cualquier

archivo adjunto que se asocie al mensaje de red. Para hacerlo, localice el
campo Archivos adjuntos en la sección Detalles del incidente de la
instantánea y haga clic en el nombre del archivo adjunto.
Para ver una descripción detallada de la instantánea de incidente y de las
acciones que pueden realizarse por medio de ellas, vaya a la ayuda en pantalla.
5 Cuando termine de ver incidentes, podrá salir de la lista de instantáneas del
incidente o de incidentes, o podrá elegir uno o más incidentes para reparar.
Acerca de informes y paneles de información

personalizados
Es posible filtrar y resumir informes y después guardarlos para uso continuo. Cuando
guarda un informe personalizado, se puede configurar Symantec Data Loss
Prevention para enviar el informe según una programación específica.
Symantec Data Loss Prevention muestra los títulos de informes personalizados en
Incidentes > Informes sobre incidentes.
Las pantalla de visualización de Informes sobre incidentes muestra todos los
informes disponibles y personalizados para sus roles asignados. La lista incluye
los informes personalizados compartidos y las consolas que usted o alguien en su
rol actual creó. Varios informes estándar están disponibles con Symantec Data
Loss Prevention.
Symantec Data Loss Prevention muestra el nombre, el producto asociado y la
descripción de cada informe. Para los informes personalizados, Symantec Data
Loss Prevention indica si el informe es compartido o privado y muestra la generación
de informe y la programación de entrega.
Es posible modificar informes existentes y guardarlos como informes personalizados
y también crear paneles de información personalizados. Los informes personalizados
y los paneles de información se detallan en la sección Informes guardados del
panel de la navegación.
Es posible hacer clic en cualquier informe en la lista para volverla a ejecutar con
datos actuales.
Es posible ver y ejecutar los informes personalizados para informes creados por
los usuarios que tienen roles asignados a usted. Es posible editar o eliminar
solamente los informes personalizados que se asocian al rol actual. Los únicos
informes personalizados visibles al administrador son los informes creados por el
usuario administrador.
Acerca de informes y paneles de información personalizados
Un conjunto de tablas enumera todas las opciones disponibles para filtrar y resumir
informes.
Ver "Filtros generales para informes" en la página 1630.
Ver "Opciones de filtros avanzados para informes" en la página 1639.
Crear consola Le permite crear un panel de información personalizado que muestre

datos de resumen de varios informes que se especifican. Para los
usuarios que no son el administrador, esta opción lleva a la pantalla
Configurar panel de administración, donde se especifica si el panel
de administración es privado o compartido. Los paneles de información
de administrador son privados.
Ver "Cómo crear informes de panel de información" en la página 1589.
Los informes guardados (personalizados) asociados con su rol aparecen cerca de

la parte superior de la pantalla.
Las siguientes opciones están disponibles para los informes personalizados de su
rol actual:
Haga clic en este icono al lado de un informe para mostrar el informe

guardado o para configurar la pantalla del panel de información. Es
posible cambiar el nombre, la descripción o la programación o (para
los paneles de información solamente) los informes para incluir.
Ver "Cómo guardar Informes de incidentes personalizados"
en la página 1600.
Haga clic en el icono junto a un informe para mostrar la pantalla para

cambiar la programación de este informe. Si este icono no se muestra,
el informe no está programado.
Ver "Cómo guardar Informes de incidentes personalizados"

en la página 1600.
Haga clic en este icono al lado de un informe para eliminar ese informe.
Se le pedirá un cuadro de diálogo para confirmar la eliminación. Cuando
se elimina un informe, no se puede recuperar. Asegúrese de que ningún
otro rol de los miembros necesita el informe antes de eliminarlo.
Cómo usar IT Analytics para administrar incidentes
Cómo usar IT Analytics para administrar incidentes

IT Analytics Solution es una aplicación de Business Intelligence (BI) que se
complementa y se extiende a la elaboración de informes que ofrece Symantec
Data Loss Prevention. Brinda análisis de múltiples dimensiones y funciones gráficas
sólidas de elaboración de informes a Symantec Management Platform. Esta
funcionalidad le permite crear informes ad hoc inmediatos, sin el conocimiento
avanzado de las bases de datos o las herramientas de elaboración de informes
de otro fabricante. IT Analytics proporciona esta función eficiente de elaboración
de informes ad hoc inmediatos con tablas dinámicas, agregados previamente
compilados para obtener respuestas rápidas a consultas que suelen tardar mucho
tiempo en ejecutarse y facilidad para exportarlos a archivos PDF, Excel, CSV y
TIF.
Para obtener más información, consulte la página de destino de IT Analytics en el
Centro de soporte de Symantec, en
https://support.symantec.com/en_US/dpl.56005.html.
Cómo filtrar informes

Es posible filtrar una lista de incidentes o un informe de resumen.
Para filtrar una lista de incidentes
Por ejemplo, seleccione Network y, a continuación, haga clic en Resumen
de políticas.
2 En el área Filtro, se muestran los filtros actuales, así como las opciones para
agregar y ejecutar otros filtros.
3 Modifique los filtros predeterminados según lo desee. Por ejemplo, de las listas
desplegables de Estado, seleccione Es igual que y Nuevo.
Para los informes de Network y Endpoint, los filtros predeterminados son
Fecha y Estado. Para los informes de detecciones, los filtros predeterminados
son Estado, Análisis e ID de destino.
Cómo guardar Informes de incidentes personalizados
4 Para agregar un filtro nuevo, seleccione opciones de filtro desde las listas
desplegables. Haga clic en Filtros avanzados y resúmenes para las opciones
adicionales. Haga clic en Agregar filtro en la derecha para las opciones de
filtros adicionales.
Seleccione el tipo de filtro y los parámetros de izquierda a derecha como si
escribiera una oración. Por ejemplo, de los filtros avanzados, en las opciones
de Agregar filtro, seleccione Política y Es alguno de y, a continuación,
seleccione una o más políticas para ver en el informe. Mantenga presionada
Ctrl o Mayús para seleccionar más de un elemento en el cuadro de lista.
5 Haga clic en Aplicar para actualizar el informe.
6 Guarde el informe.
Cómo guardar Informes de incidentes personalizados

Una vez que se resume o filtra un informe, se puede guardar para el uso continuo.
Cuando se guarda un informe personalizado, Symantec Data Loss Prevention
muestra el título del informe en Informes guardados en la sección Todos los
informes. Si un usuario elige compartir el informe, Symantec Data Loss Prevention
muestra el vínculo del informe solamente a los usuarios que pertenecen al mismo
rol que el usuario que creó el informe.
Es posible editar el informe posteriormente en la pantalla Editar preferencias.
en la página 1610.
Opcionalmente, se puede programar el informe para que se ejecute
automáticamente de manera periódica.
Ver "Programación de informes de incidente personalizados" en la página 1601.
Para guardar un informe personalizado
1 Configure un filtro personalizado o un informe de resumen.
en la página 1597.
Haga clic en Guardar > Guardar como.
2 Escriba un nombre de informe único y describa el informe. El nombre del
informe puede incluir hasta 50 caracteres.
Programación de informes de incidente personalizados
3 En la sección Uso compartido, los usuarios con excepción del administrador

pueden compartir un informe personalizado.
Nota: Esta sección no aparece para el administrador.
La sección Uso compartido le permite especificar si mantener el informe en

calidad de privado o compartirlo con otros miembros del rol. Los miembros de
rol son otros usuarios asignados al mismo rol. Para compartir el informe,
seleccione Informe del recurso compartido. Todos los miembros del rol
ahora tienen acceso a este informe y pueden editarlo o eliminarlo. Si su cuenta
se elimina del sistema, los informes compartidos permanecen en el sistema.
Los informes compartidos se asocian al rol, no a cualquier cuenta de usuario
específica. Si no comparte un informe, usted es el único usuario que puede
acceder a él. Si su cuenta se elimina del sistema, sus informes privados se
eliminan también. Si inicia sesión con otro rol, el informe es visible en la pantalla
Todos los informes, pero no podrá acceder a él.
Programación de informes de incidente

personalizados
Opcionalmente, se puede programar un informe guardado para que se ejecute
automáticamente de manera periódica.
Es posible también programar el informe para que se envíe por correo electrónico
a las direcciones especificadas o a los propietarios de datos según una
programación regular.
Insight.
Para programar un informe personalizado

1 Haga clic en Enviar > Programar distribución.
Si el SMTP no se configura en su Enforce Server, no se puede seleccionar el
elemento de menú Enviar para enviar el informe.
2 Especifique Detalles de entrega :
Para: Seleccione si el informe se envía a

direcciones de correo electrónico
especificadas o a propietarios de datos.
Manual: enviar a direcciones de correo Escriba las direcciones de correo

electrónico especificadas electrónico específicas manualmente en
el cuadro de texto.
Automático: enviar a propietarios de Para enviar el informe a los propietarios

datos de incidentes de datos, la configuración Enviar datos
de informes por correo electrónico debe
habilitarse para que esta opción aparezca.
Ver "Cómo configurar Enforce Server para

enviar alertas de correos electrónicos"
en la página 192.
Si selecciona enviar el informe a

propietarios de datos de incidentes, la
dirección de correo electrónico Dirección
de correo electrónico del propietario de
datos del atributo de incidente es la
dirección donde se envía el informe.
Esta Dirección de correo electrónico del

propietario de datos debe configurarse
manualmente o con un complemento de
búsqueda.
Consulte la Guía de implementación de

Symantec Data Loss Prevention Data
Insight.
Un máximo de 10.000 incidentes se puede

distribuir por propietario de datos.
CC: Escriba las direcciones de correo

electrónico manualmente en el cuadro de
texto.
Asunto: Use el asunto predeterminado o

modifíquelo.
Cuerpo: Escriba el cuerpo del correo electrónico.
Las variables de acción de respuesta

también se pueden escribir en el cuerpo.
Ver "Variables de acción de respuesta"

en la página 1522.
Opciones de programación de entrega para informes de incidentes y de sistema
3 En la sección Programar entrega, especifique la programación de entrega.

Ver "Opciones de programación de entrega para informes de incidentes y de
4 En la sección Cambiar estado/atributos de incidente, se puede implementar
un flujo de trabajo.
La opción Automático: enviar a propietarios de datos de incidentes debe
configurarse para que esta sección aparezca.
5 Una vez enviado el informe, se puede cambiar el estado de un incidente a
cualquiera de los valores válidos. Seleccione un valor de estado de la lista
desplegable.
6 Es posible también introducir nuevos valores para cualquier atributo
personalizado.
Estos atributos ya deben estar configurados.
7 Seleccione uno de los atributos personalizados de la lista desplegable.
8 Haga clic en Agregar.
9 En el cuadro de texto, escriba el nuevo valor para este atributo personalizado.
Una vez enviado el informe, los atributos personalizados seleccionados
configuran los nuevos valores para esos incidentes que fueron enviados en
el informe.
11 Escriba el nombre y la descripción del informe guardado.
Opciones de programación de entrega para informes

de incidentes y de sistema
La sección Programar entrega le permite configurar una programación para el
informe.
Nota: Si Enforce Server no se configura para enviar correos electrónicos o usted

no puede enviar informes, la sección Programar entrega no aparece.
Cuando se hace una selección de la lista, los campos adicionales aparecen.

Para eliminar la programación de un informe que fue programado previamente,
haga clic en la opción Eliminar.
La tabla siguiente describe los campos adicionales disponibles para cada opción
en la lista.
Detalles de Especifique los detalles siguientes de la entrega:

entrega
■ Enviar a
Especifique Manual para especificar las direcciones de correo
electrónico.
Especifique Automático para el envío automático a los propietarios
de datos.
■ Para
Escriba una o más direcciones de correo electrónico. Sepárelas
con comas.
■ Destinatario en copia
Escriba una o más direcciones de correo electrónico. Sepárelas
con comas.
■ Asunto
Proporcione un asunto para el correo electrónico.
■ Cuerpo
Escriba el cuerpo del correo electrónico. Use variables para
elementos, como el nombre de política.
Una vez Seleccione Una vez para programar que el informe se ejecute una vez
en el futuro y, después, especifique los detalles siguientes para ese
informe:
■ Hora
Seleccione la hora a la que desee generar el informe.
■ Fecha de envío
Escriba la fecha en la que desee generar el informe o haga clic en
el widget de la fecha y seleccione una fecha.
Diariamente Seleccione Diariamente para programar que el informe se ejecute

diariamente y, después, especifique los detalles siguientes para ese
informe:
■ Hora
■ Hasta
Escriba la fecha en la que desee interrumpir la generación de informes

diarios, haga clic en el widget de la fecha y seleccione una fecha, o
seleccione Indefinidamente.
Semanalmente Seleccione Semanalmente para programar que el informe se ejecute

semanalmente y, después, especifique los detalles siguientes para ese
informe:
■ Hora
■ Días de la semana
Haga clic para seleccionar una o más casillas para indicar los días
de la semana en que desee generar el informe.
■ Hasta
Escriba la fecha en la que desee interrumpir la generación de
informes semanales, haga clic en el widget de la fecha y seleccione
una fecha, o seleccione Indefinidamente.
Mensualmente Seleccione Mensualmente para programar que el informe se ejecute

mensualmente y, después, especifique los detalles siguientes para ese
informe:
■ Hora
■ Día del mes
Escriba la fecha en la cual desee generar el informe cada mes.
■ Hasta
Escriba la fecha en la que desee interrumpir la generación de
informes mensuales, haga clic en el widget de la fecha y seleccione
una fecha, o seleccione Indefinidamente.

Ver " Utilización de informes guardados del sistema" en la página 183.
Opciones de programación de entrega para informes de consola
Opciones de programación de entrega para informes

de consola
La sección Programación de entrega le permite configurar una programación
para el informe.
Nota: Si Enforce Server no se configura para enviar correos electrónicos o usted

no puede enviar informes, la sección Programación de entrega no aparece.
Cuando se hace una selección de la lista desplegable Programar, campos

adicionales aparecen.
La tabla siguiente describe los campos adicionales disponibles para cada opción
en la lista.
Sin programación Seleccione Sin programación para guardar el informe sin una
programación.
Una vez Seleccione Una vez para programar que el informe se ejecute una vez
en el futuro y, después, especifique los detalles siguientes para ese
informe:
■ El
Escriba la fecha en la que desee generar el informe o haga clic en el

widget de la fecha y seleccione una fecha.
■ A las
■ Enviar a
Escriba una o más direcciones de correo electrónico. Sepárelas con

comas.
Opciones de programación de entrega para informes de consola
Enviar Seleccione Enviar diariamente para programar que el informe se

diariamente ejecute diariamente y, después, especifique los detalles siguientes
para ese informe:
■ A las
■ Hasta

diarios, haga clic en el widget de la fecha y seleccione una fecha, o
seleccione Indefinidamente.
■ Enviar a

comas.
Enviar Seleccione Enviar semanalmente el día para programar que el informe

semanalmente el se ejecute semanalmente y, después, especifique los detalles siguientes
día para ese informe:
■ Día
Haga clic para seleccionar una o más casillas para indicar los días de
la semana en que desee generar el informe.
■ A las
■ Hasta

semanales, haga clic en el widget de la fecha y seleccione una fecha,
o seleccione Indefinidamente.
■ Enviar a

comas.
Cómo usar el widget de la fecha para programar informes
Enviar Seleccione Enviar mensualmente el día para programar que el informe

mensualmente el se ejecute mensualmente y, después, especifique los detalles siguientes
día para ese informe:
■ Día de cada mes
Escriba la fecha en la cual desee generar el informe cada mes.
■ A las
■ Hasta

mensuales, haga clic en el widget de la fecha y seleccione una fecha,
o seleccione Indefinidamente.
■ Enviar a

comas.
Cómo usar el widget de la fecha para programar

informes
El widget de la fecha especifica las fechas para los informes.
El widget de la fecha introduce la fecha por usted. Es posible hacer clic en Hoy
para introducir la fecha actual.
Para usar el widget de la fecha
1 Haga clic en el widget de la fecha.
2 Haga clic en la flecha izquierda o la flecha derecha a cada lado del mes para
cambiar el mes.
3 Haga clic en la flecha izquierda o la flecha derecha a cada lado del año para
cambiar el año.
4 Haga clic en la fecha deseada en el calendario.
Cómo editar los paneles de información y los informes personalizados
Cómo editar los paneles de información y los informes

personalizados
Es posible editar cualquier informe personalizado o panel de información que se
cree.
Para editar un panel de información personalizado o un informe
seleccione Informes sobre incidentes.
El panel de información de Informes sobre incidentes aparece y muestra
los Informes guardados cerca del inicio del informe.
2 Haga clic en el icono de edición del lado del informe o del panel de información
para editar.
La pantalla Guardar informe o la pantalla Guardar panel de información
aparece. Es posible editar el nombre, la descripción y la programación de
cualquier informe personalizado o panel de información, y se pueden
seleccionar diversos informes de componentes para un panel de información
personalizado.
3 Cuando finalice la edición, haga clic en Guardar.
Exportación de informes de incidentes

Un informe se puede exportar a un archivo de texto separado por comas (.csv) o
a un archivo XML.
Es posible configurar un delimitador de CSV que no sea una coma. Es posible
especificar qué campos se exportan a XML. Estas opciones se deben configurar
en su perfil antes de que exporte un informe.
Para exportar un informe
1 Haga clic en Incidentes y seleccione un tipo de informe.
2 Vaya al informe que desee exportar. Filtre o resuma los incidentes en el
informe, según lo deseado.
3 Seleccione los cuadros del lado izquierdo de los incidentes para seleccionar
los incidentes para exportar.
Campos exportados para Network Monitor
4 En el menú desplegable Exportar, seleccione Exportar todo: CSV o Exportar

todo: XML
Nota: Consulte la versión actual de la Guía para desarrolladores de API de

actualización y elaboración de informes sobre incidentes para la ubicación de
los archivos de esquema XML para los informes exportados y para una
descripción de los elementos XML individuales.
5 Haga clic en Abrir o Guardar. Si seleccionó Guardar, un cuadro de diálogo

Guardar como se abre y se puede especificar la ubicación y el nombre del
archivo.
Ver "Campos exportados para Network Monitor" en la página 1611.
Ver "Campos exportados para Endpoint Discover" en la página 1613.
Ver "Campos exportados para Network Discover/Cloud Storage Discover"
en la página 1612.
Ver "Informes de incidentes de impresión" en la página 1624.
Ver "Envío de informes sobre incidentes por correo electrónico" en la página 1623.
Campos exportados para Network Monitor

Los campos siguientes se exportan para Network Monitor:
Tipo Tipo de incidente (por ejemplo, SMTP, HTTP o FTP ).
Estado de Estado de este mensaje de incidente.

mensaje
Gravedad Gravedad de este incidente ( Alta, Media o Baja ).
Enviado Fecha y hora en que se envió el mensaje.
ID Identificador único para este incidente.
Política Nombre de la política que activó este incidente.
Coincidencias El número de veces que este elemento coincide con los parámetros de
detección de una regla de políticas.
Asunto Asunto del mensaje.
Destinatario(s) Destinatario del mensaje.
Estado Estado de este incidente ( Nuevo, Elevado, Rechazado o Cerrado ).

Campos exportados para Network Discover/Cloud Storage Discover
Incluye Indica si este mensaje tiene un archivo adjunto.

archivo
adjunto

propietario configurarse manualmente o con uno de los complementos de búsqueda.
de datos
Correo La dirección de correo electrónico de la persona responsable de reparar el

electrónico incidente. Este campo debe configurarse manualmente o con uno de los
de complementos de búsqueda.
propietario
de datos
Los atributos personalizados también se exportan.
Campos exportados para Network Discover/Cloud

Storage Discover
Los campos siguientes se exportan para Network Discover/Cloud Storage Discover:
Tipo Tipo de destino (por ejemplo, sistema de archivos, Lotus Notes o base de
datos SQL).
Estado de Estado de este mensaje de incidente.

mensaje
Fecha de Fecha en que un incidente fue detectado.

detección
Visto antes ¿Este incidente fue visto previamente? El valor es Sí o No.
Asunto Asunto del correo electrónico para los análisis integrados de Exchange.
Remitente Remitente del correo electrónico para los análisis integrados de Exchange.
Destinatario Destinatario del correo electrónico para los análisis integrados de Exchange.

Campos exportados para Endpoint Discover
Coincidencias La cantidad de veces que este elemento coincide con los parámetros de
Ubicación Ubicación (ruta) de este elemento.
Destino Nombre del destino del análisis.
Análisis Fecha y hora en que el archivo fue analizado.
Propietario Propietario del archivo.

del archivo
Fecha de Fecha y hora en que el elemento se modificó por última vez.

última
modificación
Fecha de Fecha y hora en que el elemento fue creado.

creación del
archivo
Fecha de Fecha y hora en la que se accedió al elemento por última vez (no mostrados
último para los destinos de NFS).
acceso

de datos

propietario
de datos

Los campos siguientes se exportan para Endpoint Discover:
Tipo Tipo de destino (por ejemplo, Almacenamiento extraíble ).

Fecha de Fecha en que un incidente fue detectado.

incidencia
Coincidencias La cantidad de veces que este elemento coincide con los parámetros de
Nombre de Nombre de archivo que infringió la política.

archivo
Ruta de Ruta del archivo.

archivo
Nota: La ubicación del archivo aparece solamente para los incidentes de
unidad fija.
Equipo Equipo en el cual ocurrió el incidente.
Usuario Nombre de usuario de endpoint.
Estado de Estado de Endpoint (por ejemplo Acción bloqueada ).

prevención
Asunto Asunto del mensaje.
Destinatario(s) Destinatario del mensaje.
Incluye Indica si este mensaje tiene un archivo adjunto.

archivo
adjunto

de datos

propietario
de datos

Cómo eliminar incidentes

El rendimiento de la elaboración de informes de incidentes a menudo disminuye
cuando la cantidad de incidentes en su sistema excede la cantidad de un millón
(1 000 000). Symantec recomienda mantener la cantidad de incidentes por debajo
de este umbral mediante la eliminación de incidentes para mantener un buen
rendimiento del sistema.
La eliminación de incidentes es permanente: puede eliminar incidentes, pero no
puede recuperar los incidentes que se han eliminado. Symantec Data Loss
Prevention ofrece opciones para eliminar solamente ciertas partes de los datos
que accionaron el incidente.
Después de que haya marcado los incidentes que dese eliminar, podrá ver,
configurar y ejecutar el proceso de eliminación de incidentes, y solucionar problemas
relacionados con él, desde la consola de administración de Enforce Server.
Para obtener información sobre cómo eliminar los incidentes ocultos, Ver "Eliminar
los incidentes ocultos" en la página 1651.
Para eliminar un incidente
1 En la pantalla Informe de incidentes, seleccione el incidente o los incidentes
que desee eliminar, después haga clic en Acciones del incidente > Eliminar
incidentes.
2 En la pantalla Eliminar incidentes, seleccione una de las siguientes opciones
de eliminación:
Eliminar el Elimina permanentemente los incidentes y todos los datos

incidente asociados (por ejemplo, cualquier correo electrónico y archivo
completamente adjunto). Tenga en cuenta que no se pueden recuperar los
incidentes que se han eliminado.
Retener el Retiene los incidentes reales, pero descarta la copia de Symantec

incidente, pero Data Loss Prevention de los datos que activaron los incidentes.
eliminar datos del Tiene la opción de eliminar solamente ciertas partes de los datos
mensaje asociados. El resto de los datos se conserva.
Eliminar mensaje Elimina el contenido del mensaje (por ejemplo, el mensaje de

original correo electrónico o la publicación HTML). Esta opción se aplica
solamente a los incidentes de red.
Eliminar archivos Esta opción se refiere a los archivos (para los incidentes de
adjuntos/archivos endpoint y de Discover) o a los archivos adjuntos de correos
electrónicos o publicaciones (para los incidentes de red). Las
opciones son:
■ Todos, que elimina todos los archivos adjuntos. Elija esta

opción para eliminar todos los archivos (para los incidentes
de endpoint y de descubrimiento) o los archivos adjuntos de
correos electrónicos (para los incidentes de red). Los archivos
y los archivos adjuntos se agregan a la cola de eliminación
de incidentes después de que se hayan eliminado sus
incidentes asociados.
■ Archivos adjuntos/archivos sin infracciones. Esta opción

elimina solamente los archivos adjuntos en los cuales
Symantec Data Loss Prevention no encontró ninguna
coincidencia. Elija esta opción cuando tenga incidentes con
archivos individuales tomados de un archivo comprimido
(incidentes de endpoint y de descubrimiento) o de varios
archivos adjuntos de correo electrónico (incidentes de red).
3 Haga clic en Cancelar o Eliminar.

Eliminar marca el incidente para eliminación y lo agrega la cola de eliminación
de incidentes. No es posible recuperar un incidente después de que se lo
marca para eliminación. Symantec Data Loss Prevention elimina
permanentemente los incidentes de la cola de eliminación de incidentes cuando
ejecuta el trabajo de eliminación de incidentes.
Acerca del proceso de eliminación de incidentes

Es posible ver, configurar y ejecutar el proceso de eliminación de incidentes, y
solucionar problemas asociados a él, en la pantalla Eliminación de incidentes
de la consola de administración de Enforce Server: Sistema > Datos de incidentes
> Eliminación de incidentes. Esta pantalla le muestra el número de incidentes
en la cola de eliminación de incidentes, el programa de eliminación y un historial
de trabajos de eliminación.
La cola de eliminación de incidentes incluye todos los incidentes marcados para
eliminación por todos sus usuarios de Symantec Data Loss Prevention. Además
de ver el número de incidentes marcados para eliminación, se puede comenzar y
parar un trabajo de eliminación manualmente desde la cola de eliminación de
incidentes.
Es posible ver información detallada sobre sus trabajos de eliminación en la sección
del historial de trabajos de eliminación, que incluye el número de incidentes y los
archivos adjuntos o archivos eliminados, la hora de inicio y de finalización del
trabajo, la duración del trabajo, si el trabajo fue parado manualmente o no y el

estado del trabajo ( Completado, Con error o En curso ). En el caso de los trabajos
de eliminación con error, se puede hacer clic en el vínculo Con error para ver el
mensaje de error y la declaración del problema. Esta información puede ser útil
para su administrador de bases de datos de Oracle para solucionar el error de
trabajo. Si esta información es escasa para resolver los problemas del trabajo de
eliminación, puede exportar información de cualquier trabajo a un archivo CSV y
enviarlo al soporte de Symantec Data Loss Prevention para solicitar ayuda adicional.
De forma predeterminada, el trabajo de eliminación de incidentes se ejecuta cada
noche a las 11:59 p. m. en la zona horaria local de Enforce Server. Cuando el
trabajo se ejecuta, además crea un evento en la pantalla Sistema > Servidores
y detectores > Eventos. Se crea este evento independientemente de si se eliminan
incidentes realmente.
Configurar la programación de trabajos de eliminación de incidentes

La programación de trabajos de eliminación de incidentes predeterminada se
ejecuta cada noche a las 11:59 p. m. en la zona horaria local de Enforce Server.
Es posible configurar la programación de trabajos de eliminación para ejecutarse
en cualquier otra hora programada. Symantec sugiere ejecutar la eliminación de
incidentes en un momento en que su sistema está inactivo o se utiliza poco.
Para configurar la programación de trabajos de eliminación de incidentes
1 Haga clic el icono de calendario Programar trabajo de eliminación.
2 En el cuadro de diálogo Programar eliminación de incidentes, especifique
una de las siguientes opciones:
■ Sin programación regular : Seleccione esta opción para desactivar la
programación de trabajos de eliminación.
■ Una vez : Especifique un día y una hora para un solo trabajo de eliminación
de incidentes.
■ Diariamente : Especifique una hora diaria para los trabajos de eliminación
de incidentes.
■ Semanalmente : Especifique un día y una hora para los trabajos de
eliminación de incidentes.
■ Mensualmente : Especifique un día del mes y una hora para los trabajos
de eliminación de incidentes. Para adaptarse a las diferencias entre los
meses, el valor de día debe ser un valor entre 1 y 28.
3 Haga clic en Enviar.

Nota: La programación de trabajos de eliminación de incidentes se restablece al

valor predeterminado durante el proceso de actualización. Si está utilizando una
programación de trabajos de eliminación de incidentes personalizada, configure
de nuevo la programación después de que el proceso de actualización se complete.
Iniciar y detener trabajos de eliminación de incidentes

Si hay incidentes pendientes de eliminación, se puede iniciar un trabajo de
eliminación de incidentes manualmente desde la cola de eliminación de incidentes.
Es posible también detener cualquier trabajo de eliminación de incidentes que se
esté ejecutando actualmente.
Para iniciar y detener un trabajo de eliminación de incidentes manualmente
1 Haga clic en Comenzar la eliminación para comenzar un trabajo de
eliminación de incidentes manualmente.
2 Cuando un trabajo de eliminación de incidentes se esté ejecutando, la barra
de progreso le mostrará cuántos incidentes se han eliminado.
3 Haga clic en Detener la eliminación para detener un trabajo de eliminación
de incidentes.
La barra de progreso se actualiza cada 30 segundos de forma predeterminada. Si
está eliminando una gran cantidad de incidentes (más de 500 000), el proceso de
actualización puede degradar el rendimiento del trabajo de eliminación. Es posible
ajustar la frecuencia de actualización en el archivo manager.properties.
Para configurar la frecuencia de actualización de la barra de progreso
1 Abra el archivo manager.properties:
■ En sistemas Windows:
\SymantecDLP\Protect\config\manager.properties
■ En sistemas Linux:
/opt/SymantecDLP/Protect/config/manager.properties
2 Establezca un nuevo valor en milisegundos para la propiedad

com.vontu.incident.deletion.progress.refreshRate. Por ejemplo, para
establecer la frecuencia de actualización en dos minutos (120 segundos):
com.vontu.incident.deletion.progress.refreshRate=120000
3 Guarde y cierre el archivo manager.properties, después reinicie el servicio

de Vontu Manager.
Ver "Acerca de los servicios de Symantec Data Loss Prevention" en la página 102.
Trabajar con el historial de trabajos de eliminación

La sección del historial de trabajos de eliminación le muestra los trabajos de
eliminación de incidentes ejecutados anteriormente, incluidos:
■ El número de incidentes eliminados.
■ El número de archivos y archivos adjuntos eliminados.
■ La hora de inicio y fin del trabajo de eliminación.
■ La duración del trabajo de eliminación.
■ Si el trabajo de eliminación se detuvo manualmente.
■ El estado del trabajo de eliminación.
Si un trabajo de eliminación falló, un vínculo aparecerá en la columna de estado.
Haga clic en el vínculo para ver la declaración del problema y el mensaje de error.
Esta información puede ser útil para su administrador de bases de datos de Oracle
para solucionar un trabajo de eliminación con error.
Si está teniendo problemas con un trabajo de eliminación de incidentes, puede
exportar la información detallada del trabajo de eliminación para enviarla al soporte
Para ver y exportar información de un trabajo de eliminación con error
1 En la lista Historial de trabajos de eliminación, haga clic en el vínculo Con
error para el trabajo con error que desee ver.
La declaración del problema y el mensaje de error que aparecen puede ser
útiles para su administrador de bases de datos de Oracle para solucionar los
problemas del trabajo de eliminación de incidentes. Si necesita ayuda adicional,
continúe con el paso 2.
2 Para exportar información para un trabajo de eliminación con error, seleccione
el trabajo en la lista Historial de trabajos de eliminación y después haga
clic en Exportar.
3 Guarde el archivo ZIP para enviar al soporte de Symantec Data Loss Prevention
para su análisis. Los datos contenidos en el archivo ZIP solo pueden ser
utilizados por el soporte de Symantec Data Loss Prevention y no serán útiles
para sus esfuerzos internos de solución de problemas.
Cómo eliminar los paneles de información y los informes personalizados
Cómo eliminar los paneles de información y los

informes personalizados
Es posible eliminar cualquier panel de información o informe personalizado que se
cree.
Para eliminar un panel de información o informe personalizado
seleccione Informes sobre incidentes.
El panel de información de Informes sobre incidentes aparece y muestra
los Informes guardados cerca del inicio del informe.
2 Haga clic en el icono de eliminación situado junto al informe o el panel de
información para eliminarlo.
4 Symantec Data Loss Prevention elimina el informe y lo elimina de la pantalla
Informes sobre incidentes.
Funciones comunes del informe de incidentes

Las siguientes opciones son comunes a las listas de informe de incidentes:
■ Iconos para realizar las siguientes tareas para un informe:
■ Guardar
Es posible guardar el informe actual como un informe personalizado
guardado.
■ Enviar
Es posible enviar por correo electrónico el informe o programar la distribución
del informe.
■ Exportar
Es posible exportar el informe actual como CSV o XML.
■ Eliminar informe
Si este informe no está guardado, la opción Eliminar informe no aparece.
■ Opciones de resumen y filtros de informes

Navegación de página en informes de incidente
■ Iconos de navegación de página

Los informes resumidos siguientes están disponibles para los tipos de incidentes:
■ Network
Ver "Informe de resumen de red" en la página 1539.
■ Endpoint
Ver "Informes de resumen de incidentes de endpoint" en la página 1553.
■ Discover
Ver "Informes de resumen de Discover" en la página 1567.
Navegación de página en informes de incidente

Todos los informes, excepto los resúmenes ejecutivos, incluyen opciones de
navegación de la página. Symantec Data Loss Prevention muestra el número de
incidentes actualmente visibles del total de incidentes del informe (por ejemplo,
1-19 de 19 ó 1-50 de 315).
Los informes con más de 50 incidentes tienen las siguientes opciones:
Muestra la primera página del informe.
Muestra la página anterior.
Muestra la página siguiente.
Muestra la última página.
Mostrar todo Muestra todos los elementos en una única página.
Use el vínculo Mostrar todo en una Lista de incidentes con

precaución cuando el sistema contiene más de 500 incidentes. El
rendimiento del navegador se degrada drásticamente si más de 500
incidentes se muestran en la página Lista de incidentes.
Opciones de resumen y filtro de informes de incidentes
Seleccionar todos Selecciona todos los incidentes en las páginas, de modo que es posible
actualizarlos de una vez. (Disponible solamente en listas de incidentes).
Haga clic en Anular la selección de todo para cancelar.
Nota: Sea cuidadoso cuando elija Seleccionar todo. Esta opción
selecciona todos los incidentes en el informe (no solo los de la página
actual). Cualquier comando de incidente que se aplique posteriormente
afecta todos los incidentes.
Para seleccionar solamente los incidentes en la página actual,

seleccione la casilla en la parte superior izquierda de la lista de
incidentes.
Opciones de resumen y filtro de informes de

incidentes
Los filtros se separan en filtros de uso general y filtros avanzados y resúmenes.
Los filtros comunes incluyen las siguientes opciones:
Estado Seleccione Es igual que, Es alguno de o No es ninguno

de. A continuación, seleccione valores de estado. Mantenga
pulsado Ctrl y haga clic para seleccionar más de un valor
de estado aparte. Mantenga pulsado Mayús y haga clic para
seleccionar un intervalo.
Fecha Use el menú desplegable para seleccionar un intervalo de

fecha, como Última semana o Último mes. La opción
Informes de red y de endpoint
predeterminada es Todas las fechas.
Gravedad Seleccione las casillas para seleccionar los valores de

gravedad.
Análisis Para los informes de detección, seleccione el análisis para

informar. Es posible seleccionar el análisis más reciente, el
Informes de detección
análisis inicial o un análisis en curso. Todos los análisis es
la opción predeterminada.
ID de destino Para los informes de detección, seleccione el nombre del

destino para informar. Todos los destinos es la opción
predeterminada.
Haga clic en la barra Filtros avanzados y resúmenes para expandir la sección

con opciones de filtro y de resumen.
Envío de informes sobre incidentes por correo electrónico
Haga clic en Agregar filtro para agregar un filtro avanzado.

Seleccione una opción secundaria principal y opcional para el resumen. Un informe
del único resumen se ordena con un único criterio de resumen, tal como la política
que se asocia a cada incidente. Un informe de doble resumen se ordena con dos
criterios, tales como el estado de la política y del incidente.
Nota: Si selecciona una condición en la cual se introduce el contenido para coincidir

con el campo de texto, su entrada entera debe coincidir exactamente. Por ejemplo,
si se introduce “manzanas y naranjas”, ese texto exacto debe aparecer en el
componente especificado para que sea considerado una coincidencia. La oración
“me trae las manzanas y las naranjas” no se considera una coincidencia.
Para obtener una lista completa de opciones de filtro y de resumen de informes,

consulte la Guía de administración de Symantec Data Loss Prevention.
Envío de informes sobre incidentes por correo

electrónico
Es posible enviar una copia del informe actual a cualquier dirección de correo
electrónico.
Para enviar informes, su administrador del sistema debe configurar un servidor
SMTP. El administrador debe especificar una opción de distribución de informe en
la página Sistema > Configuración. Se debe, además, especificar una dirección
de correo electrónico para su cuenta de usuario.
en la página 192.
Para enviar un informe
3 Haga clic en Enviar en la esquina superior derecha.
Alternativamente, se puede usar el menú Enviar (arriba de los filtros).
Informes de incidentes de impresión
4 En el cuadro de diálogo Enviar informe, especifique las siguientes opciones:
Para Escriba una o más direcciones de correo electrónico (separadas

por comas).
Asunto Escriba un asunto para el mensaje.
Mensaje Escriba el mensaje.
5 Haga clic en Enviar o Cancelar.

Ver "Informes de incidentes de impresión" en la página 1624.
Informes de incidentes de impresión

Es posible imprimir un informe en cualquier impresora disponible.
Para imprimir un informe
3 Haga clic en Imprimir en la esquina superior derecha.
4 Una imagen del informe aparece en una ventana de navegador.
5 El cuadro de diálogo de selección de la impresora aparece, y se puede
seleccionar una impresora.
Ver "Envío de informes sobre incidentes por correo electrónico" en la página 1623.
Ficha de historial de instantánea de incidente

Es posible ver las acciones que fueron realizadas en el incidente. Para cada acción,
la ficha Historial muestra la fecha y la hora de la acción, el actor (un usuario o un
servidor) y la acción o el comentario. Haga clic en Agregar comentario para
agregar un comentario.
Sección de atributos de instantáneas de incidente
Sección de atributos de instantáneas de incidente

Es posible ver una lista de atributos personalizados y de sus valores, si se han
especificado algunos. Haga clic en los valores de atributo para ver una lista de
incidentes que filtre en ese valor. Para agregar nuevos valores o editar los
existentes, haga clic en Editar. En el cuadro de diálogo Editar atributos que
aparece, escriba los nuevos valores y haga clic en Guardar. Los incidentes
archivados no se muestran en la lista filtrada.
Nota: Esta sección aparece solamente si un administrador del sistema ha

configurado atributos personalizados.

Ficha de correlaciones de instantánea de incidente

Es posible ver las listas de los incidentes que comparten diversos atributos del
incidente actual.
Por ejemplo, si la copia de un archivo activó el incidente actual, se puede obtener
una lista de todos los incidentes que se relacionan con la copia de este archivo.
La ficha Correlaciones muestra una lista de correlaciones que coinciden con
atributos únicos. Haga clic en los valores de atributo para ver listas de incidentes
que se relacionan con esos valores.
Para buscar otros incidentes con los mismos atributos, haga clic en Encontrar
elementos similares. En el cuadro de diálogo Encontrar incidentes similares
que aparece, seleccione los atributos deseados de búsqueda. A continuación, haga
clic en Buscar incidentes. Los incidentes archivados no se muestran cuando se
buscan incidentes similares.
Sección de política de instantánea de incidente
Sección de política de instantánea de incidente

El área Política muestra la política que fue infringida en el incidente e indica si la
política bloqueó un movimiento o notificó al usuario. Además, muestra el número
total de coincidencias para la política, así como las coincidencias por regla de
políticas. Haga clic en el nombre de la política para ver una lista de todos los
incidentes que infringieron la política. Haga clic en ver política para ver una versión
de solo lectura de la política.
Se ven los iconos que describen la siguiente información:
■ Symantec Data Loss Prevention bloqueó una copia de la información
confidencial.
■ Symantec Data Loss Prevention notificó al usuario sobre la copia de datos
confidenciales.
Esta sección, además, enumera otras políticas que se infringen del mismo archivo.
Para ver la instantánea de un incidente asociado a una política determinada, haga
clic en el vínculo Ir al incidente junto al nombre de política. Para ver una lista de
todos los incidentes que se relacionan con el archivo, haga clic en Mostrar todo.
Sección de coincidencias de instantánea de incidente

En la sección Coincidencias, Symantec Data Loss Prevention muestra el contenido
(si corresponde) y las coincidencias que causaron el incidente.
Las coincidencias se resaltan en amarillo. Esta sección muestra el total de
coincidencias y muestra las coincidencias en el orden en el cual aparecen en el
contenido original. Para ver la regla que activó una coincidencia, haga clic en la
coincidencia resaltada.
Sección de información de acceso a instantánea de incidente
Sección de información de acceso a instantánea de

incidente
La sección Información de acceso de una instantánea de incidente muestra las
listas de control de acceso para ese objeto.
Las listas de control de acceso (ACL) son listas de los permisos que se adjuntan
a un objeto o a un grupo de datos. La lista contiene la información sobre todos los
usuarios que tienen permisos de lectura y escritura para el archivo. Use la lista
para ver los usuarios que tienen acceso al archivo, así como las acciones que cada
usuario puede realizar. Los permisos para cada usuario o grupo no se configuran
través de Symantec Data Loss Prevention. Los administradores configuran los
permisos para cada archivo usando otros tipos de programas en el endpoint. Los
permisos se configuran, generalmente, en el momento en que el archivo se crea.
Por ejemplo, el usuario 1 tiene permiso para acceder al archivo Example1.doc. El
usuario 1 puede ver y editar el archivo. El usuario 2 también tiene acceso al archivo
Example1.doc. Sin embargo, el usuario 2 solamente puede ver el archivo. El usuario
2 no tiene permiso para realizar cambios al archivo. En la ACL, se detallan el
usuario 1 y el usuario 2 con los permisos que se les han concedido.
Tabla 48-1 muestra las combinaciones.
Tabla 48-1 Ejemplo de lista de control de acceso
Nombre Permiso
Usuario 1 OTORGAR LECTURA
Usuario 1 OTORGAR ESCRITURA
Usuario 2 OTORGAR LECTURA
La ACL contiene una nueva línea para cada permiso concedido. La ACL contiene
solamente una línea para el usuario 2 porque el usuario 2 tiene solamente un
permiso para leer el archivo. El usuario 2 no puede realizar ningún cambio al
archivo. El usuario 1 tiene dos entradas porque tiene dos permisos: lectura y
escritura del archivo.
Es posible ver la información de ACL solamente en las instantáneas de incidentes
de la unidad local Discover y de endpoint. No es posible ver la información de ACL
en ningún otro tipo de incidente.
La sección Información de acceso aparece en la ficha Información de clave de
la instantánea de incidente.
Cómo personalizar las páginas de instantánea de incidente

Cómo personalizar las páginas de instantánea de

incidente
Es posible personalizar el aspecto de la página de instantánea de incidente.
Para personalizar el aspecto de la página de instantánea de incidente
1 Desde una instantánea de incidente, haga clic en Personalizar disposición
(en la esquina superior derecha).
2 Seleccione la información que aparecerá en cada una de las fichas en las
instantáneas de incidente.
La Ficha 1 contiene siempre Información de clave y no se puede cambiar.
3 Para cada una de las áreas en la pantalla de instantánea de incidente,
seleccione la información que aparece.
Acerca de los filtros y las opciones de resumen para

los informes
Es posible configurar varios filtros y resúmenes para los informes de incidentes de
Estos filtros le permiten ver los incidentes y los datos de incidentes en maneras
diferentes.
El conjunto de filtros se aplica por separado a los eventos de Network, Endpoint y
Storage.
Figura 48-1 muestra las ubicaciones de las opciones para filtrar y para resumir
informes.
Acerca de los filtros y las opciones de resumen para los informes
Figura 48-1 Opciones de filtro y de resumen
Filtros generales
Filtros avanzados
Opciones de resumen
Opciones de resumen y
filtros actuales
Las opciones de filtros y de resumen están en las secciones siguientes:
Filtros generales Las opciones de filtros Ver "Filtros generales para

generales son las de uso informes" en la página 1630.
general. Están siempre
visibles en el informe de la
lista de incidentes.
Filtros avanzados Los filtros avanzados Ver "Opciones de filtros

proporcionan muchas avanzados para informes"
opciones adicionales. Es en la página 1639.
necesario hacer clic en la
barra Filtros avanzados y
resúmenes y después en
Agregar filtro para ver estas
opciones.
Filtros generales para informes
Opciones de resumen Las opciones de resumen Ver "Opciones de resumen

proporcionan maneras de para los informes de
resumir los incidentes de la incidentes" en la página 1634.
lista. Es necesario hacer clic
en la barra Filtros
avanzados y resúmenes
para ver estas opciones de
resumen.
Symantec Data Loss Prevention contiene muchos informes estándar. Es posible

también crear informes personalizados o guardar las opciones de informe de
resumen y de filtros para uso posterior.

Los filtros generales para los informes incluyen un conjunto de algunos filtros
comunes.
La mayoría de estos filtros se aplican a todos los productos. Network Discover/Cloud
Storage Discover contiene algunos filtros generales relacionados con los análisis
de almacenamiento. Por ejemplo, se puede filtrar los incidentes que están en un
análisis determinado. Estos filtros no son aplicables a Network Prevent ni Endpoint
Prevent.
Tabla 48-2 enumera las opciones de filtros generales por valores de estado de
informe.
Es posible también crear valores de estado personalizados.
Estos filtros de estado están disponibles para los incidentes de Network, Endpoint
y Discover.
Tabla 48-2 Filtros generales por valores de estado
Nombre Descripción
Es igual que El estado es igual al campo que se selecciona en el siguiente

menú desplegable.
Es alguno de El estado puede ser cualquiera de los campos que se seleccionan

en el siguiente menú desplegable. Haga clic+Mayús. para
seleccionar varios campos.
Nombre Descripción
No es ninguno de El estado no es ninguno de los campos que se seleccionan en

el siguiente menú desplegable. Haga clic+Mayús. para seleccionar
varios campos.
Tabla 48-3 enumera las opciones de filtros generales por fecha.

Estas fechas de filtros están disponibles para los incidentes de Network y Endpoint.
Tabla 48-3 Filtros generales por fecha
Nombre Descripción
Todas las fechas Todas las fechas que contienen incidentes.
Mes actual hasta hoy Todos los incidentes que se informaron para el mes actual hasta
la fecha de hoy.
Trimestre actual hasta Todos los incidentes que se informaron para el trimestre actual
hoy hasta la fecha de hoy.
Semana actual hasta Todos los incidentes que se informaron para la semana actual.
hoy
Año actual hasta hoy Todos los incidentes que se informaron para el año actual hasta
la fecha de hoy.
Personalizado Un período personalizado. Seleccione las fechas que desee ver

del menú calendario.
Últimos 7 días Todos los incidentes que se informaron en los siete días
anteriores.
Últimos 30 días Todos los incidentes que se informaron en los 30 días anteriores.
Último mes Todos los incidentes que se informaron durante el mes calendario
anterior.
Última semana Todos los incidentes que se informaron durante la semana de

calendario anterior.
Último trimestre Todos los incidentes que se informaron durante el trimestre

anterior.
Último año Todos los incidentes que se informaron durante el año calendario
anterior.
Hoy Todos los incidentes que se informaron hoy.

Nombre Descripción
Ayer Todos los incidentes que se informaron ayer.
Tabla 48-4 enumera las opciones de filtros generales por gravedad. Seleccione el
cuadro para seleccionar las gravedades para incluir en el filtro.
Estos filtros de gravedad están disponibles para los incidentes de Network, Endpoint
y Discover.
Tabla 48-4 Filtros generales por valores de gravedad
Nombre Descripción
Alta Enumera solamente los incidentes de gravedad alta. Muestra

cuántos incidentes de gravedad alta están en la lista de incidentes.
Información Enumera solamente los incidentes puramente informativos. A los

incidentes informativos no se les asigna ninguna otra gravedad.
Muestra cuántos incidentes informativos están en la lista de
incidentes.
Baja Enumera solamente los incidentes de gravedad baja. Muestra

cuántos incidentes de gravedad baja están en la lista de
incidentes.
Media Enumera solamente los incidentes de gravedad media. Muestra

cuántos incidentes de gravedad media están en la lista de
incidentes.
Tabla 48-5 enumera las opciones de filtros generales por análisis de Network
Discover. Este filtro está solamente disponible para los incidentes de Discover.
Tabla 48-5 Filtros generales para análisis
Nombre Descripción
Todos los análisis Todos los incidentes que se informaron en todos los análisis que
se ejecutaron.
Análisis inicial Todos los incidentes que se informaron en el análisis inicial.
En curso Todos los incidentes que se informaron en los análisis que están
actualmente en curso.
Último análisis Todos los incidentes que se informaron en el último análisis

completado completado.
Es posible filtrar incidentes de detección por ID de destino. Este filtro está

solamente disponible para los incidentes de Discover.
Seleccione el destino o seleccione Todos los destinos. Haga clic+Mayús. para
seleccionar varios campos.
Tabla 48-6 enumera las opciones de filtros generales por fecha de detección para
los incidentes de descubrimiento.
Tabla 48-6 Filtros generales por fecha
Nombre Descripción
Todas las fechas Todas las fechas que contienen incidentes.
Mes actual hasta hoy Todos los incidentes que se informaron para el mes actual hasta
la fecha de hoy.
Trimestre actual hasta Todos los incidentes que se informaron para el trimestre actual
hoy hasta la fecha de hoy.
Semana actual hasta Todos los incidentes que se informaron para la semana actual.
hoy
Año actual hasta hoy Todos los incidentes que se informaron para el año actual hasta
la fecha de hoy.
Personalizado Un período personalizado. Seleccione las fechas que desee ver

del menú calendario.
Personalizado desde Los Agentes Symantec DLP que conectaron al servidor de

endpoints a partir de una fecha específica hasta la fecha actual.
Seleccione la fecha de inicio del filtro.
Personalizar antes Los Agentes Symantec DLP que se conectaron a un servidor de

endpoints antes de una fecha específica. Seleccione la fecha final
para el filtro.
Últimos 7 días Todos los incidentes que se informaron en los siete días
anteriores.
Últimos 30 días Todos los incidentes que se informaron en los 30 días anteriores.
Último mes Todos los incidentes que se informaron durante el mes calendario
anterior.
Última semana Todos los incidentes que se informaron durante la semana de

calendario anterior.
Último trimestre Todos los incidentes que se informaron durante el trimestre

anterior.
Opciones de resumen para los informes de incidentes
Nombre Descripción
Último año Todos los incidentes que se informaron durante el año calendario
anterior.
Hoy Todos los incidentes que se informaron hoy.
Ayer Todos los incidentes que se informaron ayer.

Los resúmenes de informes de incidentes proporcionan opciones para un resumen
de la información que se contiene dentro de los incidentes. Por ejemplo, se puede
resumir incidentes por el estado o la política.
Nota: Los incidentes ocultos no se incluyen en los resúmenes del informe a menos
que la opción de filtro Avanzada para el filtro Está oculto se configure Mostrar
todo.
Tabla 48-7 enumera las opciones de resumen para los informes de incidentes.
Tabla 48-7 Filtros de resumen
Nombre Descripción Productos aplicables
Config. del agente Resuma los agentes y los Endpoint

incidentes por la entidad de
configuración de agente asociada.
Si tiene más de una entidad de
configuración de agente
configurada, puede resumir o filtrar
por un menú desplegable de
entidad específica. Si la entidad de
configuración de agente
predeterminada es la única entidad
configurada, no verá el menú
desplegable.
Respuesta del agente Resuma los incidentes por la Endpoint

respuesta del agente ante el
incidente.
Raíz de contenido Resuma los incidentes por la ruta Discover

de raíz de contenido.
Dirección de correo La dirección de correo electrónico Network

electrónico del de la persona responsable de
Endpoint
propietario de datos reparar el incidente. Este campo
debe configurarse manualmente o Discover
con un complemento de búsqueda.
Nombre de propietario La persona responsable de reparar Network

de datos el incidente. Este campo debe
Endpoint
configurarse manualmente o con
un complemento de búsqueda. Discover
Los informes se pueden enviar

automáticamente al propietario de
los datos para la reparación.
IP de destino Resuma los incidentes por dirección Network

IP de destino.
Endpoint
Mes de detección Resuma los incidentes por el mes Discover

en el cual fueron detectados.
Trimestre de detección Resuma los incidentes por el Discover

trimestre en el cual fueron
detectados.
Semana de detección Resuma los incidentes por la Discover

semana en la cual fueron
detectados.
Año de detección Resuma los incidentes por el año Discover

en el cual fueron detectados.
Id. de instancia de Resuma los incidentes por el Endpoint

dispositivo dispositivo específico que creó la
infracción.
Dominio Resuma los incidentes por el Network

nombre de dominio.
Ubicación del endpoint Resuma los incidentes por la Endpoint

ubicación de endpoint.
La ubicación puede ser una de las

siguientes:
Nombre de archivo Resuma los incidentes por el Endpoint

nombre de archivo que se asocia
al incidente.
Propietario del archivo Resuma los incidentes por el Discover

propietario del archivo.
Investigando estado Resuma los agentes por el estado Endpoint

actual.
Discover
Ubicación Resuma los incidentes por su Discover

ubicación.
Nivel de registro Resuma los agentes por sus niveles Endpoint

de registro configurados.
IP del equipo Resuma los incidentes por la Endpoint

(corporativo) dirección IP de un equipo en la red
corporativa.
Nombre del equipo Resuma el incidente por el nombre Endpoint

del equipo en el cual los incidentes
fueron creados.
Mes Resuma los incidentes por el mes Network

en el cual fueron creados.
Endpoint
Meses desde la primera Resuma los incidentes por cuántos Discover

detección meses han pasado desde que el
incidente se detectó por primera
vez.
Acción de prevención Resuma los incidentes por la acción Network

de red de Network Prevent.
No se ha seleccionado Selección del marcador de posición Network

un resumen primario para denotar que no se ha
Endpoint
seleccionado ningún resumen
principal. Discover
No se ha seleccionado Selección del marcador de posición Network

un resumen secundario para denotar que no se ha
Endpoint
seleccionado ningún resumen.
Discover
Política Resuma los incidentes por la Network

política a partir de la cual fueron
Endpoint
creados.
Discover
Grupo de políticas Resuma los incidentes por el grupo Network

de políticas al que pertenecen.
Discover
Estado de protección Resuma los incidentes por el Discover

estado de red de los incidentes.
Protocolo Resuma los incidentes por el Network

protocolo que generó el incidente.
Destino del protocolo Resuma los incidentes por el Endpoint

o del endpoint protocolo o el destino de endpoint
donde los incidentes fueron
creados.
Estado de detección de Resuma los incidentes por estado Discover

reparación de detección de reparación.
Motivo de error de Resuma los incidentes por el motivo Endpoint

cuarentena por el cual la acción de respuesta
Discover
de cuarentena falló.
Trimestre Resuma los incidentes por el Network

trimestre en el cual fueron creados.
Endpoint
Trimestres desde la Resuma los incidentes por cuántos Discover

primera detección trimestres han pasado desde que
el incidente se detectó por primera
vez.
Destinatario Resuma los incidentes por el Discover

destinatario.
Análisis Resuma los incidentes por el Discover

análisis que se usó para
encontrarlos.
Equipo analizado Resuma los incidentes por los Discover

equipos que se han analizado.
Remitente Resuma los incidentes por el Network

remitente.
Endpoint
Discover
Servidor o detector Resuma los incidentes por el Network

servidor en el cual fueron creados.
Endpoint
IP de origen Resuma los incidentes por la Network

dirección IP de origen a partir de la
Endpoint
cual fueron creados.
Archivo de origen Resuma los incidentes por el Endpoint

archivo de origen que infringió la
política.
Estado Resuma los incidentes por el Network

estado del incidente.
Endpoint
Discover
Asunto Resuma los incidentes por el Discover

asunto.
ID de destino Resuma los incidentes por el Id. de Discover

destino del análisis
Tipo de destino Resuma los incidentes por el tipo Discover

de destino en el cual el incidente
fue generado.
Justificación del Resuma los incidentes por la Endpoint

usuario justificación especificada por el
usuario.
Nombre de usuario Resuma los incidentes por el Endpoint

usuario que generó el incidente.
Semana Resuma los incidentes por la Network

semana en la cual fueron creados.
Endpoint
Semanas desde la Resuma los incidentes por cuántas Discover

primera detección semanas han pasado desde que el
vez.
Opciones de filtros avanzados para informes
Año Resuma los incidentes por el año Network

en el cual fueron creados.
Endpoint
Años desde la primera Resuma el incidente por cuántos Discover

detección años han pasado desde que el
vez.

Los filtros de informes avanzados le permiten filtrar los incidentes relacionados con
las acciones específicas o las cadenas de texto. Por ejemplo, se pueden filtrar los
incidentes que se relacionan con una palabra clave específica. O se pueden filtrar
los incidentes que se relacionan con cierta acción. Estos filtros combinan a un
conjunto de campos de selección o de cuadros de texto para crear el filtro avanzado.
Tabla 48-8, Tabla 48-9 y Tabla 48-10 enumeran las opciones de filtros avanzados
para los informes.
Tabla 48-8 Filtros avanzados, primer campo
Nombre Descripción Productos

aplicables
Config. del agente Resuma los agentes y los incidentes por la Endpoint
entidad de configuración de agente asociada.
Si tiene más de una entidad de configuración
de agente configurada, puede resumir o filtrar
por un menú desplegable de entidad específica.
Si la entidad de configuración de agente
predeterminada es la única entidad configurada,
no verá el menú desplegable.

aplicables
Estado de config. de agente Resuma el agente por el estado de la entidad Endpoint

de configuración.
■ Configuración actual
La configuración en el agente es igual a la
configuración en el servidor de endpoints.
■ Configuración no actualizada
La configuración en el agente es distinta de
la configuración en el servidor de endpoints.
■ Configuración desconocida/eliminada
Los agentes no pueden informar qué
configuración está instalada, o la
configuración en el agente se ha eliminado
del servidor de endpoints.
Respuesta del agente Filtre los incidentes por la respuesta del agente Endpoint
ante el incidente.
Nombre de la aplicación Filtre los incidentes por el nombre de la Endpoint

aplicación donde el incidente fue generado.
Título de la ventana de la aplicación Filtre los incidentes por una cadena en el título Endpoint
de la ventana donde el incidente fue generado.
Nombre del archivo adjunto Filtre los incidentes por el nombre de archivo Network
del archivo adjunto que se asocia al incidente.
Tamaño del archivo adjunto Filtre los incidentes por el tamaño del archivo Network
adjunto que se asocia al incidente.
Box: Colaborador Filtrar incidentes por colaborador de Box. Discover
Box: Rol del colaborador Filtrar incidentes por el rol del colaborador de Discover
Box. Los roles incluyen:
■ Copropietario
■ Editor
■ Vista previa
■ Cargador de vista previa
■ Cargador
■ Visor
■ Cargador de visor
Box: Vínculo compartido Filtrar incidentes por la presencia o la ausencia Discover

de un vínculo compartido.

aplicables
Box: Descarga de vínculo compartido Filtrar incidentes por la presencia o la ausencia Discover
permitida de un vínculo compartido que permite
descargas.
Box: Fecha de caducidad de vínculo Filtrar incidentes por la configuración de la fecha Discover
compartido de caducidad de un vínculo compartido.
Box: Vínculo compartido protegido por Filtrar incidentes por la presencia o la ausencia Discover
contraseña de un vínculo compartido protegido por
contraseña.
Raíz de contenido Filtre los incidentes por la ruta de raíz de Discover

contenido.
Dirección de correo electrónico del La dirección de correo electrónico de la persona Network

propietario de datos responsable de reparar el incidente. Este campo
Endpoint
debe configurarse manualmente o con un
complemento de búsqueda. Discover
Nombre de propietario de datos La persona responsable de reparar el incidente. Network

Este campo debe configurarse manualmente o
Endpoint
con un complemento de búsqueda.
Discover
Los informes se pueden enviar automáticamente
al propietario de los datos para la reparación.
IP de destino Filtre los incidentes por la dirección IP de Network

destino para el mensaje que generó el incidente.
Endpoint
Fecha de detección Filtre los incidentes por la fecha en que se Discover

detectó el incidente.
Id. de instancia de dispositivo Resuma los incidentes por el dispositivo Endpoint

específico que creó la infracción.
Nombre del documento Filtre los incidentes por el nombre del Discover
documento responsable de la infracción.
Dominio Filtre los incidentes por el nombre de dominio Network

que se asocia al incidente.
Ubicación del endpoint Filtre los incidentes por la ubicación de endpoint. Endpoint
La ubicación puede ser una de las siguientes:

aplicables
Fecha de última modificación del archivo Filtre los incidentes por la última fecha en que Endpoint
el archivo fue modificado.
Discover
Ubicación del archivo Filtre los incidentes por la ubicación del archivo Endpoint
responsable de la infracción.
Nombre de archivo Filtre los incidentes por el nombre del archivo Endpoint
responsable de la infracción. No se puede usar
Discover
comodines, pero se puede especificar una
coincidencia parcial, por ejemplo, .pdf.
Propietario del archivo Filtre los incidentes por el propietario de los Discover
archivos responsables de la infracción.
Tamaño del archivo Filtre los incidentes por el tamaño del archivo Endpoint
responsable de la infracción.
Discover
Emisor del historial de incidentes Filtre los incidentes por el usuario responsable Network
de emitir el historial del incidente.
Endpoint
Discover
ID de incidente Filtre los incidentes por el Id. de los incidentes. Network
Endpoint
Discover
Cantidad de coincidencias de incidentes Filtre los incidentes por la cantidad de Network

coincidencias de incidentes.
Endpoint
Discover
Notas de incidente Filtre los incidentes por una cadena en las notas Network
del incidente.
Endpoint
Discover
Incidente informado el Filtre los incidentes por la fecha en que se Endpoint

informó el incidente.
Investigando estado Filtre los agentes por el estado de la Discover

investigación. Es posible seleccionar una de las
Endpoint
siguientes opciones:
■ Investigando
■ No investigando

aplicables
Está oculto Filtra incidentes ocultos. Es posible seleccionar Network

una de las siguientes opciones:
Endpoint
■ Mostrar todo
Discover
■ Mostrar elementos ocultos

en la página 1648.
Ocultación permitida Filtra los incidentes basados en estado del Network

indicador Ocultación permitida. Seleccione al
Endpoint
operador Es alguno de del segundo campo y
seleccione la opción Permitir ocultar o No Discover
ocultar en el tercer campo.

en la página 1648.
Hora de la última conexión Filtre los agentes según la última vez en que Endpoint
cada agente se conectó al servidor de
endpoints.
Ubicación Filtre los incidentes por su ubicación. La Discover

ubicación puede incluir al servidor donde los
incidentes fueron generados.
IP del equipo (corporativo) Filtre los incidentes por la dirección IP del Endpoint
equipo en el cual los incidentes fueron creados.
Nombre del equipo Filtre los incidentes por el nombre del equipo Endpoint
en el cual los incidentes fueron creados.
Acción de Network Prevent Filtre los incidentes por la acción de Network Network
Prevent.
Política Filtre los incidentes por la política a partir de la Network

cual fueron creados.
Endpoint
Discover
Grupo de políticas Filtre los incidentes por el grupo de políticas al Network

que pertenecen.
Endpoint
Discover

aplicables
Regla de política Filtre los incidentes por la regla de políticas que Network
generó los incidentes.
Endpoint
Discover
Estado de protección Filtrar los incidentes por el estado de Network Discover

Protect de los incidentes.
Protocolo Filtre los incidentes por el protocolo al que Network

pertenecen.
Destino del protocolo o del endpoint Filtre los incidentes por el protocolo o el destino Endpoint
de endpoint que generaron el incidente.
ACL de lectura: Archivo Filtre los incidentes por la lista de control de Endpoint
acceso a archivos.
Discover
ACL de lectura: Compartir Filtre los incidentes por la lista de control de Discover
acceso a recursos compartidos.
Destinatario Filtre los incidentes por el nombre del Network

destinatario del mensaje que generó el
Endpoint
incidente.
Discover
Estado de detección de reparación Filtre los incidentes por estado de detección de Discover
reparación.
Equipo analizado Filtre los incidentes por los equipos que se han Discover
analizado.
Visto antes Filtre los incidentes en función de si existe un Discover, pero no

incidente conectado anterior. para incidentes de
la base de datos
SQL (donde Visto
antes es siempre
false)
Remitente Filtre los incidentes por el remitente. Network
Endpoint
Discover

aplicables
Servidor o detector Filtre los incidentes por el servidor en el cual Network

fueron creados.
Endpoint
Discover
SharePoint ACL: Nivel de permiso Filtre los incidentes en el nivel de permiso de la Discover
lista de control de acceso de SharePoint.
SharePoint ACL: Usuario/grupo Filtre los incidentes en el usuario o el grupo de Discover

la lista de control de acceso de SharePoint.
IP de origen Filtre los incidentes por la dirección IP de origen Network

a partir de la cual fueron creados.
Asunto Filtre los incidentes por la línea de asunto del Network

mensaje que generó el incidente.
Discover
Sustituido Filtre los incidentes por las respuestas ante Discover

incidentes que han sido sustituidas por otras
Endpoint
respuestas.
Tipo de destino Filtre los incidentes por el tipo de destino que Discover
se asocia a los incidentes.
Tiempo desde la primera detección Filtre los incidentes por cuánto tiempo ha Discover, pero no
pasado desde que el incidente se detectó por para los incidentes
primera vez. de la base de
datos SQL
URL Filtre los incidentes por la URL donde ocurrieron Discover

las infracciones.
Justificación del usuario Filtre los incidentes por la justificación Endpoint

especificada por el usuario.
Nombre de usuario Filtre los incidentes por el usuario que generó Endpoint
el incidente.
El segundo campo en los filtros avanzados le permite seleccionar el tipo de

coincidencia en el filtro.
Tabla 48-9 Filtros avanzados, segundo campo
Nombre Descripción
Contiene alguno de Le permite modificar el filtro para incluir cualquier palabra en la

cadena de texto o le permite elegir de una lista en el tercer
campo.
Contiene Omitir Le permite modificar el filtro para omitir una cadena de texto
mayús/min específica.
No contiene Omitir Le permite modificar el filtro para filtrar la cadena de texto omitida.
mayús/min
No es idéntico a Le permite modificar el filtro para establecer coincidencias con

cualquier combinación de la cadena de texto.
Finaliza con Omitir Le permite modificar el filtro de modo que solamente aparezcan
mayúsculas o los incidentes que finalizan con la cadena de texto omitida.
minúsculas
Es alguno de Le permite modificar el filtro de modo que los resultados incluyan

cualquier cadena de texto o le permite elegir una lista en el tercer
campo.
Está entre Le permite modificar el filtro, de modo que los resultados

numéricos se encuentran entre un intervalo de números
especificados.
Es mayor que Le permite modificar el filtro, de modo que los resultados

numéricos sean mayores que un número especificado.
Es menor que Le permite modificar el filtro, de modo que los resultados

numéricos sean menores que un número especificado.
No es ninguno de Le permite modificar el filtro de modo que los resultados no

incluyan cualquier cadena de texto o le permite elegir una lista
en el tercer campo.
Sin asignar Le deja modificar el filtro para buscar incidentes para los cuales
el valor especificado en el primer campo no está asignado.
Es idéntico a Le permite modificar el filtro para que coincida exactamente con

la cadena de texto.
Es idéntico a Omitir Le permite modificar el filtro de modo que el filtro deba coincidir
mayús/min exactamente con la cadena de texto omitida.
Nombre Descripción
Comienza con Omitir Le permite modificar el filtro de modo que solamente aparezcan
mayúsculas o los incidentes que comienzan con la cadena de texto omitida.
minúsculas
El tercer campo en los filtros avanzados le permite seleccionar de una lista de

elementos o proporciona un cuadro vacío en el que puede escribir una cadena.
Este tercer campo varía en función de las selecciones en los campos primero y
segundo.
Para una lista de elementos, haga clic+Mayús. para seleccionar varios elementos.
Para las cadenas, no se permiten comodines, pero se puede escribir una cadena
parcial.
Por ejemplo, puede escribir .pdf para seleccionar cualquier archivo PDF.
Si no sabe qué texto escribir, use las opciones de resumen para ver la lista de
valores de texto posibles. Es posible también ver un resumen de cuántos incidentes
hay en cada categoría.
Tabla 48-10 enumera algunas de las opciones en el tercer campo.
Tabla 48-10 Filtros avanzados, tercer campo
Nombre Descripción
Bloqueado Se bloqueó al usuario para impedirle realizar la acción que causa

el incidente.
Contenido eliminado Se eliminó el contenido en infracción.
Sin reparación No ha ocurrido ninguna reparación de incidente para este

incidente.
Ninguna No se tomó ninguna acción con respecto a la infracción que

causó el incidente.
Proteger archivo El archivo infractor fue copiado a otra ubicación.

copiado
Proteger archivo en El archivo infractor fue puesto en cuarentena en otra ubicación.

cuarentena
Usuario notificado Se notificó al usuario que ocurrió una infracción.

Capítulo 49
Ocultar los incidentes
■ Acerca de ocultar el incidente
■ Ocultar los incidentes
■ Mostrar incidentes ocultos
■ Evitar que los incidentes estén ocultos
■ Eliminar los incidentes ocultos
Acerca de ocultar el incidente

Ocultar incidentes le permite marcar los incidentes especificados como "ocultos".
Como estos incidentes ocultos se excluyen de la elaboración de informes de
incidentes normal, puede mejorar el rendimiento de la elaboración de informes de
la implementación de Symantec Data Loss Prevention al archivar cualquier incidente
que ya no sea relevante. Sigue habiendo incidentes ocultos en la base de datos;
si no se transfieren a otra tabla, base de datos u otro tipo de almacenamiento
desconectado.
Es posible configurar filtros en los informes de incidentes en la consola de
administración de Enforce Server para mostrar solamente los incidentes ocultos o
para mostrar los incidentes ocultos y no ocultos. Al usar estos informes, usted
puede indicar uno o más incidentes como ocultos usando las opciones
Ocultar/Mostrar que están disponibles cuando usted selecciona uno o más
incidentes y hace clic en el botón Acciones del incidente. Las opciones de
Ocultar/Mostrar son:
oculto.
Ocultar los incidentes 1649

El estado oculto de un incidente se muestra en la pantalla de la instantánea de
incidente en la consola de administración de Enforce Server. La ficha Historial de
la instantánea de incidente incluye una entrada para cada indicador No ocultar o
Permitir ocultar configurado para el incidente.
Ver "Cómo filtrar informes" en la página 1599.
El acceso a la funcionalidad de ocultación es controlado por roles. Es posible
configurar los privilegios de usuario siguientes en un rol para controlar el acceso:
■ Ocultar incidentes : Concede permiso a un usuario para ocultar incidentes.
■ Mostrar incidentes : Concede permiso a un usuario para mostrar los incidentes
ocultos.
■ Reparar incidentes : Concede el permiso para que un usuario configure los
indicadores No ocultar o Permitir ocultar.
Ver "Ocultar los incidentes " en la página 1649.
Ver "Mostrar incidentes ocultos " en la página 1650.
Ver "Evitar que los incidentes estén ocultos" en la página 1650.

Para ocultar los incidentes
1 Abra la consola de administración de Enforce Server y navegue a un informe
de incidente.
2 Seleccione los incidentes que desee ocultar manualmente o configurando
filtros o filtros avanzados que devuelvan el conjunto de incidentes que desea
archivar.
3 Haga clic en el botón Acciones del incidente y seleccione Ocultar/Mostrar
> Ocultar incidentes.
Los incidentes seleccionados están ocultos.
Mostrar incidentes ocultos
Mostrar incidentes ocultos

Para restaurar los incidentes ocultos
de incidente.
2 Seleccione el vínculo Filtros avanzados y resúmenes.
3 Haga clic en el botón Agregar filtro.
4 Seleccione Está oculto en la primera lista desplegable.
5 Seleccione Mostrar elementos ocultos de la segunda lista desplegable.
6 Seleccione los incidentes que desee mostrar manualmente o configurando
filtros o filtros avanzados que devuelvan el conjunto de incidentes que desea
mostrar.
Los incidentes seleccionados se muestran.
Evitar que los incidentes estén ocultos

Es posible evitar que los incidentes sean ocultados usando un informe de incidente
o una instantánea de incidente.
Para evitar que los incidentes se oculten usando un informe de incidente
de incidente.
2 Seleccione los incidentes que desee evitar que sean ocultados. Es posible
seleccionar los incidentes manualmente o configurando filtros o filtros
avanzados que devuelvan el conjunto de incidentes que desea evitar que sean
ocultados.
3 Haga clic en el botón Acciones del incidente y seleccione Ocultar/Mostrar
> No ocultar.
Se evita que los incidentes seleccionados sean ocultados.
Nota: Es posible que se oculten los incidentes se impidió que se oculten

seleccionando los incidentes y después seleccionando Ocultar/Mostrar >
Permitir ocultar del botón Acciones del incidente.
Eliminar los incidentes ocultos
Para evitar que un incidente sea ocultado usando la instantánea de incidente

de incidente.
2 Haga clic en un incidente para abrir la instantánea de incidente.
3 En la ficha Información clave, en la sección Detalles del incidente, haga
clic en No ocultar.
Nota: Es posible permitir ocultar un incidente que se ha evitado que sea

ocultado abriendo la instantánea de incidente y después haciendo clic en
Permitir ocultar en la sección Detalles del incidente.

Para eliminar los incidentes ocultos
de incidente.
2 Haga clic en el vínculo Filtros avanzados y resúmenes.
3 Haga clic en Agregar filtro.
4 Seleccione Está oculto en la primera lista desplegable.
5 Seleccione Mostrar elementos ocultos de la segunda lista desplegable.
6 Seleccione los incidentes que desee eliminar. Es posible seleccionar los
incidentes manualmente o se pueden configurar filtros o filtros avanzados que
devuelvan el conjunto de incidentes que desee eliminar.
7 Haga clic en el botón Acciones del incidente y seleccione Eliminar
incidentes.
8 Seleccione una de las siguientes opciones de eliminación:
Eliminar el Elimina permanentemente los incidentes y todos los datos

incidente asociados (por ejemplo, cualquier correo electrónico y archivo
completamente adjunto). Tenga en cuenta que no se pueden recuperar los
incidentes que se han eliminado.
Retener el Retiene los incidentes reales, pero descarta la copia de Symantec

incidente, pero Data Loss Prevention de los datos que activaron los incidentes.
eliminar datos del Tiene la opción de eliminar solamente ciertas partes de los datos
mensaje asociados. El resto de los datos se conserva.
Eliminar mensaje Elimina el contenido del mensaje (por ejemplo, el mensaje de

original correo electrónico o la publicación HTML). Esta opción se aplica
solamente a los incidentes de red.
Eliminar archivos Esta opción se refiere a los archivos (para los incidentes de
adjuntos/archivos endpoint y de Discover) o a los archivos adjuntos de correos
electrónicos o publicaciones (para los incidentes de red). Las
opciones son Todos, que elimina todos los archivos adjuntos, y
Archivos adjuntos sin infracciones. Por ejemplo, elija esta opción
para eliminar los archivos (para los incidentes de endpoint y de
detección) o los archivos adjuntos de correo electrónico (para los
incidentes de red).
Esta opción elimina solamente esos archivos adjuntos en los

cuales Symantec Data Loss Prevention no encontró ninguna
coincidencia. Por ejemplo, elija esta opción cuando tenga
incidentes con archivos individuales tomados de un archivo
comprimido (incidentes de Endpoint y Discover) o de varios
archivos adjuntos de correo electrónico (incidentes de Network).
9 Haga clic en el botón Eliminar.

Capítulo 50
Cómo trabajar con datos de
incidente
■ Acerca de atributos del estado del incidente
■ Configuración de atributos y valores del estado
■ Configurar grupos de estado
■ Exportar archivo de almacenamiento web
■ Exportar archivo de almacenamiento web - Crear archivo de almacenamiento
■ Exportar archivo de almacenamiento web - Todos los eventos recientes
■ Acerca de los atributos personalizados
■ Acerca de cómo lugar atributos personalizados
■ Cómo se completan los atributos personalizados
■ Cómo configurar atributos personalizados
■ Configuración de atributos personalizados
■ Cómo configurar los valores de atributos personalizados manualmente
Acerca de atributos del estado del incidente

Los atributos del estado del incidente se especifican y se configuran desde la
pantalla Atributos ( Sistema > Datos de incidentes > Atributos ).
Cómo trabajar con datos de incidente 1654
Acerca de atributos del estado del incidente
Cualquier atributo de estado detallado en esta pantalla se puede asignar a cualquier

incidente dado seleccionándolo del menú desplegable Estado de la instantánea
de incidente.
La página de los atributos de sistema contiene los atributos siguientes para ayudar
en la reparación del incidente:
■ Valores de estado
La sección Valores de estado enumera los atributos de estado del incidente
actuales que pueden ser asignados a un incidente dado. Use esta sección para
crear atributos del estado, para modificarlos y para cambiar el orden en que
cada atributo aparece en los menús desplegables.
Ver "Configuración de atributos y valores del estado" en la página 1655.
■ Grupos de estado
La sección Grupos de estado enumera los grupos de estado del incidente
actual y su composición. Use esta sección para crear los grupos de estado,
para modificarlos y para cambiar el orden en que el grupo aparece en los menús
desplegables.
Ver "Configurar grupos de estado" en la página 1656.
■ Atributos personalizados en la ficha Atributos personalizados
La ficha Atributos personalizados proporciona una lista de todos los atributos
personalizados actualmente definidos del incidente. Los atributos personalizados
proporcionan la información sobre el incidente o asociada al incidente. Por
ejemplo, la dirección de correo electrónico de la persona que causó el incidente,
el administrador de esa persona, por qué el incidente fue rechazado, etc. Use
esta ficha para agregar, para configurar, para eliminar y para ordenar atributos
personalizados del incidente.
El proceso para controlar incidentes pasa a través de varias fases, de la detección
a la resolución. Cada fase es identificada por un atributo de estado diferente, tal
como “nuevo”, “investigación”, “elevado”, y “resuelto”. Esto permite realizar un
seguimiento del progreso del incidente en el flujo de trabajo y filtrar las listas y los
informes del estado del incidente.
El paquete de soluciones que usted instaló cuando instaló Symantec Data Loss
Prevention proporciona un conjunto predeterminado inicial de atributos de estado
y de grupos de estado del atributo. Es posible crear atributos del estado o modificar
los existentes. Los valores de atributo de estado y los grupos de estado que se
usan se deben basar en el flujo de trabajo que la organización utiliza para procesar
incidentes. Por ejemplo, es posible asignar a todos los nuevos incidentes un estado
“nuevo”. Más tarde, es posible cambiar el estado a “asignado”, “investigación” o
“elevado”. Eventualmente, la mayoría de los incidentes serán marcados como
“resueltos” o como “rechazados”.
Configuración de atributos y valores del estado
Para el filtrado de listas e informes, se puede también crear los grupos de estado.
De acuerdo con las preferencias de su organización y de la terminología de uso
general en su industria, se puede:
■ Personalizar los nombres de los atributos de estado y agregar los atributos del
estado.
■ Personalizar los nombres de los grupos de estado y agregar los grupos de
estado.
■ Configurar el orden en el cual los atributos de estado aparecen en la lista
desplegable Estado de un incidente.
■ Especificar el atributo de estado predeterminado que es automáticamente
asignado a los nuevos incidentes.
Configuración de atributos y valores del estado

Mientras que los incidentes se procesan de la detección a la resolución, cada fase
se puede marcar con un estado diferente. El estado le permite realizar un
seguimiento del progreso del incidente a través de su flujo de trabajo. De acuerdo
con las preferencias de su organización y de la terminología de uso general en su
industria, se pueden definir los diversos estados que desee usar para realizar un
seguimiento del flujo de trabajo.
La sección Valores de estado enumera los atributos de estado del incidente
disponibles que pueden ser asignados a un incidente dado. El orden en el cual los
atributos de estado aparecen en esta lista determina el orden en que aparecen en
los menús desplegables usados para configurar el estado de un incidente. Es
posible realizar las acciones siguientes desde la sección Valores de estado :
Acción Procedimiento
Cree un atributo de estado del nuevo Haga clic en el botón Agregar.

incidente.
Elimine un atributo de estado del Haga clic en la X roja del atributo y después
incidente. confirme su decisión.
Configurar grupos de estado
Cambie un atributo de estado del Haga clic en el atributo que desee cambiar, escriba
incidente. un nuevo nombre y haga clic en Guardar.
Para cambiar el nombre de un estado existente,

haga clic en el icono del lápiz para ese estado,
escriba el nuevo nombre y haga clic en Guardar.
Establezca el atributo de estado de un Haga clic en [establecer como predeterminado]

incidente como opción predeterminada. para que un atributo lo establezca como estado
predeterminado para todos los nuevos incidentes.
Cambie el orden de un atributo de ■ Haga clic en [Arriba] para mover un atributo

estado del incidente en los menús para arriba en el orden.
desplegables. ■ Haga clic en [Abajo] para mover un atributo
para abajo en el orden.
Para crear un atributo de estado del nuevo incidente

1 Vaya a la pantalla Atributos ( Sistema > Datos de incidentes > Atributos
).
Haga clic en la ficha Estado.
2 Haga clic en el botón Agregar en la sección Valores de estado.
3 Escriba un nombre para el atributo nuevo del estado.

Los atributos del estado del incidente pueden ser asignados a los grupos de estado
que coinciden con el flujo de trabajo de su organización. Por ejemplo, un grupo de
estado Abierto puede incluir los atributos de estado de Nuevo, de Investigación
y de Elevado. Es posible entonces filtrar las listas y los informes del incidente
basados en su grupo de estado. Por ejemplo, se pueden enumerar todos los
incidentes con los atributos de estado que pertenecen al grupo de estado Abierto.
Sistema > Datos de incidentes > Atributos lo lleva a Grupos de estado.
Para su conveniencia, se pueden agrupar los estados del incidente para que
coincida con el flujo de trabajo de su organización. Se usa Grupos de estado para
agregar o para modificar el nombre de un grupo de estado y especificar qué valores
de estado incluir en el grupo.
La sección Grupos de estado detalla los grupos de estado del incidente disponibles
que pueden ser usados para filtrar incidentes. Para cada grupo, se detallan los
atributos de estado incluidos en el grupo. Es posible realizar las acciones siguientes
desde la sección Valores de estado :
Cree un grupo de estado del nuevo Haga clic en el botón Agregar grupo de estado.
incidente.
Elimine un grupo de estado del Haga clic en la X roja del grupo y después confirme
incidente. su decisión.
Cambie los atributos de estado del Haga clic en el grupo que desee cambiar. Haga
incidente o el nombre de un grupo. clic en el icono del lápiz. Cambie el nombre,
seleccione o anule la selección de los atributos y
haga clic en Guardar.
Cambie el orden de los grupos de ■ Haga clic en [Arriba] para mover un grupo para
estado en los menús desplegables. arriba en el orden.
■ Haga clic en [Abajo] para mover un grupo para
abajo en el orden.
Para definir un grupo de estado

1 Vaya a la pantalla Atributos ( Sistema > Datos de incidentes > Atributos
).
Haga clic en la ficha Estado.
2 Haga clic en el botón Agregar grupo de estado en la sección Grupos de
estado.
3 Escriba un nombre para el grupo nuevo de estado.
4 Haga clic en las casillas de selección para los atributos de estado que desee
incluir en este grupo.
Los atributos de estado se definen con el botón Agregar en la sección Valores
de estado.
Exportar archivo de almacenamiento web
Exportar archivo de almacenamiento web

Use esta pantalla para guardar un informe de la lista de incidentes como archivo
de almacenamiento de páginas HTML. Un archivo de almacenamiento permite que
el personal sin acceso directo a Symantec Data Loss Prevention estudie los datos
de incidentes, desglosando en incidentes individuales, según sea necesario.
Cuando se exportan los incidentes como archivo de almacenamiento web, el archivo
de almacenamiento se coloca en el directorio
\SymantecDLP\Protect\archive\webarchive.
Nota: No es posible archivar informes resumidos o paneles de información.
Cuando exporta incidentes, tenga en cuenta las siguientes consideraciones:

■ Un archivo de almacenamiento no se puede resumir como un informe normal.
■ Un archivo de almacenamiento no contiene ningún filtro, de modo que puede
ser difícil localizar un incidente específico en un archivo de almacenamiento
que contiene un gran número de incidentes.
■ Exportar un archivo de almacenamiento de incidentes no elimina los incidentes
de la consola de administración.
■ Es posible exportar solamente un archivo de almacenamiento por vez.
Exportar archivo de almacenamiento web es un privilegio de usuario que se debe
asignar a un rol. Es posible exportar los archivos de almacenamiento web solamente
si su rol proporciona el acceso a esta función. Puesto que el rol de acceso, además,
determina qué información contienen los informes de incidentes, también se aplica
para archivar esos informes de incidentes. La información que se contiene en el
archivo de almacenamiento que se crea es la misma información contenida en el
informe de incidentes original.
Ver "Acerca de cómo configurar roles y usuarios" en la página 113.
La pantalla Exportar archivo de almacenamiento web está dividida en dos secciones:
Ver "Exportar archivo de almacenamiento web - Crear archivo de almacenamiento"
en la página 1659.
Ver "Exportar archivo de almacenamiento web - Todos los eventos recientes"
en la página 1661.
Exportar archivo de almacenamiento web - Crear archivo de almacenamiento
Exportar archivo de almacenamiento web - Crear

archivo de almacenamiento
En la sección Crear archivo de almacenamiento, complete la siguiente
información:
Campo Descripción
Nombre de archivo de almacenamiento Especifique un nombre para el archivo de

almacenamiento que usted está creando,
usando la convención de nombres normal de
Windows.
Exportar archivo de almacenamiento web - Crear archivo de almacenamiento
Campo Descripción
Informe para exportar Desde la lista desplegable, seleccione el

informe que desee archivar. Cualquier
informe creado está disponible junto con
opciones predeterminadas del informe.
Las opciones de Network son las siguientes:
■ Incidentes - Semana en curso :

incidentes de red a partir de la semana
actual.
■ Incidentes - Todos : todos los incidentes
de red.
■ Incidentes - Nuevos : incidentes de red
con estado Nuevo.
Las opciones de Endpoint son las siguientes:
■ Incidentes - Semana en curso :

incidentes de endpoint a partir de la
semana actual.
■ Incidentes - Todos : todos los incidentes
de endpoint.
■ Incidentes - Nuevos : solo incidentes de
endpoint con estado Nuevo.
Las opciones Discover son las siguientes:
■ Incidentes - Último análisis : detecte

incidentes desde el último análisis
completado. (No se incluyen los
incidentes de un análisis actualmente
activo).
■ Incidentes - Análisis en curso :
descubra incidentes del análisis actual.
■ Incidentes - Todos los análisis : todos
los incidentes de descubrimiento.
■ Incidentes - Nuevos : descubra
incidentes con estado Nuevo.
Una vez que se completen los campos, haga clic en Crear para compilar el archivo
de almacenamiento.
Ver "Exportar archivo de almacenamiento web" en la página 1658.
Exportar archivo de almacenamiento web - Todos los eventos recientes
Exportar archivo de almacenamiento web - Todos los

eventos recientes
La sección Todos los eventos recientes muestra una lista de eventos relacionados
con este archivo de almacenamiento. (La lista aparece solamente después que se
hace clic en Crear para crear el archivo de almacenamiento). Las entradas de
eventos muestran la siguiente información:
■ El tipo de evento (error, advertencia o información del sistema).
■ La fecha y la hora del evento.
■ Una descripción abreviada del evento.
Para ver los detalles de cualquier evento, haga clic en la entrada de eventos en la
lista. Para ver el informe completo de los eventos para este archivo de
almacenamiento, haga clic en Mostrar todo.
Ver "Exportar archivo de almacenamiento web" en la página 1658.
Acerca de los atributos personalizados

Los "atributos personalizados" son los campos de datos de incidentes que
proporcionan una manera de capturar y de almacenar la información suplementaria
del incidente. Se puede hacer lo siguiente con los datos adicionales que se
contienen en atributos personalizados:
■ Usarlos para impulsar el flujo de trabajo.
■ Ejecutar acciones de respuesta ante incidentes.
■ Usarlos en medidas de informe.
■ Permitir a los equipos de respuesta ante incidentes actuar más rápidamente
en incidentes.
■ Permitir mayor automatización de la reparación y del informe.
Puede crear los atributos personalizados que se necesitan para estos propósitos.
Los atributos personalizados proporcionan información sobre un incidente o
información asociada a un incidente; por ejemplo, la dirección de correo electrónico
de la persona que causó el incidente, el administrador de esa persona, por qué el
incidente no fue tenido en cuenta, etc.
La ficha Atributos personalizados de la pantalla Atributos ( Sistema > Datos
de incidentes > Atributos ) se usa para trabajar con atributos personalizados. La
pantalla Atributos contiene las fichas siguientes:
Acerca de los atributos personalizados
■ Estado. La ficha Estado proporciona una lista de todos los atributos de estado
y los grupos de atributo de estado del incidente definido actualmente. Use esta
ficha para agregar, configurar, eliminar y ordenar los atributos de estado del
incidente y los grupos de estado del incidente.
■ Atributos personalizados. La ficha Atributos personalizados proporciona
una lista de todos los atributos personalizados actualmente definidos del
incidente. Use esta ficha para agregar, para configurar, para eliminar y para
ordenar atributos personalizados del incidente.
El paquete de soluciones que cargó cuando instaló Symantec Data Loss Prevention
proporciona un conjunto predeterminado inicial de atributos personalizados. La
ficha Atributos personalizados proporciona una lista de todos los atributos
personalizados actualmente definidos que se pueden aplicar a cualquier incidente.
Esta ficha sirve para crear, modificar y eliminar atributos personalizados para su
instalación en conjunto. La aplicación de cualquiera de estos valores de atributo o
atributos personalizados a un incidente individual se hace desde la instantánea de
incidente o usando un complemento de búsqueda.
En la ficha Atributos personalizados, se pueden realizar las siguientes funciones:
Crear un nuevo atributo personalizado. Haga clic en el botón Agregar.
Elimine un atributo personalizado. Haga clic en la "X" roja del atributo y después
confirme su decisión.
Tenga en cuenta que no se puede eliminar un
atributo personalizado que esté actualmente
asignado a uno o más incidentes. Es necesario
asignar otro atributo a los incidentes afectados
antes de que pueda eliminar el atributo
personalizado correctamente.
Cambie el nombre, el estado de correo Haga clic en el atributo que desee cambiar, cambie
electrónico o el grupo de atributos de sus parámetros y haga clic en Guardar.
un atributo.
Cambie el orden de los atributos en los 1 Haga clic en [Arriba] para mover un atributo
menús desplegables. para arriba en el orden.
2 Haga clic en [Abajo] para mover un atributo

para abajo en el orden.
Acerca de cómo lugar atributos personalizados
Recargar complementos de búsqueda Haga clic en Recargar complemento de

búsqueda para volver a cargar a cualquier
complemento de atributo personalizado que haya
sido descargado por el sistema.
Volver a cargar complementos de búsqueda afecta

todos los incidentes. Es posible que sea necesario
volver a cargar los complementos de búsqueda si
se cumple alguna de estas condiciones:
■ Un complemento era problemático y el sistema

lo descargó, pero ahora el problema se reparó.
■ La red estaba fuera de servicio o desconectada
por alguna razón, pero ahora está funcionando
correctamente.
■ Un complemento almacena datos en memoria
caché, y usted desea actualizar manualmente
la memoria caché.

Ver "Cómo configurar los valores de atributos personalizados manualmente"
en la página 1666.
Acerca de cómo lugar atributos personalizados

Cuando se crea un incidente, Enforce Server recupera los datos con respecto a
ese incidente. Parte de esos datos está bajo la forma de “atributos”. Consulte la
Guía de administración de Symantec Data Loss Prevention para obtener más
información sobre atributos de incidente.
Los “atributos personalizados” son una clase determinada de atributo que se usa
para capturar y para almacenar datos suplementarios. Estos datos se relacionan
con el incidente, tal como el nombre de un administrador o de un departamento
relevante. Se crean los atributos personalizados que se necesitan.
Se puede hacer lo siguiente con los datos adicionales que contienen los atributos
personalizados:
■ Habilitar un flujo de trabajo
■ Ejecutar acciones de respuesta ante incidentes
■ Incluirlos en medidas del informe
Cómo se completan los atributos personalizados
■ Crear equipos de respuesta ante incidentes para actuar más rápidamente ante
incidentes
■ Habilitar la automatización creciente de la reparación y de informes
Cómo se completan los atributos personalizados

Para cada incidente, los atributos personalizados se pueden completar (sus valores
se pueden configurar en los datos del incidente) de las siguientes maneras:
■ Automáticamente cuando el incidente se detecta mediante un complemento de
búsqueda, según lo descrito en esta guía
■ Automáticamente cuando el incidente se detecta mediante una regla de
respuesta automática
■ Automáticamente cuando un usuario ejecuta una regla de respuesta inteligente
■ Manualmente (mediante introducción de datos) por usuarios específicos después
de la detección
Los atributos personalizados pueden además volver a ser completados
automáticamente haciendo clic en la opción Búsqueda en la sección Atributo de
la pantalla Instantánea de incidente. Esta acción reemplaza los valores existentes
que se almacenan en los campos de atributos personalizados con los valores
devueltos por las nuevas operaciones de búsqueda.
Nota: Si las nuevas operaciones de búsqueda devuelven valores nulos o vacíos

para los campos de atributos personalizados, esos valores vacíos sobrescriben
los valores existentes.
Cómo configurar atributos personalizados

Use la pantalla Configurar atributo personalizado para agregar o para modificar
un atributo personalizado.
Los atributos personalizados se pueden agrupar en grupos de atributos, similar a
como se agrupan los estados en grupos de estado, para ordenar la información
de manera útil. Los ejemplos de los grupos comunes de atributos incluyen
Información del empleado, Información del administrador e Información de
reparación. Los atributos personalizados están disponibles para todos los
incidentes.
Configuración de atributos personalizados
Para crear atributos personalizados y agregarlos a un grupo

1 En Enforce Server, haga clic en Sistema > Datos de incidentes > Atributos
> Atributos personalizados. Tenga en cuenta que varios atributos
personalizados fueron definidos y cargados para usted por el paquete de
soluciones que seleccionó durante la instalación. Todos los atributos
personalizados existentes se detallan en la ventana Atributos personalizados.
2 Para crear un nuevo atributo personalizado, haga clic en la opción Agregar.
3 Escriba un nombre para el atributo personalizado en el cuadro Nombre. Si
corresponde, seleccione el cuadro Es dirección de correo electrónico.
El nombre que se da a un atributo personalizado no importa. Pero un atributo
personalizado que se crea debe estructurarse igual que el origen de datos
externo correspondiente. Por ejemplo, supongamos que un origen externo
almacena información del departamento como ubicación geográfica y nombre
de departamento diferentes. En este caso, es necesario crear los atributos
personalizados correspondientes de nombre de departamento y ubicación.
No es posible crear un único atributo personalizado de Id. de departamento
que combine la ubicación y el nombre del departamento.
4 Seleccione un grupo de atributos de la lista desplegable Grupo de atributos.
Si es necesario, cree un nuevo grupo de atributos. Seleccione Crear nuevo
grupo de atributos de la lista desplegable y escriba el nuevo nombre del
grupo en el cuadro de texto que aparece.
Configuración de atributos personalizados

Una vez que se definen los atributos personalizados, están disponibles para cada
incidente. Cada incidente recibe su propio conjunto de atributos personalizados
(aunque algunos pares nombre-valor pueden estar vacíos dependiendo de las
circunstancias). Los valores de los atributos personalizados para un incidente se
pueden completar y cambiar independientemente de otros incidentes.
Es posible editar los valores de los atributos personalizados si le han asignado un
rol que incluye acceso de edición para atributos personalizados. Si desea actualizar
un grupo de incidentes, puede seleccionar esos incidentes en la página de lista de
incidentes. Es posible entonces seleccionar el comando Establecer atributos del
Cómo configurar los valores de atributos personalizados manualmente
menú Acciones del incidente. Es posible seleccionar Buscar atributos, para

buscar valores de atributos personalizados. Tenga en cuenta que el comando
Establecer atributos y la sección Atributos de la página Instantánea de incidente
están disponibles solamente si por lo menos se define un atributo personalizado.
Para configurar los atributos personalizados para los incidentes
1 En la página de la lista del incidente, seleccione el incidente o los incidentes
para los cuales desee fijar los atributos personalizados, después haga clic en
Acciones del incidente > Establecer atributos.
La página Configurar atributos de incidente aparece.
2 Seleccione los atributos personalizados que desee establecer para el incidente
o los incidentes.
3 Haga clic en Guardar..
4 Genere un nuevo incidente o vea un incidente existente y verifique que
contenga el nuevo atributo personalizado.
Cómo configurar los valores de atributos

personalizados manualmente
Es posible especificar manualmente el progreso del estado o del flujo de trabajo
de la reparación del incidente con valores en atributos personalizados.
Nota: Para completar automáticamente los valores del atributo personalizado, use
uno o más complementos de búsqueda. Ver "Acerca de los complementos de
búsqueda" en la página 1683.
Para configurar el valor de atributos personalizados

1 Muestre una instantánea de incidente.
2 Haga clic en la opción Editar en la sección Atributos de la instantánea de
incidente.
3 Para configurar un valor para un atributo personalizado, escriba el valor en el
campo de atributos apropiado.
4 Cuando haya terminado de configurar valores, haga clic en Guardar.
Capítulo 51
Trabajar con riesgos de los
usuarios
■ Acerca del riesgo del usuario
■ Acerca de los orígenes de datos del usuario
■ Acerca de la identificación de usuarios en incidentes web
■ Ver lista de usuarios
■ Vista de detalles del usuario
■ Trabajo con el resumen de riesgo de usuario
Acerca del riesgo del usuario

El resumen de riesgo de usuario le brinda información sobre el comportamiento
de individuos específicos en su organización al asociar a los usuarios con la Web,
el correo electrónico y los incidentes de endpoint. Esta información le ayuda centrar
sus esfuerzos de prevención de pérdida de datos en los usuarios que plantean el
riesgo más alto para la seguridad de sus datos.
La tabla Tabla 51-1 proporciona una descripción general de los pasos para crear
y trabajar con los informes resumidos de riesgo del usuario.
Trabajar con riesgos de los usuarios 1668
Acerca del riesgo del usuario
Tabla 51-1 Flujo de trabajo del resumen de riesgo del usuario
1 Cree atributos de usuario personalizado Es posible crear atributos personalizados para filtrar y trabajar con
informes de resumen de riesgo del usuario. Por ejemplo, puede crear
un atributo denominado Estado laboral para realizar un seguimiento
del estado laboral de cada usuario. Es posible entonces importar
esa información en un archivo que se exporta de su sistema de
planificación de recursos empresariales, como SAP.
Ver "Definición de atributos personalizados para datos del usuario"

en la página 1671.
2 Importar datos del usuario Puede importar los datos de usuario de una conexión de Active
Directory o de un archivo CSV. Los incidentes se asocian con
usuarios específicos por dirección de correo electrónico y
credenciales de inicio de sesión. Es posible también cargar archivos
con atributos personalizados, como información del sistema de
planificación de recursos empresariales. Symantec Data Loss
Prevention proporciona un archivo de plantilla CSV que se puede
usar para dar formato a cualquier dato que desee cargar.
Ver "Ingreso de datos del usuario" en la página 1672.
3 Configure la dirección IP a la resolución Symantec Data Loss Prevention puede resolver los nombres de
del nombre de usuario usuario de las direcciones IPv4 en los incidentes de HTTP/S y del
FTP. El agente del controlador de dominio consulta los eventos de
Windows en el registro de eventos de seguridad de Microsoft Active
Directory del controlador de dominio. Symantec Data Loss Prevention
asocia estos eventos de Windows a los datos de usuario en su base
de datos.
Ver "Acerca de la identificación de usuarios en incidentes web"

en la página 1677.
3 Consulte la Lista de usuarios La Lista de usuarios es una lista de todos los usuarios de su
sistema, incluidos dirección de correo electrónico, dominio y nombre
de inicio de sesión.
Ver "Ver lista de usuarios" en la página 1680.
Es posible ver los detalles de usuarios específicos en la instantánea

de usuario.
Ver "Vista de detalles del usuario" en la página 1681.

Acerca de los orígenes de datos del usuario
4 Consulte Resumen de riesgos de los Resumen de riesgos de los usuarios muestra los usuarios y los
usuarios incidentes asociados de Endpoint y Network. Use Resumen de
riesgos de los usuarios para explorar los datos de incidente
centrados en usuarios para ayudarle a buscar a los usuarios con
riesgo más elevado. Es posible ordenar y filtrar esta lista por las
políticas, los atributos personalizados, el estado del incidente, la
gravedad del incidente, el nombre de usuario identificado por la
dirección IP, la cantidad de incidentes, la fecha, el tipo de incidente
y el nombre de usuario.
Ver "Trabajo con el resumen de riesgo de usuario" en la página 1681.
5 Exporte los datos de instantánea del Es posible exportar los datos del resumen de riesgo del usuario y
usuario o el resumen de riesgos del las instantáneas de usuario a un archivo CSV.
usuario.
Ver "Trabajo con el resumen de riesgo de usuario" en la página 1681.
Usar la información que se proporciona en el resumen de riesgo del usuario permite

considerar quiénes son los usuarios de alto riesgo y determinar el modo de proceder
apropiado que se debe tomar. Dichas acciones pueden incluir:
■ Determinar si un usuario plantea una amenaza activa a la seguridad de datos.
■ Aplicar políticas adicionales para supervisar el comportamiento de un usuario
más de cerca.
■ Aplicar reglas de respuesta adicionales para bloquear acciones o enviar alertas.
■ Elevar el comportamiento del usuario a su administrador u otra parte
responsable.
Para trabajar con datos de riesgo del usuario, un usuario de Symantec Data Loss
Prevention debe contar con el privilegio Elaboración de informes del usuario.
Tenga en cuenta que los usuarios con este privilegio pueden ver y acceder de
forma automática a todos los incidentes y tipos de incidentes en Symantec Data
Loss Prevention. El resumen de riesgo de usuario está destinado al uso de oficiales
de seguridad de la información o reparadores de alto nivel. Este privilegio no forma
parte de ningún rol previamente definido.

Puede ingresar datos de los usuarios en el formato de archivo .csv o mediante una
conexión de Active Directory.
La información del usuario son datos sobre las personas en su organización que
pueden tener acceso a los datos que desea mantener seguros. Para realizar un
seguimiento del riesgo del usuario, debe proporcionar el nombre y el apellido del
usuario, la dirección de correo electrónico (para realizar un seguimiento de los
incidentes de red) y la información de inicio de sesión (para realizar un seguimiento
de los incidentes del endpoint). Es posible también proporcionar información de
atributo de directorio estándar adicional, como número de teléfono y dirección del
usuario, así como atributos personalizados tales como el estado laboral del usuario.
La tabla Tabla 51-2 enumera los atributos de datos de usuario estándar requeridos
y opcionales:
Tabla 51-2 Datos de usuario estándar
Atributo Necesaria u opcional Descripción
NOMBRE Obligatorio El nombre del usuario.
APELLIDO Obligatorio El apellido del usuario.
CORREO ELECTRÓNICO Obligatorio si no se incluyó La dirección de correo electrónico del

información de inicio de sesión usuario.
INICIO DE SESIÓN Obligatorio si no se incluyó la dirección La información de inicio de sesión del

de correo electrónico usuario, en el formato
DOMINIO\INICIO DE SESIÓN
NÚMERO_DE_TELÉFONO Opcional El número del teléfono del usuario.
ID_DE_EMPLEADO Opcional El número de identificación del

empleado del usuario.
CARGO Opcional El cargo del usuario.
DEPARTAMENTO Opcional El departamento del trabajo del

usuario.
DIRECCIÓN Opcional La dirección del usuario
ESTADO_O_PROVINCIA Opcional El estado o la provincia en la que

reside el usuario.
PAÍS Opcional El país en el que reside el usuario.
CÓDIGO_POSTAL Opcional El código postal de la dirección del

usuario.
Ver "Definición de atributos personalizados para datos del usuario" en la página 1671.
Ver "Ingreso de datos del usuario" en la página 1672.
Definición de atributos personalizados para datos del usuario

Es posible crear atributos personalizados para mejorar la importancia mientras
filtra y trabaja con informes de resumen de riesgo del usuario. Los atributos
personalizados útiles pueden incluir el estado del empleo, el nombre del
administrador de usuarios, la función del trabajo del usuario y otra información que
se puede almacenar en su sistema de planificación de recursos empresariales u
origen de datos de usuario adicional.
Es necesario crear atributos personalizados antes de especificar cualquier dato
del usuario. A cada atributo personalizado se le asigna un número de identificación
a medida que se crea. Debe agregar estos números de identificación del atributo
personalizado a su archivo de datos antes de que lo importe a Symantec Data Loss
Prevention.
Ver "Cómo agregar un origen de datos de usuario basado en archivo"
en la página 1672.
Para definir atributos personalizados para datos de usuario
1 En la consola de administración de Enforce Server, vaya a Sistema > Usuarios
> Atributos.
2 Haga clic en Agregar. El cuadro de diálogo aparece Atributo de usuario.
3 Especifique el atributo personalizado en el campo Nombre. El atributo
personalizado puede tener un máximo de 60 caracteres.
Para ver y editar los atributos personalizados de usuario
1 En la consola de administración de Enforce Server, vaya a Sistema > Usuarios
> Atributos.
2 Los atributos personalizados aparecen en la lista Atributos personalizados
del usuario. Puede tomar estas medidas:
■ Para filtrar la lista Atributos personalizados del usuario, haga clic en
Filtros y use los campos de texto para ID o Nombre del atributo para
especificar un valor de filtro.
■ Para editar un atributo personalizado, haga clic en el nombre del atributo
o en el icono de edición en la columna Acciones y edite el atributo en el
cuadro de diálogo Atributo de usuario.
■ Para eliminar un atributo personalizado, haga clic en el icono de eliminación
en la columna Acciones.
Ingreso de datos del usuario

Es posible ingresar datos del usuario de un archivo o una conexión de Active
Directory.
en la página 1672.
Ver "Cómo agregar un origen de datos de usuario Active Directory" en la página 1673.
Una vez que haya agregado los orígenes de datos del usuario, puede programar
Symantec Data Loss Prevention para importar regularmente datos de esos orígenes
de datos para asegurarse de que los datos de usuario estén siempre actualizados.
Es posible también importar un origen de datos del usuario manualmente.
Ver "Importar un origen de datos del usuario" en la página 1676.
Cómo agregar un origen de datos de usuario basado en archivo

Es posible ingresar los datos de usuario desde un archivo .csv. Para su
conveniencia, Symantec Data Loss Prevention proporciona una plantilla anotada
.csv que se puede usar para asegurar que los datos tengan el formato correcto.
La plantilla incluye todos los atributos de usuario estándar, así como ejemplos e
instrucciones del formato para agregar atributos personalizados. La plantilla además
incluye encabezados para cualquier atributo personalizado que haya definido en
ese momento para descargar la plantilla.
Para crear archivos de datos de usuario desde una plantilla
1 En la consola de administración de Enforce Server, vaya a Sistema > usuarios
> Orígenes de datos.
2 En la página Orígenes de datos, haga clic en Descargar plantilla CSV en
el margen derecho de la página.
3 Abra el archivo de plantilla y proporcione información sobre atributos de datos
de usuario estándar.
Ver "Acerca de los orígenes de datos del usuario" en la página 1669.
4 El archivo de plantilla incluye encabezados de columna para cualquier atributo

personalizado que se haya definido.
Para agregar atributos personalizados manualmente, cree una nueva columna
para cada atributo y complete las filas según sea necesario.
Es necesario especificar los encabezados de columna en este formato:
ID[nombre de atributo]. Por ejemplo, 1[estado laboral].
Ver "Definición de atributos personalizados para datos del usuario"
en la página 1671.
5 Guarde el archivo (en formato .csv) en una ubicación en Enforce Server.
Para agregar un origen de datos de usuario basado en archivo
2 En la página Administración de origen de datos, haga clic en Agregar >
Origen del usuario de CSV. Aparece el cuadro de diálogo Agregar origen
del usuario de CSV.
3 En el cuadro de diálogo Agregar origen del usuario de CSV, escriba la
■ Nombre: especifique un nombre para el origen de datos.
■ Ruta de archivo: especifique la ruta al archivo de datos del usuario. Este
archivo debe estar en Enforce Server.
■ Delimitado por: especifique el delimitador del archivo. Los delimitadores
válidos son comas, pleca, punto y coma y tabulación.
■ Codificado por: especifique el formato de codificación.
■ Error de porcentaje del umbral: especifique el porcentaje de registros
de usuario que pueden ser no válidos antes de que se rechace el archivo
y el proceso de importación falle. Los registros con direcciones de correo
electrónico o inicios de sesión duplicados se tienen en cuenta para el umbral
de error.
Cómo agregar un origen de datos de usuario Active Directory

Es posible usar una conexión existente de Active Directory para ingresar los datos
del usuario. Para agregar atributos personalizados para usuarios que se agregan
de un origen de Active Directory, cree e importe un archivo de usuario de datos
que incluya el nombre, el apellido, el correo electrónico, la información de inicio de
sesión y los atributos personalizados que desea usar. Symantec Data Loss
Prevention asocia de forma automática los datos de usuario basados en archivo

con los registros de usuario existentes del origen de Active Directory.
Symantec Data Loss Prevention usa este filtro Active Directory para recuperar
datos de usuario (saltos de línea agregados para legibilidad):
(&
(objectClass=user)
(objectCategory=person)
(sAMAccountType=805306368)
(!
(|
(&
(sAMAccountName=-*)
)
(&
(sAMAccountName=_*)
)
)
)
)
Las credenciales de Active Directory deben tener permiso para acceder a los
atributos de usuario siguientes:
FIRST_NAME givenName
LAST_NAME sn
EMAIL mail
LOGIN_NAME sAMAccountName
TELEPHONE telephoneNumber
TITLE title
COUNTRY co
DEPARTMENT department
EMPLOYEE_ID employeeId
STREET_ADDRESS streetAddress
LOCALITY_NAME l
POSTAL_CODE postalCode
STATE_OR_PROVINCE st
OBJECT_DISINGUISHED_NAME distinguishedName
Las credenciales de Active Directory deben además tener permiso para acceder
al registro RootDSE. Symantec Data Loss Prevention lee estos atributos de
RootDSE:
namingContexts
defaultNamingContext
rootDomainNamingContext
configurationNamingContext
schemaNamingContext
isGlobalCatalogReady
highestCommittedUSN

Ver "Definición de atributos personalizados para datos del usuario" en la página 1671.
en la página 1672.
Para agregar un origen de datos de usuario de Active Directory
2 En la página Administración de origen de datos, haga clic en Agregar >
Origen del usuario de AD. Aparece el cuadro de diálogo Agregar origen del
usuario de AD.
3 En el cuadro de diálogo Agregar > Origen del usuario de AD, escriba la
■ Nombre: especifique un nombre para el origen de datos.
■ Conexión al directorio: seleccione una conexión existente de Active
Directory.
■ Opciones avanzadas > Filtro personalizado AD: especifique un filtro
opcional para su origen de datos de usuario de Active Directory, como un
grupo de trabajo. Por ejemplo:
(&(region=North America)(!systemAccount=true))
Nota: La práctica recomendada es consultar los objetos de conexión del directorio

con los baseDN en la sección de usuario del árbol de directorios. Por ejemplo:
ou=Users,dc=corp,dc=company,dc=com.
Importar un origen de datos del usuario

Una vez que haya agregado los orígenes de datos del usuario, puede programar
Symantec Data Loss Prevention para importar regularmente datos de esos orígenes
de datos para asegurarse de que los datos de usuario estén siempre actualizados.
Es posible también importar un origen de datos del usuario manualmente.
Los registros con direcciones de correo electrónico o inicios de sesión duplicados
se excluyen de las importaciones del origen de datos del usuario. El número de
registros excluidos de la importación se muestra al final del proceso de importación,
y la información duplicada aparece en los registros.
Para ver los detalles de una importación del origen de datos del usuario, haga clic
en el vínculo Estado.
Para programar la importación de un origen de datos del usuario.
2 En la página Administración de origen de datos, haga clic en el icono
Programar para su origen de datos deseado.
3 Elija una de estas opciones para programarla:
■ Una vez: especifique un solo día y hora para importar los datos del usuario.
■ Diario: especifique una hora para la importación diaria de origen de datos
de usuario.
■ Semanalmente: especifique el día y la hora para la importación semanal
de origen de datos del usuario.
■ Mensual: especifique el día y la hora para la importación mensual del
origen de datos de usuario.

Para importar un origen de datos manualmente
2 En la página Administración de origen de datos, seleccione el origen de
datos que desee importar.
3 Haga clic en Importar.
Acerca de la identificación de usuarios en incidentes web
Para ver los detalles de la importación del origen de datos

2 En la página Administración de origen de datos, haga clic en el vínculo
Estado para su origen de datos deseado.
Aparece el cuadro de diálogo Importar detalles.
3 El cuadro de diálogo Importar detalles muestra la siguiente información para
todas las importaciones:
■ Nombre : El nombre del origen de datos importado.
■ Estado : Listo, Completado con errores, Con error.
■ Puesto en cola a las : La hora en que la importación del origen de datos
fue especificada en la cola de importación.
■ Se inició a las: : La hora de inicio de la importación del origen de datos.
■ Finalizó a las: : La hora de finalización de la importación del origen de
datos.
Para importaciones correctas e importaciones completadas con errores, el
cuadro de diálogo Importar detalles muestra la siguiente información adicional:
■ Registros agregados : El número de registros de usuario agregados.
■ Registros actualizados : El número de registros de usuario actualizados.
■ Registros con error omitidos : El número de registros omitidos debido a
errores en el origen de datos del usuario.
■ Registros duplicados omitidos : El número de registros omitido debido
a datos de usuario duplicados.
Para las importaciones con error, el cuadro de diálogo Importar detalles
muestra la información adicional siguiente:
■ Última importación correcta : La fecha y la hora de la última importación
correcta del origen de datos del usuario.
■ Motivo del error : La razón por la cual se generó el error de la importación.
Acerca de la identificación de usuarios en incidentes

web
La dirección IP de un incidente Network Prevent for Web se puede usar para
determinar el nombre de usuario asociado a ese incidente. Mediante el agente del
controlador de dominio, Symantec Data Loss Prevention recopila los eventos de

Windows del registro del evento de seguridad en el servidor del controlador de
dominio de Microsoft Active Directory. Estos eventos se almacenan en la base de
datos de Symantec Data Loss Prevention, donde un servicio de búsqueda puede
resolver la dirección IP para su nombre de usuario asociado. No es necesario
comparar los incidentes con los registros del controlador de dominio para determinar
el usuario real responsable de cada incidente. Es posible ver los nombres de usuario
específicos asociados a los incidentes (en lugar de direcciones IP) en el informe
Resumen de riesgo de usuario. Ver "Trabajo con el resumen de riesgo de usuario"
en la página 1681.
La identificación del usuario requiere Enforce Server, Network Prevent for Web,
servidores del controlador de dominio y un controlador de dominio de Active
Directory. Consulte la sección "Instalación del agente del controlador de dominio"
en la Guía de instalación de Symantec Data Loss Prevention disponible en el Centro
de soporte de Symantec en http://www.symantec.com/doc/DOC9247 para obtener
instrucciones completas sobre cómo instalar el agente del controlador de dominio.
Después de instalar todos los componentes necesarios, se puede habilitar la
identificación de usuario configurando un programa de asignación en la página
Identificación de usuario.
Nota: Symantec Data Loss Prevention admite el uso de varios controladores de

dominio.
Habilitación de la identificación del usuario y la configuración de la

programación de la asignación
El agente del controlador de dominio consulta los eventos de Windows en el registro
de eventos de seguridad de Microsoft Active Directory del controlador de dominio.
Symantec Data Loss Prevention asocia estos eventos de Windows a los datos de
usuario en su base de datos. Los datos de la dirección IPv4 proporcionados por
el controlador de dominio pueden no corresponder precisamente a un usuario dado.
Si tiene alguna duda de que el nombre de usuario resuelto sea correcto, verifique
que el usuario haya iniciado sesión a la hora del incidente antes de tomar medidas
de respuesta ante incidentes.
El trabajo de la búsqueda de la identificación del usuario en Enforce Server
comprueba la base de datos para detectar los nuevos eventos del controlador de
dominio diariamente a las 4:00 a. m. de forma predeterminada.
Symantec Data Loss Prevention almacena los registros de usuario recibidos del
agente del controlador de dominio en la base de datos de Symantec Data Loss
Prevention. Los registros de usuario se depuran cada 3 días de forma
predeterminada.
Para fijar la programación de la asignación y habilitar la identificación del usuario

1 Haga clic en Configurar en la página Sistema > Datos de incidentes >
Identificación del usuario.
2 Haga clic en Una vez, Diariamente, Semanalmente o Mensualmente para
programar un trabajo de asignación. La opción predeterminada es Sin
programación regular. La programación se debe configurar para habilitar la
asignación.
3 Haga clic en Guardar al finalizar.
Para configurar los parámetros de la retención de datos
1 Vaya a la página Sistema > Datos de incidentes > Identificación del usuario
> Configurar.
2 El tiempo predeterminado para que el sistema guarde los eventos de inicio de
sesión de usuarios es 3 días. Si desea cambiar este valor, introduzca otro
valor en el campo Retención de datos del usuario.
Para especificar la programación de la advertencia del controlador de dominio
> Configurar.
2 Especifique la advertencia del controlador de dominio en días. Esta es la
cantidad de días desde la última conexión de un controlador de dominio. La
opción predeterminada es 8 días.
Si desea interrumpir el uso de la identificación del usuario, es necesario detener
el trabajo de asignación. Si no detiene el trabajo de asignación, continúa
ejecutándose, incluso si los controladores de dominio están en un estado
suspendido.
Para detener la asignación programada
> Configurar.
2 Seleccione el cuadro junto a Detener asignación. Suspender la asignación
no detiene ningún trabajo que está en curso.
Ver lista de usuarios
Comprobación del estado de los controladores de dominio

Después de definir una programación de asignación, puede ir a la página Sistema
> Datos de incidentes > Identificación del usuario y comprobar el estado de los
controladores de dominio. Es posible ordenar los controladores por lo siguiente:
■ estado: Activo o Suspendido
■ nombre de controlador de dominio
■ hora de la última conexión
■ días desde la última conexión
■ advertencias
■ tiempo de espera de inicio de sesión
Es posible suspender un controlador de dominio haciendo clic en el botón Activo
verde. Es posible activar un controlador de dominio suspendido haciendo clic en
el botón Suspendido rojo.
Ver lista de usuarios

La lista de usuarios muestra a todos los usuarios que se han especificado en
Symantec Data Loss Prevention. En la lista de usuarios, puede ver los nombres,
las direcciones de correo electrónico y el dominio y la información del inicio de
sesión para cada usuario. Es posible ordenar la lista por nombre o apellido y buscar
la lista por nombre, dirección de correo electrónico, dominio o inicio de sesión.
Hacer clic en un nombre de usuario individual le lleva a la vista de detalle de usuario.
La lista de usuarios no muestra datos del incidente, solamente datos de usuario.
Para ver la lista de usuarios
1 En la consola de administración de Enforce Server, vaya a Incidentes >
usuarios > Lista de usuarios.
2 Para ordenar la lista de usuario por nombre o apellido, haga clic en uno de los
iconos de ordenamiento en la columna apropiada.
3 Para buscar la lista de usuarios, especifique su término de búsqueda en el
campo de búsqueda en la esquina superior derecha de la lista. Es posible
buscar por nombre, apellido, inicio de sesión y dirección de correo electrónico
del usuario. Se maneja un solo término de búsqueda por vez.
Vista de detalles del usuario
Vista de detalles del usuario

La instantánea del usuario muestra toda la información sobre el usuario e incidentes
para un usuario específico. Visualiza los detalles del usuario al hacer clic en un
nombre de usuario en la lista de usuarios. Es posible también exportar la instantánea
del usuario a un archivo CSV.
Ver "Ver lista de usuarios" en la página 1680.
Para ver los detalles del usuario
usuarios > Lista de usuarios.
2 Haga clic en el nombre del usuario que desea ver los detalles.
3 En la página Usuario, puede ver una lista de incidentes, así como información
de usuario, atributos estándar y atributos personalizados. Para los usuarios
identificados por la dirección IP, hay además datos sobre la última hora de
actividad.
4 Para exportar la instantánea del usuario a un archivo CSV, haga clic en
Exportar.
Trabajo con el resumen de riesgo de usuario

El resumen de riesgo de usuario muestra a todos los usuarios que tienen incidentes
asociados. Es posible ordenar y filtrar el resumen de riesgo de usuario para obtener
información sobre el riesgo de usuario en su organización. Por ejemplo, puede ver
los incidentes que se asocian a las políticas específicas o atributos personalizados
que se han especificado, por ejemplo, función de trabajo o estado laboral. Si desea
volver a una vista determinada del resumen de riesgos del usuario, puede guardar
la dirección URL y marcarla en el navegador web. Es posible también exportar los
datos del resumen de riesgos del usuario a un archivo CSV.
Para ver el resumen de riesgo de usuario
Usuarios > Resumen de riesgos de los usuarios.
2 Para ordenar la lista, haga clic en uno de los iconos de ordenamiento en una
de las columnas.
Trabajo con el resumen de riesgo de usuario
3 Para filtrar la lista, seleccione los valores del filtro con las opciones que se
encuentran debajo de lista de resumen de riesgo de usuario:
Filtro Valor Descripción

predeterminado
Políticas Todos Seleccione políticas al expandir el grupo de políticas

y seleccionar los cuadros apropiados.
Atributos Ninguno (0) Especifique hasta dos atributos personalizados para

filtrar la lista. Seleccione el atributo de la lista
desplegable, especifique una condición de inclusión
o exclusión y especifique los valores deseados.
Para agregar un segundo filtro de atributo, haga
clic en Agregar filtro de atributo.
Estado Todos Filtre la lista por estado del incidente.
Fecha Últimos 7 días Filtre la lista por fecha o rango de fechas.
Tipo Todos Filtre la lista por tipo de incidente, como Correo

electrónico/SMTP, Impresora/fax o HTTP.
Incluir Todos Es posible filtrar la lista por la gravedad del

incidente. Es necesario seleccionar por lo menos
un nivel de gravedad.
Es posible también incluir o excluir los nombres de

usuario identificados por la dirección IP.
4 Cuando haya seleccionado los valores del filtro, haga clic en Aplicar.
5 Para guardar una configuración de filtro determinada, haga clic en Obtener
vínculo y copie la URL proporcionada a los favoritos de su navegador web.
6 Para exportar datos del resumen de riesgos del usuario a un archivo CSV,
haga clic en Exportar. Es posible exportar la página actual o todas las páginas
en el resumen de riesgos del usuario.
Capítulo 52
Implementación de
complementos de búsqueda
■ Acerca de los complementos de búsqueda
■ Implementación y prueba de los complementos de búsqueda
■ Configuración del complemento de búsqueda de CSV
■ Configuración de los complementos de búsqueda de LDAP
■ Configuración de complementos de búsqueda de script
■ Cómo configurar complementos de búsqueda personalizados (versión anterior)
Acerca de los complementos de búsqueda

Un complemento de búsqueda le permite conectar Enforce Server a un sistema
externo para recuperar los datos suplementarios relacionados con un incidente.
Los datos se almacenan como atributos. Los complementos de búsqueda le
permiten agregar el contexto adicional a los incidentes para facilitar el flujo de
trabajo de la reparación. Por ejemplo, considere un mensaje de correo electrónico
que active un incidente. Un complemento de búsqueda se puede usar para
recuperar y para mostrar el nombre y la dirección de correo electrónico del
administrador del remitente desde un servidor de directorio sobre la base de la
dirección del remitente del correo electrónico.
Los complementos de búsqueda usan atributos del incidente y atributos
personalizados en conjunto. El sistema genera los atributos del incidente cuando
se infringe una regla de políticas. Se definen los atributos personalizados para los
datos personalizados del incidente. Para continuar el ejemplo, en la detección del
Implementación de complementos de búsqueda 1684
incidente, el sistema genera el atributo "remitente-correo electrónico" del incidente

y lo rellena con la dirección de correo electrónico del remitente. El complemento
de búsqueda usa este par clave-valor para buscar los valores para los atributos
personalizados "Nombre de administrador" y "Correo electrónico del administrador"
del servidor LDAP. El complemento rellena los atributos personalizados y los
muestra en Instantánea del incidente.
Ver "Acerca de cómo lugar atributos personalizados" en la página 1663.
Ver "Cómo se completan los atributos personalizados" en la página 1664.
Tipos de complemento de búsqueda

Symantec Data Loss Prevention proporciona varios tipos de complementos de
búsqueda, incluso de CSV, LDAP, script, Data Insight y personalizados (versión
anterior). La tabla siguiente describe cada tipo de complemento de búsqueda más
detalladamente.
Ver "Acerca de los complementos de búsqueda" en la página 1683.
Tabla 52-1 Tipos de complemento de búsqueda
Tipo Descripción
CSV El complemento de búsqueda de CSV le permite recuperar los datos del incidente de un archivo
de valores separados por comas (CSV) en Enforce Server. Es posible configurar un complemento
de búsqueda de CSV por instancia de Enforce Server.
Ver "Acerca del complemento de búsqueda de CSV " en la página 1685.
LDAP El complemento de búsqueda de LDAP le permite recuperar los datos del incidente de un servidor
de directorio, como Microsoft Active Directory, Oracle Directory Server o IBM Tivoli. Es posible
configurar varias instancias del complemento de búsqueda de LDAP.
Ver "Acerca de los complementos de búsqueda de LDAP" en la página 1685.
Script El complemento de búsqueda de script le permite escribir un script para recuperar los datos del
incidente de cualquier recurso externo. Por ejemplo, se puede usar un complemento de búsqueda
de script para recuperar los datos del incidente de recursos externos, como archivos de registro
proxy o sistemas de DNS. Es posible configurar varias instancias del complemento de búsqueda
de script.
Ver "Acerca de los complementos de búsqueda de script" en la página 1686.
Data Insight El complemento de búsqueda de Data Insight permite recuperar los datos del incidente desde
Symantec Data Insight a fin de localizar y administrar los datos que están en peligro. Es posible
configurar un complemento de búsqueda de Data Insight por instancia de Enforce Server.
Tipo Descripción
Personalizado El complemento de búsqueda personalizado (versión anterior) le permite usar el código Java para
(versión anterior) recuperar los datos del incidente de cualquier recurso externo.
Ver "Acerca de los complementos de búsqueda personalizados (versión anterior)" en la página 1687.
Nota: Como el nombre indica, el complemento de búsqueda personalizado (versión anterior) está
reservado para los complementos de Java de versión anterior. Para el desarrollo de nuevos
complementos personalizados, es necesario usar uno de los otros tipos de complementos de
búsqueda.
Acerca del complemento de búsqueda de CSV

El complemento de búsqueda de CSV extrae datos del archivo de valores separados
por comas (CSV) almacenado en Enforce Server. El complemento usa datos del
archivo CSV para completar los atributos personalizados para un incidente cuando
se genera el incidente.
El complemento de búsqueda de CSV recibe un grupo de parámetros de búsqueda
que contiene datos sobre un incidente de Enforce Server. Uno o más de los
parámetros de búsqueda del grupo se asignan a los encabezados de columna de
un archivo CSV. Por ejemplo, el parámetro de búsqueda de sender-email se
puede asignar a la columna de Email del archivo CSV. El valor del parámetro de
búsqueda se usa como clave para buscar un valor coincidente en la columna
correspondiente de CSV. Cuando se encuentra una coincidencia, la fila del CSV
que contiene el valor que coincide proporciona los datos que se devuelven a Enforce
Server. Enforce Server usa los datos de esa fila para completar los atributos
personalizados de ese incidente. Por ejemplo, si el parámetro de búsqueda de
sender-email contiene el valor mary.smith@miempresa.com, el complemento
busca en la columna de Email una fila que contenga mary.smith@miempresa.com.
Esa fila se usa para proporcionar los datos para completar los atributos
personalizados del incidente.
El complemento de búsqueda de CSV usa una base de datos en la memoria para
procesar archivos grandes.
Ver "Configuración del complemento de búsqueda de CSV" en la página 1706.
Acerca de los complementos de búsqueda de LDAP

El complemento de búsqueda de LDAP extrae datos de un sistema LDAP activo
(como Microsoft Active Directory, Oracle Directory Server o IBM Tivoli). Luego usa
esos datos para completar los atributos personalizados para un incidente cuando
el incidente se genera.
El complemento de búsqueda de LDAP recibe un grupo de parámetros de búsqueda

que contiene datos sobre un incidente de Enforce Server. Estos parámetros de
búsqueda se usan en consultas de LDAP para sacar datos de un directorio LDAP
existente. Por ejemplo, el valor del parámetro de búsqueda de sender-email se
puede comparar con los valores del atributo email del directorio. Si el parámetro
de búsqueda de sender-email contiene mary.smith@miempresa.com, una consulta
se puede construir para buscar un registro cuyo atributo de email contenga
mary.smith@miempresa.com. Los datos del registro que la búsqueda devuelve se
insertan en los atributos personalizados del incidente.
Ver "Configuración de los complementos de búsqueda de LDAP" en la página 1717.
Acerca de los complementos de búsqueda de script

Es posible escribir uno o más complementos de búsqueda de script para consultar
repositorios de datos en busca de valores de atributo. Por ejemplo, se puede escribir
un script que consulte a un servidor DNS para obtener información sobre un
remitente que esté implicado en un incidente. Un complemento de búsqueda de
script puede usar la salida de tales scripts para completar los atributos
personalizados en los registros de incidente.
A diferencia de los complementos de búsqueda de CSV o LDAP, el complemento
de búsqueda de script no usa las asignaciones de atributo en línea para especificar
cómo buscar las claves del parámetro. En cambio, se escribe esta funcionalidad
en cada script según las necesidades.
Para implementar un complemento de búsqueda de script, puede usar cualquier
lenguaje de programación de scripts que lea la entrada estándar (stdin) y escriba
la salida estándar (stdout). Los ejemplos en la interfaz de usuario y en esta
documentación usan la versión 2.6 de Python.
Ver "Cómo configurar las propiedades avanzadas de complementos"
en la página 1704.
Acerca del complemento de búsqueda de Data Insight

El complemento de búsqueda de Veritas Data Insight recupera datos de un servidor
de administración Veritas Data Insight y los usa para completar atributos de un
incidente de Network Discover en el momento en que se genera el incidente. El
complemento de búsqueda de Data Insight conecta Symantec Data Loss Prevention
con Symantec Data Insight para recuperar los valores de atributo. Data Insight se
puede usar para proporcionar contexto granular a incidentes, incluida la información
actualizada del propietario de los datos. Los valores para atributos del incidente
se ven y se completan en la pantalla Instantánea de incidente.
El complemento de búsqueda de Data Insight requiere una licencia de Data Insight

aparte de la licencia de Symantec Data Loss Prevention. Si su sistema no cuenta
con licencia para Data Insight, el complemento de búsqueda de Data Insight no
está disponible. Si cuenta con licencia para Data Insight, consulte la Guía de
implementación de Data Insight de Symantec Data Loss Prevention para obtener
información sobre la integración de Data Insight.
Acerca de los complementos de búsqueda personalizados

(versión anterior)
Es posible usar un complemento de búsqueda personalizado (versión anterior)
para migrar los complementos de búsqueda Java personalizados a la consola de
administración de Enforce Server. Como los complementos de búsqueda Java
personalizados ya no son la opción preferida para crear nuevos complementos, la
información presentada aquí se proporciona para brindar soporte a las
organizaciones que usan complementos de versión anterior, pero actualizan a la
versión 12 de Data Loss Prevention. Como una alternativa para migrar los
complementos de búsqueda Java personalizados de versión anterior, considere
volver a escribir tales complementos usando un complemento de búsqueda de
script u otro de los complementos de búsqueda admitidos, tales como de CSV o
de LDAP.
Ver "Tipos de complemento de búsqueda" en la página 1684.
Nota: Los complementos de búsqueda personalizados (versión anterior) solo se

deben usar para migrar los complementos de búsqueda de versión anterior
implementados usando la API de JAVA de búsqueda. No se admite la compatibilidad
con nuevos complementos de búsqueda Java personalizados.
Ver "Cómo configurar complementos de búsqueda personalizados (versión anterior)"

en la página 1734.
Acerca de los parámetros de búsqueda

Cuando se crea un incidente, Enforce Server genera atributos de incidente y los
completa con los datos que captura del incidente. Se usa uno o más atributos de
incidente como claves del parámetro de búsqueda para recuperar datos externos
y completar atributos personalizados con valores que se han recuperado del sistema
externo. Usted elige qué parámetros de búsqueda desea usar para los
complementos de búsqueda en la pantalla Parámetros de búsqueda. Al menos
un parámetro de búsqueda debe estar presente en el origen de datos externo para
que la búsqueda se ejecute.
Mientras que algunos atributos se crean para todos los tipos de incidente, otros
son específicos del tipo de incidente. Por ejemplo, el correo electrónico del remitente
del atributo del incidente es específico de los incidentes de SMTP. Los atributos
específicos de incidentes de Discover y endpoint son precedidos por un identificador,
como discover-name y endpoint-machine-name. Por conveniencia administrativa,
los parámetros de búsqueda se organizan en grupos. Un incidente expone todos
los parámetros de búsqueda en cada grupo de parámetro de búsqueda habilitado.
En la búsqueda, es posible que algunos de los pares valor-nombre en ese grupo
no tenga valor dependiendo del tipo de incidente. Por ejemplo, el valor del atributo
del parámetro sender-email es nulo para los incidentes de Discover
(sender-email=null).
Los complementos de búsqueda no cambian los valores definidos por el sistema
de los parámetros de búsqueda. El complemento usa solamente estos parámetros
como claves para realizar búsquedas y completar atributos personalizados. Por
ejemplo, si un complemento de búsqueda usa el parámetro de búsqueda subject,
el valor de este atributo no se cambia por un valor para este atributo en el origen
de datos externo; Enforce Server omite el valor una vez que la búsqueda se ejecuta.
No obstante, existen dos excepciones: data-owner-name y data-owner-email.
Estos atributos del incidente definidos por el sistema funcionan como atributos
personalizados y sus valores se completan con los valores recuperados.
Cuando se asignan claves a su origen de datos, el complemento busca claves en
orden hasta que encuentra el primer valor que coincide. Cuando se encuentra un
valor que coincide, el complemento detiene la búsqueda de claves. El complemento
usa los datos en la fila que contiene el primer valor coincidente para completar los
atributos personalizados relevantes. Por lo tanto, los valores clave no se usan en
combinación, sino que el primer valor que se encuentra es la clave. Como el
complemento se detiene después de encontrar el primer valor que coincide, el
orden en el cual se enumeran las keys en el mapa de atributos es importante.
Consulte ejemplos y temas de asignación de atributo individual para obtener detalles
sobre la sintaxis de asignación de atributos del complemento de búsqueda.
Para realizar una búsqueda, es necesario asignar por lo menos una clave del
parámetro de búsqueda a un campo en su origen de datos externo. Cada grupo
de parámetros de búsqueda que se habilita es una consulta de base de datos
aparte para que Enforce Server realice. Todas las consultas de base de datos se
ejecutan para cada incidente antes de la búsqueda. Para evitar el impacto en el
rendimiento de las consultas de base de datos innecesarias, es necesario permitir
solamente los grupos de atributos que sus complementos de búsqueda requieren.
Como el complemento deja de buscar una vez que encuentra el primer par
clave-valor del parámetro de búsqueda que coincide, el orden en el cual se
enumeran las keys en el mapa de atributos es significativo. Consulte los ejemplos
de la asignación de atributos para el tipo específico de complemento que usted

está implementando.
Ver "Seleccionar los parámetros de búsqueda" en la página 1695.
Acerca de la implementación de complementos

Un complemento de búsqueda se implementa al habilitarse por medio de la interfaz
de usuario. Cada complemento de búsqueda se debe habilitar, incluso si hay
solamente uno. Si se habilitan varios complementos, se encadenan juntos y se
especifica su orden de ejecución.
Las claves del parámetro de búsqueda seleccionado se aplican globalmente a
todos los complementos de búsqueda implementados. Si se vuelven a cargar los
complementos, se vuelven a cargar todos los complementos implementados.
Es posible implementar un solo complemento de búsqueda de CSV y un
complemento de búsqueda de Data Insight por instancia de Enforce Server.
Ver "Habilitación de complementos de búsqueda" en la página 1700.
Acerca del encadenamiento de complementos

Cuando se crea un complemento de búsqueda, se asignan las claves de parámetro
de búsqueda y los atributos personalizados a campos en el origen de datos externo.
Todos los complementos de búsqueda implementados hacen referencia al mismo
mapa de atributos. Esto permite que los complementos se encadenen juntos y se
ejecuten en secuencia.
En un encadenamiento de complementos de búsqueda, el primer complemento
usa los parámetros de búsqueda que se reciben mediante Enforce Server para
buscar valores de atributo. El segundo complemento usa los datos que recibe del
primer complemento, incluidos los parámetros de búsqueda y cualquier variable
creada por búsquedas previas. Esto continúa en secuencia o todos los
complementos en el encadenamiento.
Un encadenamiento de complementos es útil cuando la información debe extraerse
de diversos orígenes para completar los atributos personalizados de un incidente.
Un encadenamiento es además útil cuando hay diferencias o dependencias entre
“claves” necesarias para desbloquear los datos correctos.
Por ejemplo, considere el siguiente encadenamiento de complementos:
1. Un complemento de búsqueda de script realiza una búsqueda de DNS usando
uno o más parámetros.
Implementación y prueba de los complementos de búsqueda
2. Un complemento de búsqueda de CSV usa el resultado de la búsqueda de script

para recuperar los datos del incidente de un archivo CSV que es un extracto de
un sistema de administración de activos.
3. Un complemento de búsqueda de LDAP usa el resultado de la búsqueda de
CSV para obtener datos de un directorio LDAP corporativo.
Ver "Encadenamiento de complementos de búsqueda" en la página 1701.
Ver "Encadenar varios complementos de búsqueda de script" en la página 1729.
Acerca de la actualización de complementos de búsqueda

Antes de la versión 11.6 de Symantec Data Loss Prevention, los complementos
de búsqueda se implementaban manualmente usando los archivos de propiedades;
no había interfaz de usuario para configurar los complementos de búsqueda. La
interfaz de usuario del complemento de búsqueda fue introducida en la versión
11.6.
Si se realiza la actualización a la versión 12.0 o posterior, los complementos de
búsqueda existentes se actualizan de forma automática al nuevo marco y se
agregan a la interfaz de usuario para la configuración y la implementación. Además,
se conserva el estado del complemento después de la actualización; es decir, si
un complemento fue habilitado antes de la actualización, se debe activar en la
interfaz de usuario después de la actualización.
Si un complemento de búsqueda no se actualiza correctamente, el sistema muestra
el siguiente mensaje de error:
INFO: IN PROCESS: Errors detected in lookup plugin configuration.

Your lookup plugins may require manual configuration after the upgrade.
En este caso, seleccione el complemento en la pantalla Sistema > Complementos

de búsqueda y configúrelo manualmente siguiendo las instrucciones que se
proporcionan en esta documentación. Consulte las Notas de la versión de Symantec
Data Loss Prevention a fin de obtener información sobre los problemas conocidos
relacionados con los complementos de búsqueda.
Implementación y prueba de los complementos de

búsqueda
La siguiente tabla describe el flujo de trabajo para la implementación y prueba de
los complementos de búsqueda. Las secciones vinculadas explican estos pasos
más detalladamente.
Tabla 52-2 Implementación y prueba de los complementos de búsqueda
Paso Descripción
1 Decida qué datos externos desea extraer y cargar en los incidentes como atributos
personalizados.
Ver "Acerca de cómo lugar atributos personalizados" en la página 1663.
2 Identifique los orígenes desde los cuales se deben obtener los datos de atributos personalizados
y el complemento de búsqueda adecuado para recuperar dicha información.
3 Cree un atributo personalizado para cada parte individual de datos externos que se desee
incluir en las instantáneas y los informes del incidente.
4 Determine qué grupos de parámetros de búsqueda incluyen los parámetros específicos de

búsqueda necesarios para extraer los datos relevantes de los orígenes externos.
Ver "Acerca de los parámetros de búsqueda" en la página 1687.
5 Configure el complemento para extraer datos del origen de datos externo y para completar los
atributos personalizados.
Ver "Configuración de complementos de búsqueda de script" en la página 1722.

en la página 1734.
6 Habilite el complemento en Enforce Server.
7 Configure el orden de ejecución para varios complementos.
8 Verifique los privilegios. El usuario final debe tener privilegios de Atributo de búsqueda para
usar un complemento de búsqueda a fin de buscar valores de atributo.
9 Genere un incidente. El incidente debe ser del tipo que expone uno o más atributos del incidente
que se han designado como claves del parámetro.

Paso Descripción
10 Consulte los detalles del incidente. Para ver el incidente que generó, vaya a la pantalla
Instantánea del incidente. En la sección Atributos, es necesario ver los atributos
personalizados que usted creó. Tenga en cuenta que no están rellenados (no tienen ningún
valor). Si no ve los atributos personalizados, verifique los privilegios y que los atributos
personalizados hayan sido creados.
11 Si el complemento de búsqueda se implementó adecuadamente, se ve el botón Búsqueda

disponible en la sección Atributos de Instantánea del incidente. Una vez que se hace clic
en Búsqueda se ve que el valor para cada atributo personalizado se rellena. Después de la
búsqueda inicial, la conexión se mantiene, y el complemento de búsqueda completa
automáticamente los atributos personalizados de los incidentes subsiguientes. El reparador
no necesita hacer clic en Búsqueda para los incidentes posteriores. Si es necesario, se pueden
volver a cargar los complementos.
Ver "Solución de problemas de complementos de búsqueda" en la página 1702.
Ver "Recargar complementos de búsqueda" en la página 1701.
Administración y configuración de complementos de búsqueda

La pantalla Sistema > Datos de incidentes > Complementos de búsqueda es
la página principal para crear, configurar y administrar los complementos de
búsqueda. Los complementos de búsqueda se usan con fines de reparación para
recuperar datos relacionados con incidentes desde un origen de datos externo y
completar los atributos de incidente.
Ver "Acerca de los complementos de búsqueda" en la página 1683.
Los complementos de búsqueda se crean y configuran en Página de enumeración
Tabla 52-3 Creación y configuración de complementos de búsqueda
Nuevo complemento Seleccione esta opción para crear un complemento nuevo.
Ver "Creación de complementos de búsqueda nuevos" en la página 1694.
Modificar encadenamiento del Seleccione esta opción para habilitar (implementar) complementos y para establecer
complemento el orden de búsqueda de varios complementos.

Parámetros de búsqueda Seleccione esta opción para elegir los grupos de parámetros de búsqueda que se
deben usar como claves para rellenar los campos de atributo de los orígenes de
datos externos.
Recargar complementos Seleccione esta opción para actualizar el sistema después de realizar cambios en
los complementos habilitados o si los datos externos se actualizan. Esta acción de
forma automática realiza las búsquedas habilitadas en orden y rellena los incidentes
mientras se crean.
Para cada complemento de búsqueda configurado, el sistema muestra la siguiente

información en Página de enumeración de complementos de búsqueda. Esta
información se utiliza para administrar los complementos de búsqueda.
Tabla 52-4 Administración de los complementos de búsqueda
Campo Visualizar Descripción
Secuencia de ejecución Este campo muestra el orden en el que el sistema ejecuta los complementos de
búsqueda.
Nombre Este campo muestra el nombre definido por el usuario para cada complemento de
búsqueda.
Haga clic en el vínculo Nombre para editar el complemento.
Tipo Este campo muestra el tipo de complemento de búsqueda. Es posible configurar

solamente un complemento de búsqueda de CSV y un complemento de búsqueda
de Data Insight por instancia de Enforce Server. Se pueden configurar varias
instancias de los complementos de búsqueda (de versiones anteriores)
personalizados, de LDAP y de script.
Descripción Este campo muestra la descripción definida por el usuario para cada complemento
de búsqueda.
Ver "Implementación y prueba de los complementos de búsqueda" en la página 1690.

Campo Visualizar Descripción
Estado Este campo muestra el estado de cada complemento de búsqueda, ya sea On

(verde) u Off (rojo). Para editar el estado de un complemento, haga clic en Modificar
encadenamiento del complemento.
Para cada complemento de búsqueda configurado, puede ejecutar las siguientes

funciones de administración en Página de enumeración de complementos de
búsqueda.
Tabla 52-5 Ordenamiento y agrupación de complementos de búsqueda
Editar Haga clic en el icono de lápiz, en la columna Acciones, para editar el complemento.
Eliminar Haga clic en el icono de la X, en la columna Acciones, para eliminar el

complemento. Es necesario confirmar o cancelar la acción para ejecutarla.
Ordenar Ordena la columna de visualización seleccionada en orden decreciente o

ascendente.
Grupo Permite agrupar los complementos según la columna de visualización seleccionada.

Por ejemplo, si hay varios complementos, puede resultar útil agruparlos por Tipo
o por Estado.
Creación de complementos de búsqueda nuevos

Debe tener privilegios de administración de servidor para crear y configurar
complementos de búsqueda.
Para crear un complemento de búsqueda nuevo
1 Navegue a Sistema > Datos de incidentes > Complementos de búsqueda
en la consola de administración de Enforce Server.
2 Haga clic en Nuevo complemento en la pantalla Página de enumeración
3 Seleccione el tipo de complemento de búsqueda que desea crear y configúrelo.
CSV
LDAP
Script
Data Insight
Personalizado (versión anterior)

en la página 1734.
4 Haga clic en Guardar para aplicar la configuración del complemento de

búsqueda.
El sistema muestra un mensaje de ejecución correcta (verde) si el complemento
se guardó adecuadamente o un mensaje de error (rojo) si el complemento no
se configuró de manera correcta y no se guardó.
5 Haga clic en Modificar encadenamiento del complemento y habilite el
complemento de búsqueda y el encadenamiento de varios complementos.
Seleccionar los parámetros de búsqueda

La página Sistema > Complementos de búsqueda > Editar parámetros de
complemento de búsqueda enumera las Claves del parámetro de búsqueda
que se selecciona para activar la búsqueda de valores de atributo. Las claves del
parámetro de búsqueda se ordenan en grupos de atributos. Las selecciones
realizadas en esta pantalla se aplican a todos los complementos de búsqueda
implementados en Enforce Server.
Para realizar una búsqueda, es necesario asignar por lo menos una clave del
parámetro de búsqueda a un campo en su origen de datos externo. Cada grupo
de parámetros de búsqueda que se habilita es una consulta de base de datos
aparte para que Enforce Server realice. Todas las consultas de base de datos se
ejecutan para cada incidente antes de la búsqueda. Para evitar el impacto en el

rendimiento de las consultas de base de datos innecesarias, es necesario permitir
solamente los grupos de atributos que sus complementos de búsqueda requieren.
Como el complemento deja de buscar una vez que encuentra el primer par
clave-valor del parámetro de búsqueda que coincide, el orden en el cual se
enumeran las keys en el mapa de atributos es significativo. Consulte los ejemplos
de asignación de atributos para el tipo específico de complemento que usted está
implementando para obtener información.
Ver "Acerca de los parámetros de búsqueda" en la página 1687.
Para habilitar una o más claves del parámetro de búsqueda
1 Navegue a Sistema > Complementos de búsqueda en la consola de
2 Haga clic en Parámetros de búsqueda en la Página de enumeración de
3 Seleccione uno o más grupos de atributo en la página Editar parámetros de
complemento de búsqueda.
Haga clic en Ver propiedades para ver todas las claves para ese grupo de
atributos.
■ Archivo adjunto Tabla 52-6
■ Incidente Tabla 52-7
■ Mensaje Tabla 52-8
■ Política Tabla 52-9
■ Destinatario Tabla 52-10
■ Remitente Tabla 52-11
■ Servidor Tabla 52-12
■ Supervisor Tabla 52-13
■ Estado Tabla 52-14
■ ACL Tabla 52-15
4 Guardar la configuración.
Verifique el mensaje de resultado correcto que indica que todos los
complementos habilitados fueron recargados.
Tabla 52-6 Parámetros de búsqueda del archivo adjunto
Clave del parámetro de Descripción y comentarios

búsqueda
attachment-nameX Nombre del archivo adjunto, donde X es el único índice para distinguir entre
varios archivos adjuntos, por ejemplo: attachment-name1,
attachment-size1; attachment-name2, attachment-size2; etc.
attachment-sizeX Tamaño original del archivo adjunto, donde X es el único índice para distinguir
entre varios archivos adjuntos. Consulte el ejemplo siguiente.
Tabla 52-7 Parámetros de búsqueda de incidente
Clave del parámetro de Descripción

búsqueda
date-detected Fecha y hora en el que el incidente fue detectado, por ejemplo:

date-detected=Tue May 15 15:08:23 PDT 2012.
incident-id El Id. de incidente asignado por Enforce Server. El mismo Id. se puede ver en
el informe de incidentes. Por ejemplo: incident-id=35.
protocol El nombre del protocolo de red que se usó para transferir el mensaje infractor,
como SMTP y HTTP. Por ejemplo: protocol=Email/SMTP.
data-owner-name La persona responsable de reparar el incidente. Este atributo no lo completa el

sistema. En cambio, se configura manualmente en la sección Instantánea de
incidente de la pantalla Instantánea del incidente o de forma automática usando
un complemento de búsqueda.
Los informes basados en este atributo se pueden enviar automáticamente al

propietario de datos para su reparación.
data-owner-email La dirección de correo electrónico de la persona responsable de reparar el

incidente. Este atributo no lo completa el sistema. En cambio, se configura
manualmente en la sección Detalles del incidente de la pantalla Instantánea
del incidente o de forma automática usando un complemento de búsqueda.
Tabla 52-8 Parámetros de búsqueda de mensajes

búsqueda
date-sent Fecha y hora en que se envió el mensaje si es un correo electrónico. Por ejemplo:
date-sent=Mon Aug 15 11:46:55 PDT 2011.
subject Asunto del mensaje si es un incidente de correo electrónico.


búsqueda
file-create-date Fecha en que se creó el archivo en su ubicación actual, si se creó originalmente

allí o si se copió de otra ubicación. Recuperado del sistema operativo.
file-access-date Fecha en que se examinó el archivo.
file-created-by Usuario que colocó el archivo en el endpoint.
file-modified-by Credencial de usuario plenamente calificado para el equipo donde ocurrió la

acción de copia infractora.
file-owner El nombre del usuario o del equipo donde se encuentra el archivo infractor.
discover-content-root-path Raíz de la ruta del archivo que causó un incidente de Discover.
discover-location Ruta completa del archivo que causó un incidente de descubrimiento.
discover-name El nombre del archivo infractor.
discover-extraction-date La fecha del subarchivo se extrajo de un archivo encapsulado durante el análisis

de detección.
discover-server El nombre del repositorio que se analizará.
discover-notes-database Atributo específico para el análisis de detección del repositorio de Lotus Notes.
discover-notes-url Atributo específico para el análisis de detección del repositorio de Lotus Notes.
endpoint-volume-name El nombre de la unidad local donde ocurrió un incidente de endpoint.
endpoint-dos-volume-name El nombre de Windows de la unidad local donde ocurrió un incidente de endpoint.
endpoint-application-name Nombre de la aplicación usada más recientemente para abrir (o crear) el archivo
infractor.
endpoint-application-path Ruta de la aplicación que se usó para crear o abrir el archivo infractor.
endpoint-file-name El nombre del archivo infractor.
endpoint-file-path La ubicación en la que se copió el archivo.
Tabla 52-9 Parámetro de búsqueda de políticas
Clave del parámetro de Descripción y comentarios

búsqueda
policy-name El nombre de la política infringida, por ejemplo: policy-name=Keyword

Policy.
Tabla 52-10 Parámetros de búsqueda de receptores

búsqueda
recipient-emailX La dirección de correo electrónico del destinatario, donde X es el único índice

para distinguir entre varios destinatarios; por ejemplo: recipient-email1,
recipient-ip1, recipient-url1; recipient-email2, recipient-ip2,
recipient-url2; etc.
recipient-ipX La dirección IP del destinatario, donde X es el único índice para distinguir entre
varios destinatarios. Consulte el ejemplo siguiente.
recipient-urlX La dirección URL del destinatario, donde X es el único índice para distinguir
entre varios destinatarios. Consulte el ejemplo siguiente.
Tabla 52-11 Parámetros de búsqueda del remitente
Clave del parámetro de búsqueda Descripción
sender-email La dirección de correo electrónico del remitente para incidentes de Network

Prevent para correo electrónico (SMTP).
sender-ip La dirección IP del remitente para incidentes de endpoint y de red en protocolos

diferentes a SMTP.
sender-port El puerto del remitente para incidentes de red en los protocolos diferentes a
SMTP.
endpoint-user-name El usuario que se usó para iniciar sesión en el endpoint cuando ocurrió la
infracción.
endpoint-machine-name Nombre del endpoint donde reside el archivo infractor.
Tabla 52-12 Parámetros de búsqueda del servidor
Clave del parámetro de búsqueda Descripción y comentarios
server-name El nombre del servidor de detección que informó el incidente. Este nombre lo
define el usuario y se especifica cuando se implementa el servidor de detección.
Por ejemplo: server-name=My Network Monitor.
Tabla 52-13 Parámetros de búsqueda del supervisor
monitor-name El nombre del servidor de detección que informó el incidente. Este nombre
lo define el usuario y se especifica cuando se implementa el servidor de
detección. Por ejemplo: server-name=My Network Monitor.
monitor-host La dirección IP del servidor de detección que informó el incidente. Por ejemplo:
monitor-host=127.0.0.1
monitor-id El identificador numérico definido por el sistema del servidor de detección.

Por ejemplo: monitor-id=1.
Tabla 52-14 Parámetro de búsqueda de estado
Clave del parámetro de búsqueda Descripción y comentarios
incident-status Estado actual del incidente. Por ejemplo:

incident-status=incident.status.New.
Tabla 52-15 Parámetros de búsqueda de ACL
acl-principalX Una cadena que indica el usuario o el grupo al que se aplica ACL.
acl-typeX Una cadena que indica si ACL se aplica al archivo o al recurso compartido.
acl-grant-or-denyX Una cadena que indica si ACL concede o deniega el permiso.
acl-permissionX Una cadena que indica si ACL denota acceso de lectura o escritura.
Habilitación de complementos de búsqueda

Para habilitar un complemento de búsqueda es necesario cambiar el estado de
Off, que es el estado inicial de un complemento una vez que se configura, a On.
La ruta Sistema > Datos de incidentes > Complementos de búsqueda >
Modificar encadenamiento del complemento es donde se habilitan los
Ver "Acerca de la implementación de complementos" en la página 1689.
Para habilitar un complemento de búsqueda
2 Haga clic en Modificar encadenamiento del complemento en Página de
enumeración de complementos de búsqueda.
3 En el campo Acciones dedicadas, seleccione la opción On.

4 Haga clic en Guardar para aplicar la configuración.
Si el complemento no se puede cargar, el sistema informará un error y
permanecerá el estado del complemento Off. En este caso, compruebe el
último archivo de registro de Tomcat en busca del error.
Encadenamiento de complementos de búsqueda

Sistema > Datos de incidentes > Complementos de búsqueda > Modificar
encadenamiento de ejecución de complemento de búsqueda es donde se
habilitan los complementos de búsqueda y se especifica el orden de ejecución
cuando se implementan varios complementos de búsqueda.
Si habilita varios complementos de búsqueda es necesario especificar su orden
de ejecución. Cuando los complementos se encadenan juntos, la entrada de un
complemento anterior se usa como atributo por los complementos subsiguientes
de búsqueda.
Ver "Acerca de la implementación de complementos" en la página 1689.
Para encadenar varios complementos de búsqueda
2 Haga clic en Modificar encadenamiento del complemento en Página de
enumeración de complementos de búsqueda.
3 En el campo Secuencia de ejecución, seleccione el orden de ejecución del
menú desplegable.
4 Haga clic en Guardar para aplicar la configuración de encadenamiento.
Recargar complementos de búsqueda

Si ha cambiado la configuración de un complemento de búsqueda o los datos
externos han cambiado, es necesario volver a cargar los complementos de
búsqueda. Volver a cargar los complementos actualiza el sistema y de forma
automática realiza las búsquedas habilitadas en orden y rellena los atributos del
incidente a medida que los incidentes se detectan.
Además de volver a cargar los complementos si se realizan cambios, es posible
que sea necesario volver a cargar los complementos de búsqueda si cualquiera
de las siguientes situaciones es verdadera:
■ Un complemento era problemático y el sistema lo descargó, pero ahora el

problema se reparó.
■ La red estaba fuera de servicio o desconectada por alguna razón, pero ahora
está funcionando correctamente.
■ Un complemento almacena datos en memoria caché, y usted desea actualizar
manualmente la memoria caché.
Para recargar complementos de búsqueda
2 Haga clic en Recargar complementos para volver a cargar todos los
complementos habilitados.
Nota: Los administradores pueden además volver a cargar los complementos

de búsqueda desde la ficha Atributos personalizados de la pantalla Sistema
> Datos de incidentes > Atributos.
Solución de problemas de complementos de búsqueda

Symantec Data Loss Prevention proporciona mensajes de registro y de error
específicos a los complementos de búsqueda. Los errores más comunes incluyen
la imposibilidad de un complemento para cargarse debido a una o más
configuraciones incorrectas. Si un complemento de búsqueda no puede cargarse,
se registra la excepción como una advertencia en la pantalla de los eventos del
sistema y en el registro de Tomcat. Además, el mapa de atributos y la cadena de
ejecución de complementos se registran en Tomcat.
Para solucionar problemas de errores del complemento de búsqueda
1 Navegue a la pantalla Sistema > Servidores y detectores > Descripción
general y busque cualquier advertencia en la tabla Eventos recientes de
error y advertencia en la parte inferior de la página.
2 En el host de Enforce Server, abre el archivo de registro

\SymantecDLP\protect\Enforce\logs\tomcat\localhost.<date>.log.
3 Solucione problemas de los errores que aparecen en el archivo de registro

del host local de Tomcat.
Tabla 52-16
4 Configure el registro detallado para los complementos de búsqueda si el

complemento falla pero los errores no se registran.
Ver "Configurar el registro detallado para los complementos de búsqueda"
en la página 1703.
5 Consulte los temas de la solución de problemas para los complementos
específicos.
Ver "Probar y solucionar problemas del complemento de búsqueda de CSV "
en la página 1713.
Ver "Cómo probar y solucionar problemas de complementos de búsqueda de
LDAP" en la página 1720.
Ver "Tutorial del complemento de búsqueda de script" en la página 1730.
Tabla 52-16 Solución de problemas de complementos de búsqueda
Problema Solución
El complemento de búsqueda Si el complemento no puede cargarse, busque un mensaje en el archivo de registro

no puede cargarse similar al siguiente:
SEVERE
[com.vontu.enforce.workflow.attributes.AttributeLookupLoader]
Error al cargar el complemento [<nombre_complemento>]
Observe la sección "Causa" que sigue a este tipo de mensaje de error. Tales entradas
explicarán por qué el complemento no pudo cargarse.
Los atributos no son rellenados Si el complemento se carga, pero los atributos no se rellenan, busque en el registro
por la búsqueda el mapa de atributos. Verifique que los valores se estén rellenando, incluso para los
parámetros de la búsqueda que usted habilitó. Para hacer esto, busque una clave
del parámetro de búsqueda que se ha habilitado, por ejemplo, sender-email.
Configurar el registro detallado para los complementos de búsqueda

El sistema proporciona la configuración del registro detallado para los complementos
de búsqueda. Es posible configurar los niveles de registro para los complementos
de búsqueda en la ficha Sistema > Registros > Configuración. Configurar los
registros para los complementos de búsqueda proporciona mensajes de registro
más detallados en el registro del host local de Tomcat.
Para configurar y recopilar los registros para los complementos de búsqueda
1 Vaya a la pantalla Sistema > Servidores y detectores > Registros.
2 Seleccione la ficha Configuración.
3 Para Enforce Server, seleccione la entrada Registro de búsqueda de

atributos personalizados del menú desplegable Configuración de registro
de diagnóstico.
4 Haga clic en Configurar registros.
5 En la ficha Recopilación, seleccione Depuración y Registros de rastreo
para Enforce Server.
6 Haga clic en Recopilar registros.
7 En la parte inferior de la página, haga clic en Descargar para descargar los
registros. Use el botón Actualizar para actualizar la página. Los registros se
empaquetan en un archivo ZIP.
8 Abra el archivo ZIP o guárdelo en el sistema de archivos y extráigalo.
9 Navegue al directorio \SymantecDLPLogs.zip\Enforce\logs\tomcat.
10 Abra el archivo localhost.<date>.log usando un programa de edición de
texto. Abra el archivo con la fecha más reciente.
11 Busque el nombre del complemento de búsqueda. Es necesario ver varios
mensajes.
12 Si es necesario, verifique las propiedades del registro de complementos de
búsqueda en el archivo \Protect\config\ManagerLogging.properties.
com.vontu.logging.ServletLogHandler.level=FINEST
com.vontu.enforce.workflow.attributes.CustomAttributeLookup.level=FINEST
com.vontu.lookup.level=FINEST
Cómo configurar las propiedades avanzadas de complementos

El archivo SymantecDLP\protect\config\Plugins.properties contiene varias
propiedades avanzadas para configurar complementos de búsqueda. Estas
propiedades no necesitan generalmente ser modificadas a menos que sea necesario
según las descripciones siguientes.
Tabla 52-17 Propiedades avanzadas de complementos de búsqueda
Propiedad Opción Descripción

predeterminada
AttributeLookup. data-owner-name, La propiedad Parámetros de salida de búsqueda de atributos es

data-owner-email una lista separada por comas que especifica qué parámetros
output.parameters
pueden modificar los complementos de búsqueda. Generalmente,
los valores para las claves de parámetro de búsqueda se
configuran con el sistema cuando se crea un incidente. Como
estos parámetros se usan para buscar valores de atributos
personalizados, no se modifican con los valores buscados si son
diferentes de los valores definidos por el sistema
Sin embargo, esta propiedad le permite modificar la salida de

los atributos Nombre de propietario de datos y Correo
electrónico del propietario de datos en función de los valores
recuperados. Estos parámetros se especifican en las
configuraciones y los scripts de complementos de búsqueda
usando la misma sintaxis que los atributos personalizados. Ambos
atributos se habilitan seleccionando el grupo de atributos
Incidente.
Es posible deshabilitar esta función si quita una o ambas

entradas. Si la quita, no cambia la salida de ningún parámetro
por valor buscado.
AttributeLookup.timeout 60000 Para evitar un bloqueo del sistema debido a problemas

inesperados de búsqueda, Enforce Server limita la cantidad de
tiempo destinada a cada complemento de búsqueda. Este tiempo
de espera se configura en la propiedad
com.vontu.api.incident.attributes.AttributeLookup.timeout
en el archivo Plug-ins.properties.
Si una búsqueda excede el tiempo de espera predeterminado

de 60 segundos, el marco del atributo del incidente descarga el
complemento asociado. Si hay una búsqueda consecutiva,
Enforce Server no puede ejecutar esa búsqueda determinada
para ningún incidente subsiguiente. Si el complemento supera
el tiempo de espera frecuentemente, se puede prolongar el
tiempo de espera modificando el período (en milisegundos).
Nota: Tenga en cuenta que aumentar este valor puede dar lugar
a un tiempo de procesamiento de incidentes más lento debido a
las búsquedas de atributo más lentas.
Configuración del complemento de búsqueda de CSV
Propiedad Opción Descripción

predeterminada
AttributeLookup.auto true Las propiedades de búsqueda automática especifican si la

búsqueda debe ejecutarse de forma automática cuando se
detecta un nuevo incidente. Estas propiedades de forma
automática completan los atributos del incidente usando los
complementos de búsqueda implementados una vez que se
ejecuta la búsqueda inicial.
Es posible deshabilitar la búsqueda automática cambiando el

valor de propiedad a falso. Si deshabilita estas propiedades, los
reparadores deben hacer clic en Búsqueda en cada incidente.
Después de configurar la propiedad AttributeLookup.auto

enfalso, asegúrese de reiniciar el servicio de Vontu Incident
Persister. Si no reinicia el servicio los atributos personalizados
continuarán completándose de forma automática.
AttributeLookup.reload false La propiedad de recarga automática del complemento especifica

si todos los complementos deben volver a cargarse de forma
automática cada día a las 03:00 a. m. Cambie a true para
habilitarla.

Es posible configurar solamente un complemento de búsqueda de CSV por instancia
de Enforce Server.
Tabla 52-18 Configuración del complemento de búsqueda de CSV
1 Cree atributos personalizados. Defina los atributos personalizados para obtener la información que
desea buscar.
Ver "Cómo configurar los valores de atributos personalizados

manualmente" en la página 1666.
2 Cree el archivo CSV de origen El archivo CSV que contiene los datos que se usarán para rellenar los
de datos. atributos personalizados para la reparación del incidente.
Ver "Requisitos para crear el archivo CSV" en la página 1708.
3 Cree un nuevo complemento de Ver "Creación de complementos de búsqueda nuevos" en la página 1694.
CSV.
4 Denomine y describa el La cadena del nombre se limita a 100 caracteres. Se recomienda escribir
complemento. una descripción para el complemento de búsqueda.
5 Especifique la ruta del archivo. Proporcione la ruta al archivo CSV. El archivo CSV debe ser local para
Enforce Server.
Ver "Cómo especificar la ruta del archivo CSV" en la página 1709.
6 Elija el delimitador del archivo. Especifique el delimitador que se usa en el archivo CSV. El delimitador
de la barra vertical [|] se recomienda.
Ver "Cómo elegir el delimitador del archivo CSV" en la página 1709.
7 Elija la codificación de archivo. Por ejemplo: UTF-8
Ver "Cómo seleccionar el conjunto de caracteres del archivo CSV"

en la página 1710.
8 Asigne los atributos. Asigne el sistema y los atributos personalizados a los encabezados de
columna del archivo CSV y defina las claves para usar para extraer los
datos del atributo personalizado. Las claves se asignan a los
encabezados de columna, no a los atributos no personalizados.
La sintaxis es la siguiente:
attr.attribute_name=column_head
keys=column_head_first:column_head_next:column_head_3rd
Ver "Cómo asignar atributos y claves del parámetro a campos CSV"

en la página 1710.
9 Guarde el complemento. Verifique que se muestre el mensaje de guardado correcto para el

complemento.
9 Seleccione las claves del Defina las claves que se usan para extraer los datos del atributo
parámetro de búsqueda. personalizado.
10 Habilite el complemento de El complemento de búsqueda de CSV debe habilitarse en Enforce Server.

búsqueda.
11 Solucione los problemas del Ver "Probar y solucionar problemas del complemento de búsqueda de
complemento. CSV " en la página 1713.
11 Pruebe el complemento de
búsqueda.
Requisitos para crear el archivo CSV

El complemento de búsqueda de CSV necesita un archivo CSV que está
almacenado en Enforce Server.
Cuando cree un archivo CSV, tenga presentes los siguientes requisitos:
■ La primera fila de datos del archivo CSV debe contener encabezados de
columna.
■ Los campos de encabezado de columna no pueden estar en blanco.
■ Asegúrese de que no haya espacios en blanco al final de los campos de
encabezado de columna.
■ Asegúrese de que todas las filas tengan el mismo número de columnas.
■ Cada fila del archivo debe estar en una línea única e inseparable.
■ Una o más columnas del archivo se usan como campos clave para las
operaciones de búsqueda de datos. Se especifica en la asignación de atributo
que encabezados de columna se deben usar como campos clave. Además, se
especifica el orden de búsqueda de campo clave. Los campos clave comunes
incluyen típicamente la dirección de correo electrónico, el dominio\nombre de
usuario (para los incidentes de endpoint) y el nombre de usuario (para los
incidentes de almacenamiento).
■ Los valores de datos de las columnas de campos clave deben ser únicos. Si
varias columnas se usan como campos clave (por ejemplo, EMP_EMAIL y
USER_NAME), la combinación de valores de cada fila debe ser única.
■ Los campos de las filas de datos (con excepción de la fila del encabezado de
la columna) pueden estar vacíos, pero por lo menos un campo clave de cada
fila debe contener datos.
■ El mismo tipo de delimitador debe usarse para todos los valores de las filas de
datos y de encabezado de columna.
■ Si el archivo CSV es de solo lectura, asegúrese de que el archivo CSV tenga
una nueva línea al final del archivo. El sistema intentará agregar una nueva
línea al archivo durante la ejecución del complemento, pero si el archivo es de
solo lectura, el sistema no podrá hacer esto y el complemento no se cargará.
■ Para los incidentes de análisis de detección, el parámetro de búsqueda
file-owner no incluye un dominio. Para usar file-owner como clave, la
columna CSV que corresponde a file-owner debe estar en el formato owner.
El formato DOMINIO\propietario no genera operaciones de búsqueda correctas.
Esta restricción se aplica solamente a incidentes de descubrimiento, otras clases
de incidentes pueden incluir un dominio.
Por ejemplo, la fila de encabezado columna y la fila de datos de un archivo CSV

delimitado por barras verticales puede verse de la siguiente manera:
email|first_name|last_name|domain_user_name|user_name|department|manager|manager_email
jsmith@acme.com|John|Smith|CORP\jsmith1|jsmith1|Accounting|Mei Wong|mwong@acme.com
■ Si más del 10% de las filas del archivo CSV infringen alguno de estos requisitos,
el complemento no se carga.
■ Para lograr exactitud en las operaciones de búsqueda, el archivo CSV necesita
ser mantenido actualizado.
Cómo especificar la ruta del archivo CSV

Para configurar el complemento de búsqueda de CSV es necesario especificar la
propiedad Ruta del archivo CSV para la ubicación del archivo CSV. El archivo
CSV debe almacenarse localmente en Enforce Server.
Es posible especificar una ruta de acceso absoluta o una ruta de acceso relativa.
Por ejemplo:
■ ../../../../symantecDLP_csv_lookup_file/senders2.csv
■ C:/SymantecDLP_csv_lookup_file/senders2.csv
En Windows, puede usar barras diagonales o invertidas. Por ejemplo:

C:/SymantecDLP/Protect/plugins/employees.csv o
C:\SymantecDLP\Protect\plugins\employees.csv. En Linux puede usar
solamente barras diagonales.
El sistema valida la ruta del archivo cuando guarda la configuración. Si el sistema
no puede localizar el archivo que informa y el error, no permite guardar la
configuración. Asegúrese de que el archivo CSV no esté abierto y se almacene
localmente en Enforce Server.
Cómo elegir el delimitador del archivo CSV

Use la propiedad Delimitador para especificar el delimitador del archivo CSV.
Se admiten los delimitadores siguientes:
■ Coma
■ Barra vertical
■ Tabulador
■ Punto y coma
La práctica recomendada es usar el carácter de barra vertical ("|") como delimitador.

Se desalienta el uso del delimitador de coma porque las comas se incluyen a
menudo en los campos de datos como parte de los datos. Por ejemplo, una dirección
de calle puede contener una coma.
Cómo seleccionar el conjunto de caracteres del archivo CSV

Es necesario especificar el conjunto de caracteres para el archivo CSV. La opción
predeterminada es UTF-8.
Todos los conjuntos de caracteres admitidos se detallan en el menú desplegable.
Cómo asignar atributos y claves del parámetro a campos CSV

Para configurar el complemento de búsqueda de CSV, especifique el código de
ejecución en el campo Asignación de atributo. Este código asigna claves del
parámetro de búsqueda y atributos personalizados a los encabezados de columna
en el archivo CSV. Uno o más pares attribute=column se usan para asignar atributos
del incidente a los encabezados de columna. La propiedad keys en el mapa del
atributo identifica qué columnas usar para la búsqueda.
Este es un ejemplo de asignación de atributo de archivo CSV:
attr.Store-ID=store-id
attr.Store\ Address=store_address
attr.incident-id=incident-id-key
attr.sender-email=sender-email-key
keys=sender-email-key:incident-id-key
Tenga en cuenta este ejemplo, cumpla con las reglas sintácticas siguientes al
asignar atributos a datos de archivo CSV.
Tabla 52-19 Sintaxis de asignación de atributo para archivos CSV
Ejemplo y sintaxis Descripción
Asignación de atributos a nombres de

attr.Store-ID=store-id encabezado en los pares atributo-columna.
attr.attribute_name=column_head Aquí, Store-ID es un atributo personalizado y

store-id es un nombre de encabezado de la
columna en el archivo CSV.
Ejemplo y sintaxis Descripción
Los espacios están permitidos antes y después

attr.Store\ Address=store_address del signo = (a excepción del complemento de
búsqueda de LDAP).
attr.attribute\ name=column\ head
Los espacios en blanco en los nombres de
atributo y de columna deben precederse con una
barra invertida.
Aquí, el atributo personalizado se denomina

Dirección de almacenamiento.
Cada par atributo-columna se especifica en una

attr.Store-ID=store-id línea aparte.
attr.Store\ Address=store_address
La sintaxis distingue entre mayúsculas y

attr.Store\ Address=STORE_ADDRESS minúsculas.
El identificador attr. debe estar en minúscula.
Los atributos de incidente deben coincidir con la

cadena de definición del sistema de forma exacta.
Los atributos del sistema se asignan a los

attr.incident-id=incident-id-key nombres de encabezado de columna. El nombre
attr.sender-email=sender-email-key de columna no tiene que coincidir con el atributo
del sistema, ni requiere la palabra "key".
Las claves asignan los encabezados de nombre

keys=sender-email-key:incident-id-key de columna a las claves de atributo del incidente
que desea usar para buscar los valores de
keys=<column_name_1st>:column_name_2nd atributo. Las claves asignan nombres de
encabezado de columna, no nombres de atributo
del incidente. El orden de aparición determina la
prioridad. Una vez que se completa el primer
incidente ubicado en el archivo CSV, se
completan los otros atributos.
Ejemplo de la asignación de atributos CSV

Considere otro ejemplo de la asignación para el complemento de búsqueda de
CSV.
attr.sender-email = Email
attr.endpoint-user-name = Username
attr.file-owner = File-owner
attr.sender-ip = IP
attr.First\ Name = FIRST_NAME

attr.Last\ Name = LAST_NAME
attr.Business\ Unit = Org
attr.Manager\ Email = Mgr_email
attr.Employee\ ID = EMPLOYEE_NUMBER
attr.Phone\ Number = Phone
attr.Manager\ Last\ Name = Mgr_lastname
attr.Manager\ First\ Name = Mgr_firstname
attr.Employee\ Email = Emp_email
keys = Email:Username:File-owner:IP
Tenga en cuenta lo siguiente sobre este ejemplo:

■ Las primeras cuatro líneas asignan los parámetros de búsqueda a los
encabezados de columna.
■ Las nueve líneas restantes asignan los atributos personalizados a los
encabezados de columna.
■ Una barra invertida se conecta antes de cada instancia de un carácter de espacio
en blanco en un atributo o un nombre de columna. En este ejemplo,
attr.Employee\ Email = Emp_email asigna el atributo personalizado Correo
electrónico de empleado al encabezado de columna emp_email.
■ La propiedad keys identifica y ordena las claves que se usan para extraer los
datos del atributo personalizado. Cada clave se separa con dos puntos. El orden
en el cual se enumeran las claves determina la secuencia de la búsqueda. En
este ejemplo, (keys = Email:Username:File-owner:IP), el complemento
primero busca en la columna Email un valor que coincida con el valor del
parámetro de búsqueda sender-email que ha sido aprobado para el
complemento. Si no se encuentra ningún valor coincidente, el complemento
después busca en la columna Username un valor que coincida con el parámetro
de búsqueda endpoint-user-name. Si no se encuentra ningún valor coincidente
en esa columna, entonces continúa buscando en la clave siguiente (File-owner),
etc.
■ El complemento detiene la búsqueda una vez que encuentra el primer par
clave-valor del parámetro coincidente. Como consecuencia, el orden en el cual
se enumeran los encabezados de columna keys es significativo.
Probar y solucionar problemas del complemento de búsqueda de

CSV
Si el complemento no se carga o se carga, pero no se rellenan los atributos
personalizados con los valores de la búsqueda, solucione problemas de la siguiente
manera:
Para probar y solucionar problemas en el complemento de búsqueda de CSV
1 Verifique que el archivo CSV se ajuste a los requisitos. Si más del 10% de las
filas en el archivo CSV infringen los requisitos del archivo CSV, el complemento
de búsqueda no se carga.
Ver "Requisitos para crear el archivo CSV" en la página 1708.
2 Verifique que el delimitador que usted seleccionó sea el que está usado en el
archivo CSV. Tenga en cuenta que el valor predeterminado del sistema es la
coma, mientras la recomendación es la barra vertical.
Ver "Cómo elegir el delimitador del archivo CSV" en la página 1709.
3 Compruebe la asignación de atributos. No hay validación proporcionada por
el sistema para el mapa de atributos. Asegúrese de que su mapa de atributos
se adhiera a la sintaxis.
Los errores sintácticos comunes incluyen:
■ Cada entrada en el campo de la asignación de atributos distingue
mayúsculas y minúsculas.
■ Los espacios en los nombres de atributo y de columna se deben
identificarse por una barra invertida.
■ Para cada par attribute=column, los datos a la derecha del signo de igualdad
(=) deben ser un nombre de encabezado de columna.
■ Las claves son nombres de encabezado de columna, no atributos del
incidente.
4 Si el complemento no puede cargarse o el complemento no puede devolver

los valores buscados, compruebe el archivo
\SymantecDLP\Protect\logs\tomcat\localhost.<hora-más-reciente>.log.
■ Compruebe que la base de datos y la tabla estén creadas y que el archivo

CSV esté cargado en la tabla. Para verificarlo, busque las líneas similares
a la siguiente:
INFO [com.vontu.lookup.csv.CsvLookup]
creating database
create table using SQL
importing data from file into table LOOKUP having columns
Nota: Para procesar archivos grandes, el complemento de búsqueda de

CSV usa una base de datos en la memoria (Apache Derby). Solamente
una instancia de Derby puede estar en ejecución por Enforce Server. Si
una instancia anterior está en ejecución, el complemento de búsqueda de
CSV no se carga. Si la base de datos y la tabla no se crean, reinicie el
servicio de Vontu Manager y vuelva a cargar el complemento.
5 Si el complemento no puede devolver los valores buscados, compruebe el

archivo
\SymantecDLP\Protect\logs\tomcat\localhost.<hora-más-reciente>.log.
Busque un mensaje de advertencia que indique que la "consulta SQL no

devolvió ningún resultado". En este caso, asegúrese de que la asignación de
atributos coincida con los encabezados de columna del archivo CSV y vuelva
a cargar el complemento si los cambios fueron realizados.
Tutorial del complemento de búsqueda de CSV

Este tutorial proporciona las instrucciones para implementar un complemento de
búsqueda de CSV simple. El propósito de este tutorial es presentarle la función
del complemento de búsqueda con un enfoque práctico. Si tiene experiencia para
generar incidentes, crear atributos personalizados e implementar complementos
de búsqueda, este tutorial puede ser demasiado básico.
Para implementar un complemento de búsqueda de CSV simple
1 Cree los atributos personalizados siguientes en Sistema > Atributos >
Atributos personalizados :
■ Administrador
■ Departamento
2 Cree un archivo CSV delimitado por barras verticales que contenga los datos
siguientes.
SENDER|MGR|DEPT|EMAIL
emp@company.com|Merle Manager|Engineering|rmanager@company.com
3 Guarde el archivo CSV en la misma unidad del volumen donde Enforce Server
está instalado.
Por ejemplo:
C:\SymantecDLP\Protect\plugins\lookup\csv_lookup_file.csv.
4 Cree una política básica de palabras claves.

5 Genere un incidente de correo electrónico.
Para activar la búsqueda de este ejemplo, el incidente debe ser un incidente
de SMTP y el remitente del correo electrónico debe ser la dirección
emp@company.com. Cambie el valor del remitente en el archivo CSV para que
coincida con el valor real del remitente del correo electrónico.
6 Cree un nuevo complemento de búsqueda de CSV en Sistema > Datos de
incidentes > Complementos de búsqueda > Nuevo complemento.
7 Configure el complemento de búsqueda de la siguiente manera:
■ Nombre: Complemento de búsqueda de CSV
■ Descripción: Administrador de búsqueda de remitente de correo electrónico
del archivo CSV.
■ Ruta del archivo CSV:
C:\SymantecDLP\Protect\plugins\lookup\csv_lookup_file.csv
■ Delimitador: Barra vertical [|]
■ Codificación de archivo: UTF-8
■ Asignación de atributos
Asigne los atributos definidos por el sistema, los atributos personalizados
y las claves del parámetro de búsqueda en líneas aparte de la siguiente
manera:
attr.sender-email=SENDER
attr.Manager=MGR
attr.Department=DEPT
attr.Email\ Address=EMAIL
keys=SENDER
attr.sender-email = SENDER Esta es una clave del parámetro de búsqueda del grupo Remitente. Se
asigna al encabezado de columna correspondiente en el archivo CSV.
attr.Manager = MGR Este es un atributo personalizado definido en el Paso 1. Se asigna al

encabezado de columna correspondiente en el archivo CSV.
attr.Department = DEPT Este es un atributo personalizado definido en el Paso 1. Se asigna al

encabezado de columna correspondiente en el archivo CSV.
attr.Email\ Address = EMAIL Este es un atributo personalizado delimitado por espacios definido en
el Paso 1. Se asigna al encabezado de columna correspondiente en el
archivo CSV.
keys = SENDER Esta línea declara una clave para realizar la búsqueda. La búsqueda
cesa una vez que la primera clave se encuentra y se rellenan los valores
del atributo.
8 Guarde la configuración del complemento.

9 Seleccione Sistema > Complementos de búsqueda > Parámetros de
búsqueda y seleccione el grupo siguiente de claves del parámetro de
búsqueda:
Remitente Este grupo contiene la clave sender-email.
10 Seleccione Sistema > Complementos de búsqueda > Modificar

encadenamiento del complemento y habilite el complemento.
11 Abra la Instantánea del incidente para el incidente generado en el Paso 4.
12 Verifique que los atributos personalizados sin rellenar que usted creó en el
Paso 1 aparezcan en el panel Atributos a la derecha de la pantalla.
Si no aparecen, complete el Paso 1.
13 Verifique que el botón "Búsqueda" aparezca en el panel Atributos sobre los
atributos personalizados.
Si no aparece, verifique que el privilegio Búsqueda de atributos esté
concedido al usuario.
Haga clic en Recargar complemento una vez que realiza cualquier cambio.
14 Haga clic en el botón Búsqueda.
Los atributos personalizados se deben rellenar con los valores buscados y
recuperados del archivo CSV.
15 Solucione problemas en el complemento según sea necesario.
Ver "Probar y solucionar problemas del complemento de búsqueda de CSV "
en la página 1713.
Configuración de los complementos de búsqueda de LDAP
Configuración de los complementos de búsqueda de

LDAP
Para configurar un complemento de búsqueda de LDAP o más, complete las
siguientes tareas.
Tabla 52-20 Configuración de los complementos de búsqueda de LDAP
1 Cree atributos Ver "Cómo configurar atributos personalizados" en la página 1664.

personalizados.
2 Configure una conexión Una conexión en funcionamiento a un servidor de LDAP debe estar disponible.
al servidor LDAP.
Ver "Requisitos para conexiones de servidor LDAP" en la página 1717.
La conexión al servidor LDAP se puede configurar utilizando el vínculo del

complemento de búsqueda de LDAP.
3 Cree un nuevo Ver "Creación de complementos de búsqueda nuevos" en la página 1694.

complemento de
búsqueda de LDAP.
4 Asigne los atributos. Asigne los atributos a los campos correspondientes del directorio LDAP. La
sintaxis es la siguiente:
attr.CustomAttributeName = search_base:
(search_filter=$variable$):
ldapAttribute
Ver "Cómo asignar atributos a los datos de LDAP" en la página 1718.
Ver "Ejemplos de asignación de atributos para LDAP" en la página 1719.
5 Guarde y habilite el El complemento de búsqueda de LDAP debe habilitarse en Enforce Server.

complemento.
6 Pruebe y solucione Ver "Solución de problemas de complementos de búsqueda" en la página 1702.

problemas en el
complemento de
búsqueda de LDAP.
Requisitos para conexiones de servidor LDAP

Las condiciones siguientes se deben cumplir para que Symantec Data Loss
Prevention establezca una conexión con un directorio LDAP:
■ El directorio LDAP debe estar en ejecución en un host que sea accesible para
Enforce Server.
■ Debe haber una cuenta de LDAP que Symantec Data Loss Prevention pueda
usar. Esta cuenta debe tener acceso de solo lectura. Es necesario saber el
nombre de usuario y la contraseña de la cuenta.
■ Es necesario saber el nombre de dominio completo (FQN) del servidor de LDAP
(la dirección IP no se puede usar).
■ Es necesario conocer el puerto del servidor de LDAP que Enforce Server usa
para comunicarse con el servidor de LDAP. La opción predeterminada es 389.
Puede usar una herramienta de búsqueda de LDAP, tal como el navegador de
LDAP de Softerra, para confirmar que tiene las credenciales correctas para
conectarse al servidor LDAP. Además, confirme que ha definido los campos
correctos para completar los atributos personalizados.
Cómo asignar atributos a los datos de LDAP

Se asignan atributos del sistema y personalizados a los datos de LDAP en el campo
Asignación de atributo. Cada asignación se especifica en una línea aparte. El
orden en el cual estas entradas de asignación aparecen no importa.
La sintaxis de asignación de atributos para complementos de búsqueda de LDAP
es la siguiente:
attr.CustomAttributeName = search_base:
(search_filter=$variable$):
ldapAttribute
La tabla siguiente describe esta sintaxis más detalladamente.
Tabla 52-21 Detalles de la sintaxis de asignación de LDAP
CustomAttributeName El nombre del atributo personalizado como se define en Enforce Server.

Nota: Si el nombre del atributo contiene caracteres con espacio en blanco, deberá
anteponer a cada caso de espacio en blanco una barra invertida. Un carácter con
espacio en blanco es un espacio o una tabulación. Por ejemplo, debe especificar
el atributo personalizado Business Unit como: attr.Business\ Unit
search_base Identifica el directorio LDAP.

search_filter El nombre de atributo de LDAP (campo) que corresponde al parámetro de

búsqueda (u otra variable) transferida al complemento de Enforce Server.
variable El nombre del parámetro de búsqueda que contiene el valor que se usará como
clave para localizar los datos correctos en el directorio de LDAP.
En caso de que varios complementos se encadenen juntos, el parámetro puede

ser una variable que es transfiere al complemento de búsqueda de LDAP mediante
un complemento anterior.
ldapAttribute El atributo de LDAP cuyo valor de datos se devuelve a Enforce Server. Este valor
se usa para completar el atributo personalizado que se especifica en el primer
elemento de la entrada.
Ejemplos de asignación de atributos para LDAP

Las asignaciones siguientes proporcionan ejemplos adicionales de la asignación
de atributos para los complementos de búsqueda de LDAP.
La asignación siguiente de atributos de ejemplo busca en el directorio LDAP hr.corp
un registro con un atributo para mail cuyo valor coincida con el valor del parámetro
de búsqueda sender-email. Regresa a Enforce Server el valor del atributo
givenName para ese registro.
attr.First\ Name = dc=corp,dc=hr:(mail=$sender-email$):givenName
En el ejemplo siguiente de la asignación de atributos, una línea aparte se escribe

para cada atributo personalizado que deba ser rellenado. Además, observe el uso
de la variable temporal TempDeptCode. El código del departamento es necesario
para obtener el nombre de departamento de la jerarquía de LDAP. Pero solamente
el nombre de departamento debe ser almacenado como atributo personalizado.
La variable TempDeptCode se crea con este fin.
attr.First\ Name = cn=users:(mail=$sender-email$):firstName

attr.Last\ Name = cn=users:(mail=$sender-email$):lastName
attr.TempDeptCode = cn=users:(mail=$sender-email$):deptCode
attr.Department = cn=departments:(deptCode=$TempDeptCode$):name
attr.Manager = cn=users:(mail=$sender-email$):manager
Cómo probar y solucionar problemas de complementos de búsqueda

de LDAP
Complete estos pasos para solucionar problemas en las implementaciones del
complemento de búsqueda de LDAP.
Para solucionar problemas en un complemento de búsqueda de LDAP
1 Si el complemento no se guarda correctamente, verifique la configuración.
Antes de usar el complemento de búsqueda de LDAP, es necesario probar la
conexión al servidor LDAP. Es posible usar una herramienta de búsqueda
como el navegador de LDAP de Softerra para ayudar a confirmar que tiene
definidos campos correctos.
2 Asegúrese de que el complemento esté habilitado.
3 Asegúrese de haber creado las definiciones de atributo personalizado.
Particularmente, compruebe la asignación de atributos. Los nombres del
atributo deben ser idénticos.
4 Si realizó cambios o editó las claves de parámetro de búsqueda, vuelva a
cargar el complemento.
5 Seleccione Incidentes > Todos los incidentes para el servidor de detección
que está utilizando para detectar el incidente.
6 Seleccione varios incidentes y seleccione Buscar atributos del menú
desplegable Acciones del incidente. (Esta acción busca los valores de atributo
para todos los incidentes con ese tipo de detección.
7 Compruebe la pantalla Instantánea del incidente en busca de un incidente.
Verifique que los atributos personalizados de Búsqueda se hayan completado
con las entradas recuperadas de búsqueda de LDAP.
8 Si los valores correctos no se completan o no hay ningún valor en un atributo
personalizado que haya definido, asegúrese de que no haya errores de
conexión registrados en la ficha Historial de incidentes.
9 Compruebe el archivo de registro de Tomcat.
Tutorial del complemento de búsqueda de LDAP

Este tutorial proporciona los pasos para implementar un complemento de búsqueda
de LDAP simple .
Para implementar un complemento de búsqueda de LDAP
1 Cree los atributos personalizados siguientes en Sistema > Atributos >
Atributos personalizados :
nombreProporcionado de LDAP
númeroTelefónico de LDAP
2 Cree una conexión al directorio para el servidor de Active Directory en Sistema
> Configuración > Conexiones al directorio.
Por ejemplo:
■ Nombre del host: enforce.dlp.company.com
■ Puerto: 389
■ DN base: dc=enforce,dc=dlp,dc=com
■ Cifrado: Ninguno
■ Autenticación: Autenticado
■ Nombre de usuario: nombreUsuario
■ Contraseña: contraseña
3 Pruebe la conexión. El sistema indica si la conexión es correcta.

4 Cree un nuevo complemento de LDAP en Sistema > Complementos de
búsqueda > Nuevo complemento > LDAP.
Nombre: Complemento de búsqueda de LDAP
Descripción: Descripción del complemento de LDAP.
5 Seleccione la conexión del directorio creada en el Paso 2.
6 Asigne los atributos a los metadatos de LDAP.
attr.LDAP\ givenName = cn=users:(|(givenName=$endpoint-user-name$)(mail=$sender-email$)

(streetAddress=$discoverserver$)):givenName
attr.LDAP\ telephoneNumber = cn=users:(|(givenName=$endpoint-user-name$)(mail=$sender-email$)
(streetAddress=$discoverserver$)):telephoneNumber
7 Guarde el complemento. Verifique que se muestre el mensaje de guardado

correcto para el complemento.
Configuración de complementos de búsqueda de script
8 Habilite las claves siguientes en la página Sistema > Complementos de

búsqueda > Parámetros de búsqueda.
■ Incidente
■ Mensaje
■ Remitente
9 Cree un incidente que genere uno de los parámetros de búsqueda. Por ejemplo,
un incidente de correo electrónico expone el atributo sender-email. Debe haber
cierta información correspondiente en el servidor Active Directory.
10 Abra la Instantánea del incidente para consultar el incidente.
11 Haga clic en el botón Búsqueda y verifique si los atributos personalizados
creados en el Paso 1 se completan en el panel adecuado.
Configuración de complementos de búsqueda de

script
Complete estos pasos para implementar uno o más complementos de búsqueda
de script para buscar información externa.
Ver "Cómo escribir scripts para complementos de búsqueda de script"
en la página 1723.
Tabla 52-22 Configuración de un complemento de búsqueda de script
1 Cree atributos Ver "Cómo configurar atributos personalizados" en la página 1664.

personalizados.
2 Cree el script. Ver "Cómo escribir scripts para complementos de búsqueda de script"
en la página 1723.
3 Defina las Claves del Seleccione las claves que desea usar para extraer los datos de atributo
parámetro de personalizado.
búsqueda.
4 Cree un nuevo Ver "Creación de complementos de búsqueda nuevos" en la página 1694.

complemento de script.
5 Escriba el Comando de Este valor es la ruta local al archivo ejecutable del motor de script en el host de
script. Enforce Server.
Ver "Especificar el comando de script" en la página 1724.

6 Especifique los Este valor es la ruta al archivo de script Python que desea usar para realizar la
Argumentos. búsqueda del atributo y cualquier argumento de la línea de comandos. Inicie la
ruta del script con el argumento -u para mejorar el rendimiento de la búsqueda.
Ver "Especificar los argumentos" en la página 1725.
7 Habilite las opciones Habilite ambas opciones para ayudar a evitar ataques de inyección de script.
stdin y stout.
Ver "Habilitar las opciones stdin y stdout" en la página 1725.
8 Opcionalmente, habilite Es posible especificar los tipos de incidente por protocolo para aprobar los valores
el Filtrado de del atributo para la búsqueda de scripts.
protocolo.
Ver "Cómo habilitar el filtrado de protocolo de incidente para scripts"
en la página 1726.
9 Opcionalmente, habilite Es posible cifrar y aprobar las credenciales requeridas por el script para
y cifre Credenciales. conectarse a los sistemas externos.
Ver "Habilitación y cifrado de credenciales de script" en la página 1727.
9 Guarde el Verifique que se muestre el mensaje de guardado correcto en el complemento.

complemento.
10 Habilite el complemento Es posible encadenar los scripts juntos y con otros complementos de búsqueda.
de búsqueda.
11 Pruebe el complemento Pruebe el complemento de búsqueda.

de búsqueda.
Cómo escribir scripts para complementos de búsqueda de script

Si está utilizando el complemento de búsqueda de script, es necesario escribir un
script para extraer los datos y completar los atributos personalizados de cada
incidente. El complemento de búsqueda de script transmite atributos a scripts como
pares valor-clave. A cambio, los scripts deben dar como resultado un conjunto de
pares valor-clave a la salida estándar (stdout). El complemento usa estos pares
valor-clave para completar atributos personalizados.
Cuando escriba los scripts para usarlos con el complemento de búsqueda de script,
cumpla con los siguientes requisitos de sintaxis y las convenciones de
denominación, incluido cómo un complemento de script transfiere los argumentos
a scripts y el formato necesario para la salida del script.
Tabla 52-23 Convenciones de llamada del complemento de script
Convención Sintaxis Descripción
Entrada attribute_name=attribute_value Los complementos de búsqueda de script transfieren

atributos a scripts como parámetros de línea de comandos
con formato key=value.
Salida stdout Para funcionar con el complemento y completar los

atributos, los scripts deben generar un conjunto de pares
valor-clave a la salida estándar (stdout).
Los caracteres de nueva línea deben separar los pares

valor-clave de salida. Por ejemplo:
host-name=mycomputer.company.corp
username=DOMAIN\bsmith
código de salida 0 Los scripts deben salir con un código de salida de ‘0’. Si
los scripts salen con cualquier otro código, Enforce Server
asume que ocurrió un error en la ejecución del script y
finaliza la búsqueda de atributos.
administración stderr a un archivo Los scripts no pueden imprimir el error ni depurar la

de errores información. Reoriente stderr a un archivo. El Python,
esto sería:
fsock = open("C:\error.log", "a") sys.stderr = fsock
Ver "Script de ejemplo" en la página 1731.
Especificar el comando de script

El campo Comando de script especifica la ruta al motor de scripts para ejecutar
el script. Estas instrucciones son específicas para Python.
Para especificar el comando de script
1 Descargue e instale la versión 2.6 de Python en el host de Enforce Server, si
no lo ha hecho aún.
2 Escriba la ruta local al archivo ejecutable python.exe.
Por ejemplo:
■ Windows: c:\python26\python.exe
■ Linux: /usr/local/bin/python
3 Escriba los Argumentos.

Ver "Especificar los argumentos" en la página 1725.
Especificar los argumentos

El campo Argumentos especifica la ruta al script y a cualquier argumento de la
línea de comandos adicional. Estas instrucciones son específicas para Python.
Para especificar los argumentos
1 Después de escribir un script, cópielo en el host de Enforce Server o en un
archivo compartido que sea accesible para Enforce Server.
2 Asegúrese de que los permisos estén configurados correctamente en el
directorio y el archivo script.
El directorio y el archivo deben ser legibles y ejecutables para el usuario
protect.
3 Escriba el argumento -u en el campo Argumento.

Este comando obliga a stdin, stdout y stderr a estar totalmente sin búfer,
lo cual mejora el rendimiento de la búsqueda.
4 Escriba la ruta completa al archivo script.
Por ejemplo:
■ Windows: -u,c:\python26\scripts\ip-lookup.py
■ Linux: -u,/opt/python26/scripts/ip-lookup.py
Nota: El sistema no valida la ubicación del archivo.
Habilitar las opciones stdin y stdout

Cuando se configura un complemento de búsqueda de script, se puede elegir
Habilitar stdin y Habilitar stdout. Si se habilitan estas opciones, el sistema busca
en la entrada y la salida del script caracteres inseguros, tales como delimitadores
de comando y operadores lógicos que podría aprovechar un shell de UNIX o un
shell de Windows.
Como usted está ejecutando el script en el host donde el servidor Enforcer está
instalado, es necesario habilitar ambas opciones, a menos que usted esté seguro
que su script es seguro. Si están habilitados, los registros indicarán los caracteres
no válidos y sin escape.
Tabla 52-24 Caracteres no inválidos para los nombres de atributo
Carácter no inválido Descripción
Cadena vacía Las cadenas vacías no están permitidas.
@ Los atributos que contienen estos caracteres serán omitidos durante el proceso si se
habilitan las opciones stdin y stdout.
.
$ Los atributos que contienen los caracteres $ y % están permitidos si estos caracteres son
escapados correctamente por una barra invertida.
%
Cómo habilitar el filtrado de protocolo de incidente para scripts

Opcionalmente, es posible especificar los tipos de incidente (por protocolo) para
aprobar los valores del atributo para la búsqueda de scripts. Si no habilita el filtrado
de protocolo, su complemento de búsqueda de script se aplicará a todos los
incidentes.
Por ejemplo, se puede limitar la transferencia de valores de atributo a los incidentes
que se detecten en HTTP. Cuando filtra por protocolo, Enforce Server sigue
capturando los incidentes que se detectan en otros protocolos. Pero no usa el
complemento de búsqueda de script para completar esos incidentes con valores
de atributo.
Para habilitar el filtrado del protocolo

1 Navegue a la pantalla Sistema > Complementos de búsqueda > Editar
complemento de búsqueda de script en la consola de administración de
Enforce Server.
2 En la pantalla Complemento de búsqueda de script, seleccione la opción
Habilitar filtrado de protocolo.
Esta acción muestra todos los protocolos que están disponibles para filtrar.
Tenga en cuenta que los protocolos son específicos del servidor de detección.
Nota: Los protocolos de red se configuran en la pantalla Sistema >

Configuración > Protocolos. Los protocolos del endpoint se configuran en
la pantalla Sistema > Agentes > Configuración del agente. Los protocolos
de detección se configuran en Políticas > Análisis de detección > Destinos
de detección. Y, una vez que se genera un incidente, el valor del protocolo
para el incidente se muestra en la parte superior de la pantalla Instantánea
del incidente.
3 Especifique los protocolos que desea incluir en la búsqueda.

Si habilita el filtrado de protocolo, debe seleccionar por lo menos un protocolo
en el cual filtrar.
Habilitación y cifrado de credenciales de script

Si su script está conectándose a un sistema externo que requiere credenciales,
puede habilitar las credenciales para su script. Si habilita las credenciales con la
opción de interfaz de usuario, se deben cifrar. Symantec Data Loss Prevention
proporciona la utilidad de credencial, que le permite cifrar las credenciales y usarlas
para autenticar en un origen de datos externo.
Cuando Enforce Server invoca el complemento de búsqueda de script, el
complemento descifra cualquier credencial en el tiempo de ejecución y la pasa al
script como atributo. Las credenciales están entonces disponibles para usar dentro
del script. La utilidad de credencial usa las mismas claves de cifrado de la plataforma
que se usan para proteger las cuentas de usuario y la información del incidente
dentro del sistema de Symantec Data Loss Prevention.
Si elige usar las credenciales en el texto no cifrado, se deben especificar en código

en su script. En este caso, Enforce Server pasa los valores que usted exportó a
archivo de credencial de texto no cifrado. Estos valores se aprueban en el formato
siguiente: clave = valor.
Tabla 52-25 Habilitación y cifrado de credenciales
1 Cree un archivo de texto que contenga El formato de este archivo es clave=valor, donde clave
las credenciales que necesita el script es el nombre de la credencial.
para acceder a los sistemas externos
Por ejemplo:
apropiados.
username=msantos password=esperanza9
2 Guarde este archivo de credencial en el El archivo se debe guardar en Enforce Server

sistema de archivos local de Enforce temporalmente.
Server.
Por ejemplo: C:\temp\MyCredentials.txt.
3 En Enforce Server, abra un shell o una Este directorio en Enforce Server contiene la utilidad de
línea de comandos y cambie los generador de credenciales.
directorios a
\SymantecDLP_home\Protect\bin.
4 Emita un comando para generar un La sintaxis de comando es la siguiente:

archivo de credencial cifrado.
CredentialGenerator.bat
in-cleartext-filepathout-encrypted-filepath
Por ejemplo, en Windows emitiría lo siguiente:
CredentialGenerator.bat C:\temp\MyCredentials.txt
C:\temp\MyCredentialsEncrypted.txt
Es posible abrir este archivo en un editor de texto para

verificar que está cifrado.
5 Seleccione Habilitar credenciales. En la página Sistema > Complementos de búsqueda >

Editar complemento de búsqueda de script, seleccione
la opción Habilitar credenciales.
6 Escriba la Ruta de archivo de Escriba completamente la ruta calificada en el archivo de

credenciales. credenciales cifrado. Por ejemplo:
C:\temp\MyCredentialsEncrypted.txt.
7 Guarde el complemento. Es posible ahora usar las credenciales cifradas para

autenticar en un sistema externo.
8 Asegure el archivo de credenciales de Si desea guardar los archivos de credenciales de texto no

texto no cifrado. cifrado, muévalos a una ubicación segura. Puede ser útil
guardar el archivo si planea actualizarlo y volver a cifrarlo
más tarde. Si no desea guardar el archivo, elimínelo ahora.
9 Vuelva a cargar el complemento de Ver "Administración y configuración de complementos de

búsqueda. búsqueda" en la página 1692.
Encadenar varios complementos de búsqueda de script

Todos los complementos de búsqueda hacen referencia al mismo mapa de atributos.
Esta referencia permite encadenar complementos de búsqueda. Si el
encadenamiento de complementos es necesario para completar los atributos
personalizados, este varía según las circunstancias. Considere la situaciones de
ejemplo siguientes.
Conseguir la clave correcta para los incidentes de red de correo electrónico es
generalmente sencillo. La dirección de correo electrónico del remitente del mensaje
es de forma automática capturada como el parámetro de búsqueda sender-email.
Ese parámetro de búsqueda se puede usar como clave para desbloquear la
información sobre el remitente que se almacena en un origen externo. En esta
sesión, no es necesario encadenar varios complementos.
Para incidentes de la Web o FTP, un encadenamiento de complementos puede
ser necesario. El parámetro de búsqueda que se captura para estas clases de
incidentes es la dirección IP de los hosts que los originan. Pero las direcciones IP
no son generalmente identificadores estáticos como las direcciones de correo
electrónico. Por lo tanto, es posible que sea necesario hacer operaciones de
búsqueda sucesivas para conseguir un identificador estático que se pueda usar
como clave de la información.
Se puede escribir un script para pasar el parámetro de búsqueda sender-ip a un
servidor de DNS para conseguir el nombre del host. Es posible entonces escribir
otro script para pasar ese nombre de host a un sistema de administración de activos.
Desde el sistema de administración de activos se puede obtener el nombre de
usuario o el correo electrónico de la persona que usa ese equipo. El nombre de
usuario o el correo electrónico se puede entonces usar como “clave” para
desbloquear el resto de los datos. Este encadenamiento de complementos puede
tener tres vínculos:
1. El complemento de búsqueda de script que usa la dirección IP para devolver el
nombre del host.
2. El complemento de búsqueda de script que usa el nombre del host para devolver
el nombre de usuario o el correo electrónico.
3. El complemento de búsqueda de CSV que usa el nombre de usuario o el correo
electrónico para devolver el resto de los datos del atributo personalizado.
En este ejemplo, es necesario crear una variable temporal Host_Name nueva para
almacenar la información del nombre del host. Esta variable temporal y su valor
quedan entonces disponibles para el segundo script y los complementos
subsiguientes.
Tutorial del complemento de búsqueda de script

Complete el tutorial siguiente para implementar un complemento de búsqueda de
script. Este tutorial asume una familiaridad básica con la implementación práctica
de los complementos de búsqueda. Para obtener esta familiaridad, complete el
"tutorial del complemento de búsqueda de CSV".
Ver "Tutorial del complemento de búsqueda de CSV" en la página 1714.
Para configurar un complemento de búsqueda de script
1 Descargue e instale el Python 2.6 en el sistema donde Enforce Server está
instalado.
Por ejemplo: C:\python26.
2 Copie el "script del ejemplo" proporcionado en este capítulo a un archivo de
texto y guárdelo en un directorio en el host de Enforce Server como
Script-Plugin.py.
Por ejemplo: C:\python26\scripts\Script-Plug-In.py.

Ver "Script de ejemplo" en la página 1731.
3 Abra este script en Python IDE, tal como Wing IDE (disponible en
http://www.wingware.com/).
4 Revise los comentarios en este script y ejecútelo.
■ Comente la línea 18.
■ Ejecute el script. Devuelve el valor "Script-attribute=script value".
■ Quite los comentarios de la línea 18, de modo que no se procese.
5 Cree el atributo personalizado siguiente: Script-attribute.

6 Seleccione Nuevo complemento > Script para crear un nuevo complemento
de búsqueda de scripts.
7 Configure un complemento de búsqueda de script.

Use los parámetros siguientes:
■ Comando de script : C:\python26\python.exe
■ Argumentos : -u,C:\python26\scripts\Script-Plugin.py
8 Guarde el complemento y asegúrese de que el complemento se cargue

correctamente según lo indicado por el mensaje de sistema.
9 Habilite los parámetros siguientes de búsqueda: Incidente, Mensaje y
Remitente.
10 Genere un incidente que pase el atributo date-sent.
11 Vaya a la instantánea de incidente para ver el nuevo incidente y haga clic en
Búsqueda.
12 Verifique que el atributo personalizado Script-attribute esté rellenado con
el valor de script value.
13 Si el atributo personalizado no está rellenado, compruebe el archivo de registro
C:\SymantecDLP\Protect\logs\tomcat\localhost.<latest_date>.log.
Si es Script-attribute=null, compruebe el script. Revise los comentarios

en el script proporcionado y asegúrese de que no hay espacio entre los pares
attribute=value.
14 Explore la habilitación de propiedades opcionales para el complemento de
búsqueda de script, incluyendo stdin/stdout, el filtrado de protocolos y las
credenciales.
Ver "Habilitar las opciones stdin y stdout" en la página 1725.
Ver "Cómo habilitar el filtrado de protocolo de incidente para scripts"
en la página 1726.
Ver "Encadenar varios complementos de búsqueda de script" en la página 1729.
Script de ejemplo
El script siguiente se proporciona como ejemplo para el complemento de búsqueda
de script. Se escribe en Python 2.6. El propósito de este script es proporcionar un
ejemplo de funcionamiento básico para escribir los scripts en Python que se puede
usar para los complementos de búsqueda de script.
Este script contiene la clave del parámetro de búsqueda date-sent y devuelve el
"valor del script" para el atributo personalizado Script-attribute.
Ver "Tutorial del complemento de búsqueda de script" en la página 1730.
Nota: Como Python es estricto con los requisitos de indentación, si se copia y pega
este script de ejemplo usted necesitará probablemente cambiarle el formato de
modo que aparezca exactamente según lo mostrado aquí.
__name__="__main__"
import sys, os, traceback

import commands
# Switch this to 0 when in production mode.

debugMode = 1
def main(args):
try:
attributeMap = parseInput(args)
# This is the lookup parameter key.

# Comment-out this line for testing the script standalone.
dateSent = attributeMap["date-sent"]
# "Script-attribute" is the custom attribute.

# "script value" is the return value.
# You cannot have a space between the custom attribute and the
# attribute value. For example, "Script-attribute = script value"
# Does not work for Script Lookup Plugins.
print "Script-attribute=script value"
return
except:
error()
print "something went wrong!"
return "something went wrong!"
def parseInput(args):
# Input data is a list of key value pairs seperated by carraige return

# Create a python dictionary to create the attribute map
attributeMap = {}
delimiter = "="
for item in args:
if delimiter in item:
tuple = item.split(delimiter)
attributeMap[tuple[0]] = tuple[1]
return attributeMap
def error():
# "SCRIPT PROCESSING ERROR"
if(debugMode):
Cómo configurar complementos de búsqueda personalizados (versión anterior)
#print "Script Processing Error"

traceback.print_exc(file=sys.stdout)
return ""
#-----------------------------------------------------------------
# DOS-style shells (for DOS, NT, OS/2):
#-----------------------------------------------------------------
def getstatusoutput(cmd):
""" Return (status, output) of executing cmd in a
shell."""
pipe = os.popen(cmd + ' 2>&1', 'r')

text = pipe.read()
sts = pipe.close()
if sts is None: sts = 0
if text[-1:] == '\n': text = text[:-1]
return sts, text
#-----------------------------------------------------------------
# Entry Point
#-----------------------------------------------------------------
if __name__ == "__main__":
if(len(sys.argv) == 0):
error()
else:
main(sys.argv)
Cómo configurar complementos de búsqueda

personalizados (versión anterior)
Estos pasos suponen que ya hay complementos de búsqueda Java personalizados
implementados en una versión previa a la versión 12.0 de Symantec Data Loss
Prevention y que se ha actualizado el sistema con la versión 12.0 o una versión
posterior de Symantec Data Loss Prevention. En ese caso, se migrará un
complemento de búsqueda Java personalizado a un complemento de búsqueda
personalizado (versión anterior) y aparecerá en la interfaz de usuario para la
verificación y la comprobación correspondiente.
Ver "Acerca de los complementos de búsqueda personalizados (versión anterior)"
en la página 1687.
Cómo configurar complementos de búsqueda personalizados (versión anterior)
Tabla 52-26 Cómo implementar complementos de búsqueda personalizados

(versión anterior)
1 Cree atributos personalizados. Cree los atributos personalizados para los que el
complemento de búsqueda personalizado (versión anterior)
recuperará los valores.

en la página 1663.
2 Edite el complemento personalizado (versión La actualización correcta debe importar el complemento de

anterior). búsqueda personalizado (versión anterior) a la interfaz de
usuario donde se puede habilitar.
Es posible actualizar el nombre y la descripción si es

necesario.
Ver "Creación de complementos de búsqueda nuevos"

en la página 1694.
3 Verifique la Clase de complemento. Después de la actualización, el nombre de clase debe

completarse desde el archivo Plugins.properties.
4 Verifique los JAR necesarios. Después de la actualización, los archivos JAR copiados
previamente a Enforce Server deben aparecer en este
campo.
5 Habilite el complemento. Active el complemento con la opción On.
Ver "Habilitación de complementos de búsqueda"

en la página 1700.
6 Habilite las claves de búsqueda del Seleccione las claves para activar la búsqueda de atributos.
parámetro.
Ver "Seleccionar los parámetros de búsqueda"
en la página 1695.
7 Cree una política y genere un incidente del Por ejemplo, puede crear una política de palabra clave y
tipo esperado por el complemento. generar un incidente de red de SMTP que apruebe el
atributo sender-name.
8 Verifique que los atributos personalizados Compruebe la Instantánea del incidente para los atributos
estén actualizados. completados.
Ver "Solución de problemas de complementos de búsqueda"

en la página 1702.
Sección 7
Cómo supervisar y evitar
pérdida de datos en la red
■ Capítulo 53. Cómo implementar Network Monitor
■ Capítulo 54. Cómo implementar Network Prevent for Email
■ Capítulo 55. Cómo implementar Network Prevent for Web

Capítulo 53
Cómo implementar Network
Monitor
■ Cómo implementar Network Monitor
■ Acerca de la compatibilidad con IPv6 para supervisión de red
■ Elegir un método de captura del paquete de red
■ Acerca de la instalación y la configuración del software de captura de paquetes
■ Configurar el servidor de Network Monitor
■ Habilitar el proceso GET con Network Monitor
■ Crear una política para Network Monitor
■ Probar Network Monitor
Cómo implementar Network Monitor

Network Monitor captura y analiza el tráfico en su red, detectando datos
confidenciales y metadatos significativos del tráfico sobre los protocolos que
especifica. Por ejemplo, SMTP, FTP, HTTP y diversos protocolos de MI. Es posible
configurar un servidor de Network Monitor para supervisar protocolos personalizados
y para usar una variedad de filtros (por protocolo) a fin de filtrar tráfico de bajo
riesgo.
Para supervisar tráfico de red, el servidor de Network Monitor necesita:
■ Un analizador del puerto del conmutador de red (SPAN) o un puerto de acceso
para pruebas de red a fin de adquirir tráfico en la red de destino.
Cómo implementar Network Monitor 1738
■ Una tarjeta en el host del servidor de Network Monitor para capturar el tráfico
de red que se adquiere desde el SPAN o el puerto de acceso para pruebas. Se
puede utilizar una tarjeta de interfaz de red (NIC, Network Interface Card) o un
adaptador de captura de paquetes de alta velocidad (Endace o Napatech).
(Tenga en cuenta que, además de esta tarjeta de captura de tráfico, una NIC
aparte es necesaria para la comunicación entre Enforce Server y el servidor de
Network Monitor. Es necesario contar con WinPcap para este fin).
■ Software de captura de paquetes. Cuando se usa una NIC para la captura de
paquetes, el software de captura del paquete debe instalarse en el host del
servidor de Network Monitor. Cuando se utiliza una tarjeta adaptadora de captura
de paquetes de alta velocidad (Endace o Napatech), la tarjeta debe usar el
controlador correcto.
Ver "Elegir un método de captura del paquete de red" en la página 1741.
Figura 53-1 Una configuración de Network Monitor básica
Para implementar la captura del paquete y configurar Network Monitor, realice las
tareas de alto nivel siguientes:
1 Instale y configure el puerto de acceso para pruebas de red o SPAN que
captura el tráfico de red.
2 Elija un método para capturar tráfico de red.
Ver "Elegir un método de captura del paquete de red" en la página 1741.
3 Instale la NIC o el adaptador de captura de paquetes de alta velocidad (Endace

o Napatech) que necesite en Network Monitor, tal como se describe en la
documentación de la tarjeta. Además, use la Guía de instalación de Symantec
Data Loss Prevention apropiada (Windows o Linux). Se debe utilizar esta NIC
o este adaptador de captura de paquetes de alta velocidad (Endace o
Napatech) en el modo promiscuo para que todo el tráfico entrante y saliente
se transmita mediante este puerto.
Consulte la Guía de compatibilidad y requisitos del sistema de Symantec Data
Loss Prevention para obtener información sobre los adaptadores de captura
de paquetes de alta velocidad y las NIC compatibles.
4 En una plataforma de Windows, instale WinPcap si no está instalado ya.
Ver "Instalación de WinPcap en una plataforma de Windows" en la página 1742.
5 Si es necesario, actualice el controlador para el adaptador de captura de
paquetes de alta velocidad.
Ver "Cómo actualizar el controlador de la tarjeta de Endace" en la página 1743.
Ver "Instalación y actualización del software del controlador y el adaptador de
red Napatech" en la página 1743.
6 Deshabilite la descarga de la suma de comprobación para la NIC que se usa
para supervisar tráfico de red. Para las plataformas de Linux, use los comandos
siguientes para deshabilitar la descarga de la suma de comprobación para
recepción y transmisión de datos en la interfaz de eth0:
ethtool -K eth0 tx off

ethtool -K eth0 rx off
Para ver el estado actual de la descarga de la suma de comprobación, use el

comando ethtool -k eth0.
Nota: Ciertos algoritmos de la suma de comprobación funcionan modificando

los paquetes de red y agregando sumas de comprobación vacías. Las sumas
de comprobación vacías pueden hacer a los controladores de captura de red
cortar los paquetes; en este caso, Network Monitor no los evalúa.
7 Use un analizador del protocolo, como Wireshark, para validar el tráfico en el

puerto de acceso para pruebas o SPAN que entra en su tarjeta NIC o adaptador
de captura de paquetes de alta velocidad (Endace o Napatech).
8 Configure el servidor de Network Monitor.
Ver "Configurar el servidor de Network Monitor" en la página 1744.
Acerca de la compatibilidad con IPv6 para supervisión de red
9 Cree e implemente una política de prueba para Network Monitor.

Ver "Crear una política para Network Monitor" en la página 1747.
10 Pruebe el sistema generando un incidente contra su política de prueba.
Ver "Probar Network Monitor" en la página 1748.
Acerca de la compatibilidad con IPv6 para supervisión

de red
Symantec Data Loss Prevention admite la supervisión de las redes IPv4 puras, las
redes de doble pila (IPv4 e IPv6) o de las redes IPv6 puras. Las consola de
administración de Enforce Server admite entradas y creación de informes de
direcciones IPv4 e IPv6 para Network Monitor. La compatibilidad con la supervisión
de redes IPv6 se limita a implementaciones de Network Monitor y no incluye
compatibilidad con otros productos de Symantec Data Loss Prevention.
Aquí se proporciona una descripción general de compatibilidad específica con IPv6
en Symantec Data Loss Prevention:
■ La instalación de un servidor de Network Monitor que es capaz de supervisar
redes IPv6 o redes de doble pila es la misma que la instalación de un servidor
de Network Monitor que supervisa una red IPv4.
■ Los requisitos de hardware y sistema operativo son los mismos que para IPv4
Network Monitor. Consulte la Guía de requisitos del sistema de Symantec Data
Loss Prevention para obtener más información sobre la compatibilidad con
software y hardware de otro fabricante.
■ Los tipos de datos de dirección IP pueden incluir direcciones IPv4 o IPv6.
■ Los incidentes de red pueden incluir direcciones IPv6.
■ Las definiciones de protocolos de red pueden incluir direcciones IPv6.
El soporte de Symantec Data Loss Prevention IPv6 se limita a la supervisión. La
consola de administración de Enforce Server se debe implementar en una red IPv4;
no se admiten las funciones de comando y control por IPv6.
Esta versión no incluye soporte para lo siguiente:
■ Implementación de Symantec Data Loss Prevention por redes IPv6.
■ Soporte de otros servidores de Symantec Data Loss Prevention por redes IPv6
■ Uso de los identificadores de datos definidos por el sistema IPv6
■ Uso de la fragmentación de IP por IPv6
■ Configurar servidores de detección o comunicarse con ellos por IPv6
Elegir un método de captura del paquete de red
■ Implementación de endpoints IPv6

■ Implementación de Symantec Encryption Server en IPv6
■ Implementación de la base de datos de Oracle en una conexión IPv6
Consulte Configurar un protocolo en la ayuda en pantalla para obtener más
información sobre detalles de implementación específicos del soporte de IPv6.
Elegir un método de captura del paquete de red

Es posible usar tres métodos diferentes para capturar el tráfico de red que es
adquirido por un SPAN o un puerto de acceso para pruebas:
■ NIC en una plataforma de Windows. Las plataformas de Windows que usan
una NIC para la captura del paquete necesitan una biblioteca de WinPcap en
el host del servidor de Network Monitor. Si WinPcap no está ya en el host del
servidor de Network Monitor, debe instalarlo. Consulte Requisitos del sistema
y guía de compatibilidad de Symantec Data Loss Prevention para obtener
información sobre la versión admitida de la biblioteca de WinPcap.
■ NIC en una plataforma de Linux. Las plataformas de Linux que usan NIC usan
una captura del paquete de Linux nativo que necesita el soporte de
PACKET_MMAP en el kernel. El soporte para PACKET_MMAP se incluye de
forma predeterminada en los kernels admitidos de Linux.
■ El adaptador de captura de paquetes de alta velocidad para plataformas
Windows o Linux. Una tarjeta de red de medición de Endace DAG se puede
usar en las plataformas de 64 bits de Linux para proporcionar captura de
paquetes de red en los entornos de mucho tráfico. Opcionalmente, se puede
utilizar un adaptador de red Napatech para proporciona la captura de paquetes
de red. Consulte la Guía de compatibilidad y requisitos del sistema de Symantec
Data Loss Prevention para obtener información sobre los adaptadores de captura
de paquetes de alta velocidad y los controladores admitidos.
Tabla 53-1 Alternativas de la captura del paquete
Tipo de captura de Plataforma Software

paquetes
NIC Windows WinPcap
Linux Nativo
Adaptador de captura de Windows , de 64 bits Napatech

paquetes de alta velocidad
Acerca de la instalación y la configuración del software de captura de paquetes
Tipo de captura de Plataforma Software

paquetes
Linux de 64 bits Endace

Napatech
Acerca de la instalación y la configuración del

software de captura de paquetes
Tenga en cuenta los siguientes requisitos al instalar y configurar el software de
captura de paquetes:
■ En plataformas Windows, la captura de paquetes necesita el software WinPcap
que se debe instalar si no está presente.
■ En plataformas Linux, PACKET_MMAP realiza la captura de paquetes. PACKET_MMAP
es un componente estándar de Linux y no se debe instalar ni modificar. Sin
embargo, también necesita apr-util, apr, expat y paquetes de otros fabricantes
para ejecutar un servidor de supervisión de red en Linux. Consulte la Guía de
compatibilidad y Requisitos del sistema Symantec Data Loss Prevention para
obtener información adicional.
■ Si usa un adaptador de captura del paquete de alta velocidad (Endace o
Napatech), necesitará instalar o actualizar el software del controlador del
adaptador.
Ver "Cómo actualizar el controlador de la tarjeta de Endace" en la página 1743.
Ver "Instalación y actualización del software del controlador y el adaptador de red
Napatech" en la página 1743.
Instalación de WinPcap en una plataforma de Windows

Si el software WinPcap no está presente en una plataforma de Windows, se debe
instalar. Consulte Requisitos del sistema y guía de compatibilidad de Symantec
Data Loss Prevention para obtener información sobre la versión admitida de la
biblioteca de WinPcap. Los detalles adicionales se pueden encontrar en la Guía
de instalación de Symantec Data Loss Prevention.
Ver "Acerca de la administración de los servidores de Symantec Data Loss
Acerca de la instalación y la configuración del software de captura de paquetes
Para instalar WinPcap en el servidor de detección de supervisión de red:

1 Localice el software de WinPcap en la siguiente URL: http://www.winpcap.org/
2 Copie los archivos de WinPcap a una unidad local.
3 Ejecute el archivo ejecutable de WinPcap y siga las instrucciones de instalación.
4 Restablezca la configuración del registro de Windows ejecutando
pcapstart.reg y siga las instrucciones que se muestran.
Cómo actualizar el controlador de la tarjeta de Endace

Si actualiza un servidor Network Monitor a la versión actual, es posible que sea
necesario actualizar el controlador de tarjeta Endace. Consulte la Guía de
compatibilidad y requisitos del sistema de Symantec Data Loss Prevention para
obtener información sobre las tarjetas admitidas de Endace y los controladores.
Cómo actualizar un controlador de Endace
1 Instale el nuevo controlador según lo descrito por la documentación de Endace.
2 Reconfigure Network Monitor para usar el nuevo controlador.
Instalación y actualización del software del controlador y el adaptador

de red Napatech
Este tema proporciona instrucciones para instalar el adaptador de captura de
paquetes Napatech de alta velocidad. Consulte la Guía de compatibilidad y
requisitos del sistema de Symantec Data Loss Prevention para obtener información
sobre las versiones admitidas de los controladores y las tarjetas Napatech.
Tabla 53-2 Instalación y actualización del adaptador de red Napatech
1 Instale el adaptador Consulte la Guía de compatibilidad y requisitos del sistema de Symantec Data Loss
de captura de Prevention para conocer las versiones admitidas de las tarjetas Napatech.
paquetes Napatech
de alta velocidad.
2 Instale el controlador Para conocer las versiones admitidas del controlador Napatech, consulte la Guía de
Napatech. compatibilidad y requisitos del sistema para Symantec Data Loss Prevention.
Configurar el servidor de Network Monitor
3 Verifique la Para Windows:

instalación de
■ Asegúrese de que el archivo de la biblioteca Napatech CommonLib.dll esté
Napatech.
presente en el directorio
\<windows_installation_drive>\Windows\System32\.
Para Linux:
■ El controlador Napatech debe compilarse del origen como parte de la instalación

del paquete de software Napatech (consulte el paso 2 anterior).
■ El controlador Napatech debe cargarse con el script
/opt/napatech/bin/load_driver.sh una vez por cada secuencia de
arranque del equipo antes de capturar los paquetes. Para Linux RHEL, edite el
archivo /etc/rc.d/rc.local para anexarle
/opt/napatech/bin/load_driver.sh y reinicie el sistema.
■ Verifique que el archivo de la biblioteca Napatech libntcommoninterface.so
esté presente en el directorio /<nt_installation_directory>/lib/.
4 Configure el servidor Implemente un servidor de detección de Network Monitor y establezca la configuración

de detección de de Advanced Server :
Network Monitor.
■ Habilite la captura de paquetes Napatech configurando el siguiente indicador como
true: PacketCapture.IS_NAPATECH_ENABLED.
■ Actualice el valor de la ruta al directorio de herramientas del controlador Napatech
escribiendo la ruta en el campo para la siguiente entrada:
PacketCapture.NAPATECH_TOOLS_PATH.
■ Por ejemplo, en Windows, los archivos binarios de las herramientas Napatech
se incluyen como parte del paquete de software Napatech:
\ntcap_package_windows_<version>\tools\nt_tools_windows_<version>.zip\tools\binary\Tools\<architecture>\
■ Para Linux, las herramientas Napatech se compilan desde el origen como parte
del proceso de instalación del paquete de software Napatech:
/<nt_installation_directory>/bin/

Se configura el servidor Network Monitor seleccionando la interfaz de red (NIC,
Napatech o tarjeta de Endace) para usar para la captura del tráfico. Se deben
además seleccionar los protocolos a supervisar.
Para configurar un servidor de Network Monitor

1 En la consola de administración de Enforce Server, vaya a Sistema >
Servidores y detectores > Descripción general y haga clic en el servidor
de Network Monitor. Aparece la pantalla Detalles del servidor/detector.
Si no usa un adaptador de captura del paquete de alta velocidad (Endace o
Napatech) para la captura del tráfico, omita hasta el paso 6.
2 Si usa un adaptador de captura del paquete de alta velocidad (Endace o
Napatech), haga clic en Configuración del servidor.
3 Para las tarjetas de Endace, especifique los valores apropiados en los campos
siguientes:
PacketCapture.ENDACE_BIN_PATH Escriba la ruta al directorio \bin de

Endace.
De forma predeterminada, este directorio

se encuentra en endace_home
\dag-version\bin. Tenga en cuenta
que no se pueden usar variables (tales
como %ENDACE_HOME%) en los campos
que se detallan aquí.
PacketCapture.ENDACE_LIB_PATH Escriba la ruta al directorio \lib de

Endace.
PacketCapture.ENDACE_XILINX_PATH Escriba la ruta al directorio \xilinx de

Endace.
PacketCapture.IS_ENDACE_ENABLED Cambie el valor a true.
4 Para las tarjetas de Napatech, especifique los valores apropiados en los

campos siguientes:
PacketCapture.IS_NAPATECH_ENABLED Cambie el valor a true.
PacketCapture.NAPATECH_TOOLS_PATH Escriba la ruta al directorio Napatech

\tools.
5 Detenga y reinicie el servidor de Network Monitor. Symantec Data Loss

Prevention muestra la tarjeta de Endace en el campo Interfaces de red de la
pantalla Configurar servidor para el servidor de Network Monitor.
clic nuevamente en el servidor de Network Monitor.
Habilitar el proceso GET con Network Monitor
7 En la pantalla Detalles del servidor, haga clic en Configurar. Es posible verificar

o modificar la configuración en la sección general en la parte superior y en la
ficha Captura de paquetes, según lo descrito en pasos subsiguientes.
8 Deje el espacio en blanco del campo Anulación de la carpeta de origen para
aceptar el directorio predeterminado para el búfer de las secuencias de red
antes de que el servidor de Network Monitor las procese. (Esta configuración
es la configuración recomendada). Para especificar un directorio de búfer
personalizado, escriba la ruta completa del directorio.
9 Seleccione una o más Interfaces de red (tarjetas NIC, Napatech o Endace)
con las cuales el servidor Network Monitor debe capturar tráfico.
10 En la sección Protocolo, seleccione uno o más protocolos para supervisar.
Por ejemplo, seleccione las casillas de selección para SMTP, HTTP y FTP.
Para que un protocolo aparezca en esta sección, se debe configurar en la
pantalla Protocolos global en Enforce Server.
Consulte la ayuda en pantalla asociada a la pantalla Configurar servidor.
Symantec Data Loss Prevention tiene configuración estándar para cada
protocolo en la lista. Para modificar la configuración de un protocolo, haga clic
en el icono Lápiz al lado del protocolo apropiado. Para obtener información
sobre cómo modificar la configuración del protocolo, consulte la ayuda en
pantalla.
12 Detenga y reinicie el servidor de Network Monitor. Haga clic en Reciclar al
lado de la entrada Estado en la pantalla Detalles del servidor.
Una vez que ha seleccionando una interfaz de red y ha elegido los protocolos, es
conveniente crear una política de prueba para probar su implementación.
Ver "Probar Network Monitor" en la página 1748.
Ver "Habilitar el proceso GET con Network Monitor" en la página 1746.
Habilitar el proceso GET con Network Monitor

De forma predeterminada, supervisión de red no procesa comandos HTTP GET.
Se deshabilita el proceso GET porque implica un alto volumen de tráfico y porque
los datos confidenciales se pierden raramente en los comandos GET. Si necesita
el proceso GET y el servidor Network Monitor puede manejar la carga creciente,
siga este procedimiento para configurar supervisión de red para procesar los
comandos GET.
Crear una política para Network Monitor
Nota: Network Monitor examina solamente las solicitudes de GET, no examina las
respuestas de HTTP GET.
Para habilitar el proceso GET

1 Asegúrese de que la configuración avanzada del servidor L7.processGets
en el servidor de supervisión de red sea verdadera (que es la opción
predeterminada).
2 Cambie la configuración avanzada del servidor
PacketCapture.DISCARD_HTTP_GET en el servidor de supervisión de red
de la configuración predeterminada verdadera a falsa.
3 Reduzca el tamaño de la configuración avanzada del servidor
L7.minSizeofGetURL en el servidor de supervisión de red de la opción
predeterminada de 100. Redúzcala varios bytes menos que la longitud de la
dirección URL más corta desde la cual desee procesar los comandos GET.
Un tamaño mínimo de URL de 10 debe cubrir todos los casos. Sin embargo,
tenga en cuenta que al reducir el tamaño mínimo de GET aumenta el número
de solicitudes que tengan que ser procesadas, lo que aumenta la carga de
tráfico del servidor.
Nota: Network Monitor examina solamente las solicitudes de HTTP GET, no

examina las respuestas de HTTP GET.
Ver "Habilitar el proceso GET para Network Prevent for Web" en la página 1772.
Crear una política para Network Monitor

Para Network Monitor, es posible crear políticas que incluyan cualquiera de las
reglas de respuesta estándar. Para configurar una acción de regla de respuesta,
vaya a Administrar > Políticas > Reglas de respuesta y haga clic en Agregar
reglas de respuesta.
Probar Network Monitor
Para crear una política de prueba para Network Monitor

1 En la consola de administración de Enforce Server, cree una regla de respuesta
que incluya una de las acciones específicas que se aplican a Network Monitor.
Por ejemplo, cree una regla de respuesta que incluya la acción Todos:
Configurar estado.
2 Cree una política que incorpore la regla de respuesta que usted configuró en
el paso anterior.
Por ejemplo, cree una política llamada Política de prueba de la siguiente
manera:
■ Incluya una regla de detección El contenido coincide con la palabra
clave que coincida con la palabra clave test_dlp_secret_keyword.
■ Incluya la regla de respuesta Todos: Configurar estado.
■ Asóciela al grupo de políticas predeterminado.

Es posible probar Network Monitor enviando un correo electrónico que infrinja su
política de prueba.
Para probar su sistema
1 Acceda a una cuenta de correo electrónico que dirija mensajes a través del
MTA.
2 Envíe un correo electrónico que contenga datos confidenciales. Por ejemplo,
envíe un correo electrónico que contenga la palabra clave
test_dlp_secret_keyword.

Network y haga clic en Incidentes - Nuevos. Busque el incidente resultante.
Por ejemplo, busque una entrada del incidente que incluya la marca de fecha
y el nombre de política apropiados.
4 Haga clic en la entrada relevante del incidente para ver la instantánea del
incidente completo.
Ver "Acerca de los informes de Symantec Data Loss Prevention"
en la página 1582.

Capítulo 54
Prevent for Email
■ Cómo implementar Network Prevent for Email
■ Acerca de la integración del Agente de transferencia de correo (MTA)
■ Configurar Network Prevent for Email Server para el modo de reflejo o reenvío
■ Cómo especificar uno o más agentes de transferencia de correo ascendentes

(MTA)
■ Crear una política para Network Prevent for Email
■ Acerca de los encabezados de datos de infracción de políticas
■ Cómo habilitar los encabezados de datos de infracción de políticas
■ Probar Network Prevent for Email
Cómo implementar Network Prevent for Email

Network Prevent for Email supervisa y analiza el tráfico de correo electrónico
saliente inline y (opcionalmente) bloquea, redirecciona o modifica mensajes de
correo electrónico como se especifica en sus políticas. Network Prevent for Email
se integra con los agentes de transferencia de correo (MTA) estándares del sector
y los servicios de correo electrónico alojados para dejarle supervisar y detener los
incidentes de la pérdida de datos sobre SMTP. Las políticas que se implementan
en Network Prevent for Email Server dirigen el MTA integrado con Prevent o el
servidor de correo alojado. El servidor de correo integrado con Prevent bloquea,
redirige y altera los mensajes de correo electrónico basados en atributos de
contenido o mensajes específicos.
Cómo implementar Network Prevent for Email 1751
Cómo implementar Network Prevent for Email
Nota: Revise la Guía de la integración del MTA de Symantec Data Loss Prevention
para Network Prevent for Email para determinar su arquitectura preferida de
integración antes de que continúe con la implementación.
Figura 54-1 muestra una integración de Network Prevent for Email Server con un
MTA del siguiente segmento que se administre en la red. Como alternativa, puede
integrar Network Prevent for Email Server con un servidor de correo alojado que
resida fuera del firewall.
Figura 54-1 Una instalación de Network Prevent for Email básica
Primero, es necesario conocer los pasos de alto nivel que son necesarios para
implementar Network Prevent for Email. Es posible comprobar las secciones
relacionadas para obtener información más detallada.
Acerca de la integración del Agente de transferencia de correo (MTA)
Para implementar Network Prevent for Email

1 Elija una arquitectura de integración y configure su Agente de transferencia
de correo (MTA) para que funcione con el Network Prevent for Email Server.
Ver "Acerca de la integración del Agente de transferencia de correo (MTA)"
en la página 1752.
2 Configure Network Prevent for Email Server para que funcione dentro de su
arquitectura elegida de integración.
Ver "Configurar Network Prevent for Email Server para el modo de reflejo o
reenvío" en la página 1753.
3 Si planea cifrar o poner en cuarentena mensajes de correo electrónico,
configure los servidores de cifrado de otro fabricante necesarios o los servidores
de archivado. Para obtener información, consulte la documentación del
producto.
4 Cree e implemente una política para Network Prevent for Email.
Ver "Crear una política para Network Prevent for Email" en la página 1760.
Ver "Probar Network Prevent for Email" en la página 1763.
Acerca de la integración del Agente de transferencia

de correo (MTA)
Elija una arquitectura de integración y configure su Agente de transferencia de
correo (MTA) para que funcione con el Network Prevent for Email Server.
Revise la Guía de la integración del MTA de Symantec Data Loss Prevention para
Network Prevent for Email. Conozca más sobre las arquitecturas compatibles de
la integración.
Network Prevent for Email Server puede funcionar con su MTA en el modo de
reflejo o reenvío:
■ Modo de reflejo. En modo de reflejo, Network Prevent for Email Server recibe
mensajes de un MTA. Los analiza y después los devuelve al mismo MTA (con
instrucciones para bloquear los mensajes o procesarlos de manera
descendente). Esencialmente, el servidor devuelve mensajes a la misma
dirección IP de donde llegaron.
■ Modo de reenvío. En modo de reenvío, Network Prevent for Email Server recibe
mensajes de un MTA ascendente. Los analiza y después los envía a un MTA
descendente o a un proveedor alojado del servicio de correo electrónico. Es
Configurar Network Prevent for Email Server para el modo de reflejo o reenvío
posible especificar una lista de direcciones IP o de nombres de hosts para el

servidor de correo del siguiente segmento en la configuración de Network
Prevent for Email Server.
Es posible también configurar un único Network Prevent for Email Server para que
funcione con varios MTA.
Ver "Cómo especificar uno o más agentes de transferencia de correo ascendentes
(MTA)" en la página 1759.
Configurar Network Prevent for Email Server para el

modo de reflejo o reenvío
Use las instrucciones siguientes a fin de configurar Network Prevent for Email
Server para que funcione en el modo de reflejo o reenvío.
Para configurar Network Prevent for Email Server
1 Inicie sesión en la consola de administración de Enforce Server para el sistema
Symantec Data Loss Prevention que desee configurar.
2 Seleccione Sistema > Servidores y detectores > Descripción general para
mostrar la lista de servidores configurados.
3 Haga clic en el nombre del Network Prevent for Email Server que desee
configurar.
5 Anule la selección de Modo de prueba para habilitar el bloqueo de los
mensajes de correo electrónico que infringen las políticas de Symantec Data
Loss Prevention.
6 Configure el modo de reflejo o reenvío modificando los campos siguientes:
Campo Descripción

Prevent for Email Server en modo de
reflejo. Seleccione Reenviar para actuar
en modo de reenvío.
Nota: Si selecciona Reenviar, además,
se deben seleccionar Habilitar búsqueda
de MX o Deshabilitar búsqueda de MX
para configurar el método usado para
determinar el MTA del segmento siguiente.

Seleccione Habilitar búsqueda de MX

para realizar una consulta de DNS en un
nombre de dominio para obtener los
registros de intercambio del correo (MX)
del servidor. Network Prevent for Email
Server usa los registros MX devueltos para
seleccionar la dirección del servidor de
correo de segmento siguiente.

companyname.com

consultas de registros MX para los
nombres de dominio que usted
especifique.
Escribir dominios para configurar
de reenvío.
Campo Descripción


si desea especificar el nombre de host o
la dirección IP exactos de uno o más MTA
del segmento siguiente. Network Prevent
for Email Server usa los nombres de host
o las direcciones que se especifican y no
realiza operaciones de búsqueda de
registros MX.
Si selecciona Deshabilitar búsqueda de

MX, además, agregue uno o más nombres
de host o direcciones IP para los MTA del
segmento siguiente en el cuadro de texto
Escribir nombres de hosts. Es posible
especificar varias entradas colocando cada
entrada en una línea aparte. Por ejemplo:

siempre enviar al proxy el primer MTA que
se especifica en la lista. Si ese MTA no
está disponible, Network Prevent for Email
Server intenta con la siguiente entrada
disponible en la lista.
Escribir nombres de hosts para
configurar correctamente el

8 Haga clic en Configuración del servidor para verificar o para establecer esta
configuración avanzada:
Campo Descripción
RequestProcessor.ServerSocketPort Asegúrese de que este valor coincida con

el número del puerto del agente de
escucha del SMTP al cual el MTA
ascendente envía mensajes de correo
electrónico. La opción predeterminada es
10025.
Nota: Muchos sistemas Linux restringen
los puertos por debajo de 1024 al acceso
raíz. Network Prevent for Email no se
puede enlazar a estos puertos restringidos.
Si el equipo recibe el correo para la
inspección en un puerto restringido (por
ejemplo, puerto 25), reconfigure el equipo
para dirigir tráfico del puerto restringido al
puerto Network Prevent for Email no
restringido (puerto 10025 de forma
predeterminada).
Ver "Configuración de tablas de IP de

Linux para volver a enrutar el tráfico de un
puerto restringido" en la página 1758.
RequestProcessor.MTAResubmitPort Asegúrese de que este valor coincida con

el número del puerto del agente de
escucha del SMTP en el MTA ascendente
al que Network Prevent for Email Server
devuelve el correo. La opción
RequestProcessor.AddDefaultHeader De forma predeterminada, Network

Prevent for Email Server usa un
encabezado para identificar todos los
mensajes de correo electrónico que ha
procesado. El encabezado y el valor se
especifican en el campo
RequestProcessor.DefaultPassHeader.
Cambie el valor de este campo a false si

no desea agregar un encabezado a cada
mensaje.
Campo Descripción
RequestProcessor.AddDefaultPassHeader Este campo especifica el encabezado y el

valor que Network Prevent for Email Server
agrega a cada mensaje de correo
electrónico que procesa. El encabezado y
el valor predeterminado es
X-CFilter-Loop: Reflected. Cambie
el valor de este campo si desea agregar
un encabezado diferente a cada mensaje
procesado.
Si no desea agregar un encabezado a

cada mensaje de correo electrónico,
configure el campo
AddDefaultPassHeader en False.
Nota: Siempre configure RequestProcessor.ServerSocketPort y

RequestProcessor.MTAResubmitPort, si se implementa el modo de reflejo
o el de reenvío. Con modo de reenvío, RequestProcessor.ServerSocketPort
especifica el puerto del agente de escucha del SMTP en el servidor de
detección al que el MTA ascendente envía mensajes de correo electrónico.
RequestProcessor.MTAResubmitPort es el puerto del agente de escucha
del SMTP en el MTA descendente al cual el servidor de detección envía
mensajes de correo electrónico.

11 Si su sistema de entrega de correo electrónico usa la comunicación de TLS
en modo de reenvío, cada servidor de correo del siguiente segmento en la
cadena proxy debe admitir TLS y debe autenticarse con el segmento anterior.
Esto significa que Network Prevent for Email Server debe autenticarse con el
MTA ascendente, y el MTA del segmento siguiente debe autenticarse con
Network Prevent for Email Server. La autenticación apropiada necesita que
cada servidor de correo almacene el certificado de la clave pública para el
servidor de correo del segmento siguiente en su archivo del almacén de claves
local.
Ver "Cómo especificar uno o más agentes de transferencia de correo ascendentes

(MTA)" en la página 1759.
Ver "Crear una política para Network Prevent for Email" en la página 1760.
Ver "Probar Network Prevent for Email" en la página 1763.
Configuración de tablas de IP de Linux para volver a enrutar el tráfico

de un puerto restringido
Muchos sistemas de Linux restringen puertos debajo de 1024 al acceso raíz.
Network Prevent for Email no puede enlazar estos puertos restringidos.
Si el equipo recibe correo para su inspección en un puerto restringido (por ejemplo,
puerto 25), use el comando iptables para enrutar ese tráfico a un puerto no
restringido, como el puerto predeterminado 10025 de Network Prevent for Email.
A continuación, asegúrese de que Network Prevent for Email escuche el puerto no
restringido para examinar el correo electrónico.
Use las instrucciones siguientes para configurar un sistema Linux para que enrute
el puerto 25 al puerto 10025. Si usa un puerto restringido diferente o un puerto de
Network Prevent for Email, escriba los valores correctos en los comandos iptables.
Para configurar el tráfico de la ruta del puerto 25 al puerto 10025
1 Configure Network Prevent for Email para usar el puerto predeterminado 10025,
si es necesario.
Ver "Configurar Network Prevent for Email Server para el modo de reflejo o
reenvío" en la página 1753.
2 En una ventana de terminal en el equipo Network Prevent for Email, escriba
los siguientes comandos para volver a enrutar el tráfico del puerto 25 al puerto
10025:
iptables -N Vontu-INPUT
iptables -A Vontu-INPUT -s 0/0 -p tcp --dport 25 -j ACCEPT
iptables -I INPUT 1 -s 0/0 -p tcp -j Vontu-INPUT
iptables -t nat -I PREROUTING -p tcp --destination-port 25 -j REDIRECT --to-ports=10025
iptables-save > /etc/sysconfig/iptables
Nota: Si solamente desea probar el enrutamiento de IP local entre puertos con

Telnet, use el comando: iptables -t nat -I OUTPUT -o lo -p tcp
--destination-port 25 -j REDIRECT --to-ports=10025
Si posteriormente decide eliminar la entrada de tabla IP, use el comando:
iptables -t nat -D OUTPUT -o lo -p tcp --destination-port 25 -j REDIRECT --to-ports=10025

Cómo especificar uno o más agentes de transferencia de correo ascendentes (MTA)
Cómo especificar uno o más agentes de transferencia

de correo ascendentes (MTA)
De forma predeterminada, Network Prevent for Email Server puede aceptar las
conexiones al puerto de servicio de ESMTP de cualquier sistema en la red. Es
posible restringir la comunicación de ESMTP de Network Prevent for Email Server
a un conjunto designado de agentes de transferencia de correo (MTA) por motivos
de seguridad. Cree una “lista blanca” de sistemas autorizados. Si en la lista blanca
incluye uno o más sistemas, los otros sistemas que no estén en la lista blanca no
se pueden conectar al puerto de servicio de ESMTP de Network Prevent for Email
Server.
Tenga en cuenta que la lista blanca de MTA se puede modificar según la
configuración de RequestProcessor.BindAddress. De forma predeterminada, la
configuración de RequestProcessor.BindAddress es 0.0.0.0, y el agente de
escucha vincula todas las direcciones disponibles. Si
RequestProcessor.BindAddress indica al agente de escucha que vincule una
dirección IP específica, un MTA incluido en la lista blanca también debe poder
alcanzar la dirección del agente de escucha.
Para crear una lista blanca de los sistemas con permiso para comunicarse con
Network Prevent for Email Server:
clic en el Network Prevent for Email Server que desee.
2 En la pantalla Detalles del servidor/detector que aparece, haga clic en
Configuración del servidor.
3 Desplácese hacia abajo al campo RequestProcessor.AllowHosts.
De forma predeterminada, RequestProcessor.AllowHosts se configura en
any, lo que significa que el resto de los sistemas en la red se pueden comunicar
con este Network Prevent for Email Server.
4 Es posible limitar los sistemas que tienen permiso para conectarse con este
Network Prevent for Email Server. Elimine any y escriba las direcciones IP o
FQDN de los sistemas que desee autorizar. Separe las direcciones con comas.
Por ejemplo: “123.14.251.31,smtp_1.corp.mycompany.com,123.14.223.111”.
Separe las direcciones solamente con comas; no incluya espacios.
Los cambios de esta configuración no surten efecto hasta que se reinicia el servidor.
Crear una política para Network Prevent for Email
Crear una política para Network Prevent for Email

Es posible crear políticas que incluyan cualquiera de las reglas de respuesta
estándar. Por ejemplo, Agregar comentario, Limitar retención de datos de incidentes,
Iniciar sesión en un servidor Syslog, Enviar notificación por correo electrónico y
Configurar estado.
Es posible también incorporar las reglas siguientes, que son específicas de Network
Prevent for Email:
■ Network: Bloquear mensaje SMTP
Bloquea los mensajes de correo electrónico que contienen datos confidenciales
o metadatos significativos (según lo definido en sus políticas). Es posible
configurar Symantec Data Loss Prevention para devolver el mensaje o para
redirigir el mensaje a una dirección especificada.
La función de redireccionamiento se usa generalmente para volver a enrutar
mensajes a la dirección de un buzón o lista de correo. Los administradores
usan el buzón o la lista para revisar y liberar mensajes. Tales buzones están
fuera del sistema de Symantec Data Loss Prevention.
■ Network: Modificar mensaje de SMTP
Modifica los mensajes de correo electrónico que contienen datos confidenciales
o metadatos significativos (según lo definido en sus políticas). Es posible usar
esta acción para modificar el asunto del mensaje o para agregar encabezados
de mensaje específicos RFC 5322 a fin de activar un mayor procesamiento
descendente. Por ejemplo, cifrado del mensaje, cuarentena del mensaje o
archivado del mensaje.
Para obtener información sobre cómo configurar cualquier acción de regla de
respuesta, abra la ayuda en pantalla. Vaya a Administrar > Políticas > Reglas
de respuesta y haga clic en Agregar regla de respuesta.
Para obtener información sobre cómo usar Network: Modificar mensaje SMTP
para activar procesos descendentes (por ejemplo, cifrado del mensaje), consulte
la Guía de la integración del MTA de Symantec Data Loss Prevention para Network
Prevent.
Incluso aunque usted no incorpore reglas de respuesta en su política, Network
Prevent for Email capturará los incidentes mientras sus políticas contengan reglas
de detección. Esta función puede resultarle útil si desea revisar los tipos de
incidentes que captura Symantec Data Loss Prevention y después perfeccionar
sus políticas.
Acerca de los encabezados de datos de infracción de políticas
Para crear una política de prueba para Network Prevent for Email
que incluya una de las acciones específicas de Network Prevent for Email.
Por ejemplo, cree una regla de respuesta que incluya la acción Network:
Bloquear mensaje SMTP.
el paso anterior.
manera:
clave que coincida con la palabra clave secreta.
■ Incluya una regla de respuesta para Network: Bloquear mensaje SMTP.
Ver "Acerca de los encabezados de datos de infracción de políticas" en la página 1761.
Acerca de los encabezados de datos de infracción de

políticas
Un mensaje puede infringir más de una política. Es posible agregar encabezados
especiales a los mensajes de salida que informan el número y la gravedad de
políticas que el mensaje infringe. Tres clases diferentes de encabezados de
infracción de datos están disponibles:
■ Número de políticas infringidas: un encabezado se puede agregar que informe
el número total de las diversas políticas que el mensaje infringe.
■ Encabezado de mayor gravedad: un encabezado se puede agregar que informe
el único nivel de gravedad más alto entre todas las políticas que el mensaje
infringe (Alto, Medio, Bajo o Información).
■ Cuenta acumulativa de gravedad: un encabezado se puede agregar que informe
la cuenta total de gravedad, que es la suma numérica de todas las infracciones
de políticas. Con este fin, los niveles de gravedad son valores numéricos
asignados: Alto = 4, Medio = 3, Bajo = 2 e Información = 1. Así, un mensaje
que infringe una política de gravedad de nivel Bajo (2) y Medio (3) tiene una
cuenta total de gravedad de 5.
Cómo habilitar los encabezados de datos de infracción de políticas
Es posible usar encabezados para activar las respuestas descendentes que se

basan en el número de infracciones o la gravedad de las infracciones. Por ejemplo:
■ Los mensajes que infringen una única política se pueden dirigir a un buzón de
cuarentena. Los mensajes que infringen varias políticas se pueden dirigir a un
segundo buzón. Los mensajes que infringen más de un número especificado
de políticas se pueden dirigir a un tercer buzón.
■ Los mensajes que infringen varias políticas se pueden manejar de manera
diferente según el nivel de gravedad de la infracción más grave.
■ Los mensajes que infringen varias políticas se pueden manejar de manera
diferente según la cuenta total de gravedad del mensaje.
Ver "Cómo habilitar los encabezados de datos de infracción de políticas"
en la página 1762.
Cómo habilitar los encabezados de datos de infracción

de políticas
Tres encabezados de varias políticas se pueden usar en combinación.
Para habilitar los encabezados de mensajes de infracción de políticas:
clic en el Network Prevent for Email Server que desee.
3 Desplácese hacia abajo a una de las tres siguientes configuraciones de
RequestProcessor. De forma predeterminada, el valor para esta configuración
es false.
4 Cambie el valor a true.
Las tres configuraciones avanzadas de RequestProcessor habilitan diversas
clases de encabezados de mensajes de infracción de políticas:
■ RequestProcessor.TagPolicyCount.
Cuando la configuración se establece en verdadera, Network Prevent agrega
un encabezado que informa el número total de políticas que el mensaje infringe.
Por ejemplo, si el mensaje infringe 3 políticas un encabezado dice:
“X-DLP-política-cantidad: 3” es agregado.
■ RequestProcessor.TagHighestSeverity.
Probar Network Prevent for Email

un encabezado que informa la gravedad más alta entre las políticas infringidas.
Por ejemplo, si un mensaje infringe tres políticas, una con una gravedad “Media”
y dos con una gravedad “Baja” un encabezado que dice: “X-DLP-gravedad-máx:
MEDIO” es agregado.
■ RequestProcessor.TagScore.
un encabezado que informa la cuenta acumulativa total de todas las políticas
infringidas. La puntuación se calcula usando la fórmula: High=4, Medium=3,
Low=2 e Info=1. Por ejemplo, si un mensaje infringe tres políticas, una con una
gravedad media y dos con una gravedad baja, el encabezado dice:
“X-DLP-cuenta: 7”.
Al configurar un valor en “true”, el encabezado correspondiente se agregará
automáticamente a cada mensaje saliente que se procesa. Esto ocurre incluso si
el mensaje infringe solamente una única política.
Ver "Acerca de los encabezados de datos de infracción de políticas" en la página 1761.
Probar Network Prevent for Email

Es posible probar Network Prevent for Email enviando un correo electrónico que
infrinja su política de prueba.
1 Acceda a una cuenta de correo electrónico que dirija mensajes a través de un
MTA que se integre con su Network Prevent for Email Server.
2 Envíe un correo electrónico que contenga datos confidenciales. Por ejemplo,
envíe un correo electrónico que contenga la palabra secreta.
3 En la consola de administración de Enforce Server, vaya a Incidente > Network
y haga clic en Incidentes - Todos. Busque el incidente resultante. Por ejemplo,
busque una entrada del incidente que incluya la marca de fecha y el nombre
de política apropiados.
incidente completo.
Ver "Acerca de los informes de Symantec Data Loss Prevention"
en la página 1582.
Capítulo 55
Prevent for Web
■ Cómo implementar Network Prevent for Web
■ Configurar Network Prevent for Web Server
■ Acerca de la configuración del servidor proxy
■ Cómo especificar uno o más servidores proxy
■ Habilitar el proceso GET para Network Prevent for Web
■ Crear las políticas para Network Prevent for Web
■ Probar Network Prevent for Web
■ Información sobre solución de problemas para Network Prevent for Web Server
Cómo implementar Network Prevent for Web

El Network Prevent for Web Server se integra con un servidor proxy HTTP, HTTPS
o FTP que usa ICAP para la administración web activa inline de solicitudes. Si
detecta datos confidenciales en el contenido web, hace que el proxy rechace
solicitudes o elimine el contenido HTML como se especifica en sus políticas.
Cómo implementar Network Prevent for Web 1765
Cómo implementar Network Prevent for Web
Figura 55-1 Una instalación de Network Prevent for Web básica
Primero, es necesario conocer los pasos de alto nivel que son necesarios para
implementar Network Prevent for Web. Es posible comprobar las secciones
relacionadas para obtener información más detallada.
Para implementar Network Prevent for Web
1 Asegúrese de que el Network Prevent for Web Server esté configurado para
comunicarse con su servidor proxy HTTP. Opcionalmente, configure el servidor
de detección para filtrar tráfico según lo desee.
2 Configure su servidor proxy HTTP para que funcione con Network Prevent for
Web Server.
Ver "Acerca de la configuración del servidor proxy" en la página 1769.
3 Cree e implemente una política para Network Prevent for Web.
Ver "Crear las políticas para Network Prevent for Web" en la página 1773.
Configurar Network Prevent for Web Server

Ver "Probar Network Prevent for Web" en la página 1774.
5 Si es necesario, solucione problemas de implementación.
Ver "Información sobre solución de problemas para Network Prevent for Web

Es posible usar varias opciones de configuración para Network Prevent for Web
Server. Por ejemplo, puede configurar el servidor para que:
■ Omita las pequeñas respuestas o solicitudes HTTP.
■ Omita las solicitudes o las respuestas de un host o de un dominio determinado
(tal como el dominio de una sucursal del negocio).
■ Omita las consultas del motor de búsqueda del usuario.
Para modificar la configuración de Network Prevent for Web Server
clic en el Network Prevent for Web Server.
Configurar.
Es posible verificar o modificar la configuración de la ficha ICAP según lo
descrito en pasos subsiguientes. La ficha se divide en varias secciones:
Filtrado de solicitudes, Filtrado de respuestas y Conexión.
incidentes e indica que ha bloqueado una comunicación HTTP, pero no bloquea
la comunicación.
4 Verifique o modifique las opciones de filtro para las solicitudes de los clientes
HTTP (agentes de usuario). Las opciones de la sección Filtrado de solicitudes
son las siguientes:
Omitir solicitudes menores que Especifica el tamaño de cuerpo mínimo de

las solicitudes HTTP para inspeccionar.
(La opción predeterminada es 4096 bytes).
Por ejemplo, las cadenas de búsqueda
escritas en los motores de búsqueda tales
como Yahoo! o Google son generalmente
cortas. Ajustando este valor, se pueden
excluir esas búsquedas de la inspección.
Omitir solicitudes sin archivos adjuntos Hace que el servidor examine solamente
las solicitudes que contienen archivos
adjuntos. Esta opción puede ser útil si se
refiere principalmente a las solicitudes de
publicación de archivos confidenciales.
Omitir solicitudes a hosts o dominios Hace que el servidor omita solicitudes a

los hosts o a los dominios que se
especifican. Esta opción puede ser útil si
se espera mucho tráfico HTTP entre los
dominios de sus jefaturas corporativas y
las sucursales. Es posible escribir uno o
más hosts o nombres de dominio (por
ejemplo, www.company.com), cada uno
en su propia línea.
Omitir solicitudes de usuarios-agentes Hace que el servidor omita solicitudes de

que especifica. Esta opción puede ser útil
si su organización usa un programa o un
idioma (tal como Java) que haga
solicitudes HTTP frecuentes. Es posible
escribir uno o más valores de agente de
usuario, cada uno en su propia línea.
5 Verifique o modifique las opciones de filtro para las respuestas de los servidores
web. Las opciones de la sección Filtrado de respuestas son las siguientes:
Omitir respuestas menores que Especifica el tamaño mínimo del cuerpo

de las respuestas de HTTP que son
inspeccionadas por este servidor. (La
opción predeterminada es 4096 bytes).
Examinar tipo de contenido Especifica los tipos de contenido de MIME

que Symantec Data Loss Prevention debe
supervisar en respuestas. De forma
predeterminada, este campo contiene los
valores de tipo de contenido para formatos
Microsoft Office, PDF y sin formato. Para
agregar otros, escriba un tipo de contenido
MIME por línea. Por ejemplo, escriba
application/word2013 para que
Symantec Data Loss Prevention analice
archivos de Microsoft Word 2013.
Tenga en cuenta que es generalmente

más eficiente especificar tipos de
contenido MIME en el nivel web del proxy.
Omitir respuestas de hosts o dominios Hace que el servidor omita respuestas de

los hosts o los dominios que se
especifican. Es posible escribir uno o más
hosts o nombres de dominio (por ejemplo,
www.company.com), cada uno en su
propia línea.
Omitir respuestas a usuarios-agentes Hace que el servidor omita respuestas de

que especifica. Es posible escribir uno o
más valores de agente de usuario, cada
uno en su propia línea.
Acerca de la configuración del servidor proxy
6 Verifique o modifique la configuración de la conexión de ICAP entre el servidor

proxy HTTP y el servidor web Prevent Server. Las opciones de Conexión son
las siguientes:
Puerto TCP Especifica el número de puerto de TCP

sobre el cual este servidor escucha las
solicitudes de ICAP. Este número debe
coincidir con el valor que se configura en
el proxy HTTP que envía solicitudes de
ICAP a este servidor. El valor
Número máximo de solicitudes Especifica el número máximo de

conexiones simultáneas de solicitudes de
Número máximo de respuestas Especifica el número máximo de

conexiones simultáneas de respuestas de
Cola de conexión Especifica el número de conexiones en

espera permitidas. Una conexión en
espera es un usuario que está a la espera
de una respuesta de HTTP del navegador.
El valor mínimo es 1. Si el proxy de HTTP
recibe demasiadas solicitudes (o
respuestas), el proxy las maneja según su
configuración de proxy. Es posible
configurar el proxy de HTTP para bloquear
cualquier solicitud (o respuesta) mayor que
este número.
7 Haga clic en Guardar para salir de la pantalla Configurar servidor y después

haga clic en Listo para salir de la pantalla Detalles del servidor.

Es necesario configurar por lo menos un servidor proxy HTTP para reenviar
solicitudes o respuestas web al servidor de Network Prevent for Web. El servidor
proxy HTTP funciona como cliente ICAP para el servidor Network Prevent for Web.
Symantec Data Loss Prevention admite los modos de modificación de la solicitud
(REQMOD) y de modificación de la respuesta (RESPMOD) de ICAP. Si desea
analizar solicitudes y respuestas, use un Network Prevent for Web Server para
analizar solicitudes. Use un segundo Network Prevent for Web Server para analizar
respuestas.
Tenga en cuenta que la mayoría de los servidores proxy proporcionan métodos
de filtrado de lo que se reenvía al Network Prevent for Web Server en modo
REQMOD y en modo RESPMOD. Consulte la documentación del servidor proxy
para obtener información.
Ver "Cómo especificar uno o más servidores proxy" en la página 1771.
Ver "Cómo configurar los servicios de modo de solicitud y respuesta"
en la página 1770.
Cómo configurar los servicios de modo de solicitud y respuesta

Para obtener información sobre cómo configurar el servidor proxy, consulte la
documentación del producto del servidor proxy o contáctese con el administrador
del servidor proxy.
Para configurar un servidor proxy:
1 REQMOD. En el servidor proxy, cree un servicio ICAP REQMOD que envíe
solicitudes en el servidor de Mobile Prevent for Web. Si el servidor proxy admite
diversos protocolos, configúrelo para manejar los protocolos que desee.
Para el modo REQMOD, un servicio ICAP en el servidor proxy debe ser de la
siguiente manera:
icap://ip_address|FQDN[:port]/reqmod
2 RESPMOD. En el servidor proxy, cree un servicio ICAP RESPMOD que envíe

respuestas a Mobile Prevent for Web Server. Si el servidor proxy admite
diversos protocolos, configúrelo para manejar los protocolos que desee.
Para el modo RESPMOD, un servicio ICAP en el servidor proxy debe ser de
la siguiente manera:
icap://ip_address|FQND[:port]/respmod
Donde:
■ dirección_ip|FQDN identifica el servidor de Network Prevent for Web con una
dirección IP o un nombre de dominio completo.
■ Puerto es el número de puerto al que escucha el servidor de Mobile Prevent
for Web. Especificar el número de puerto es opcional cuando se usa el puerto
predeterminado ICAP (1344).
■ /reqmod es necesario para la funcionalidad correcta en el modo REQMOD.
Cómo especificar uno o más servidores proxy
■ /respmod es necesario para la funcionalidad correcta en el modo RESPMOD.
Ejemplos:
icap://10.66.194.45/reqmod
icap://10.66.194.45:1344/reqmod
icap://netmonitor1.company.com/reqmod
icap://10.66.194.45/respmod
icap://10.66.194.45:1344/respmod
icap://netmonitor1.company.com/respmod
Tenga en cuenta que el puerto que se especifica en la definición del servicio de

ICAP en el proxy debe coincidir con el puerto con el que escucha el servidor de
Cómo especificar uno o más servidores proxy

De forma predeterminada, Network Prevent for Web Server puede aceptar las
conexiones al puerto de servicio de ICAP de cualquier sistema en la red. Por motivos
de seguridad, se pueden limitar las conexiones de ICAP a solamente aquellos
sistemas que se designen (en la “lista blanca”). Una vez que se agregaron uno o
más sistemas a la lista blanca, los sistemas que no estén incluidos no pueden
conectarse al puerto de servicio del ICAP de Network Prevent for Web Server.
Tenga en cuenta que la lista blanca de servidores proxy se puede modificar según
la configuración de Icap.BindAddress. De forma predeterminada, la configuración
de Icap.BindAddress es 0.0.0.0, y el agente de escucha vincula todas las
direcciones disponibles. Si Icap.BindAddress indica al agente de escucha que
vincule una dirección IP específica, un proxy incluido en la lista blanca también
debe poder alcanzar la dirección del agente de escucha.
Para crear una lista blanca de los sistemas con permiso para efectuar una conexión
con el puerto de servicio ICAP de Network Prevent for Web Server:
clic en el Network Prevent for Web Server que desee.
3 Desplácese hacia abajo a la configuración Icap.AllowHosts.
De forma predeterminada, Icap.AllowHosts se configura en any, lo que
significa que el resto de los sistemas en la red se pueden comunicar con este
Network Prevent for Web Server.
Habilitar el proceso GET para Network Prevent for Web
4 Es posible limitar los sistemas que tienen permiso para conectarse con este
Network Prevent for Web Server. Elimine any y escriba las direcciones IP o el
nombre de dominio completamente calificado (FQDN) de los sistemas que
desee autorizar.
Separe las direcciones con comas. Por ejemplo:
123.14.251.31,webcache.corp.mycompany.com,123.14.223.111. Use
solamente comas para separar varias entradas; no incluya espacios.
Habilitar el proceso GET para Network Prevent for

Web
De forma predeterminada, Network Prevent for Web no procesa comandos HTTP
GET debido al alto volumen de tráfico. Siga este procedimiento para permitir que
el servidor procese los comandos GET.
Para habilitar el proceso GET con Network Prevent for Web
1 Configure el servidor proxy web para reenviar solicitudes GET al servidor de
Network Prevent for Web según lo descrito en la documentación del servidor
proxy.
2 Asegúrese de que la configuración de L7.processGets del servidor avanzado
en el servidor de Network Prevent for Web sea “verdadera” (que es la opción
predeterminada).
3 Reduzca el tamaño de la configuración avanzada de L7.minSizeofGetURL
en el servidor de Network Prevent for Web. Reduzca la opción predeterminada
de 100 varios bytes menos que la longitud de la dirección URL del sitio web
más corto desde el cual desee procesar los comandos GET. Un tamaño mínimo
de URL de 10 debe cubrir todos los casos. Sin embargo, tenga en cuenta que
al reducir el tamaño mínimo de GET aumenta el número de solicitudes que
tengan que ser procesadas, lo que aumenta la carga de tráfico del servidor.
4 Ajuste la configuración Omitir solicitudes menores que en la sección ICAP
de la página Detalles del servidor de Network Prevent for Web. Redúzcala
de la opción predeterminada de 4096 bytes a un valor más bajo que permita
que la solicitud experimente la inspección del DLP. Sin embargo, tenga en
cuenta que al bajar el valor aumenta la carga de tráfico del servidor.
Ver "Habilitar el proceso GET con Network Monitor" en la página 1746.
Crear las políticas para Network Prevent for Web
Crear las políticas para Network Prevent for Web

Es posible crear políticas que incluyan cualquiera de las reglas de respuesta
estándar. Por ejemplo, Agregar comentario, Limitar retención de datos de incidentes,
Iniciar sesión en un servidor Syslog, Enviar notificación por correo electrónico y
Configurar estado.
Es posible también incorporar las reglas que son específicas para el Network
Prevent for Web Server de la siguiente manera:
■ Network Prevent: Bloquear HTTP/HTTPS
Bloquea las publicaciones que contienen datos confidenciales (según lo definido
en sus políticas). Esto incluye publicaciones web, mensajes de correo electrónico
basados en Web y los archivos que están cargados en los sitios web o
adjuntados a los mensajes de correo electrónico basados en Web.
Nota: Ciertas aplicaciones quizá no proporcionen una respuesta adecuada a

la acción de respuesta de Network Prevent: Bloquear HTTP/HTTPS. Este
comportamiento se ha observado con la aplicación de correo de Yahoo! cuando
un servidor de detección bloquea una carga de archivo. Si un usuario intenta
cargar un archivo adjunto de correo electrónico y el archivo adjunto activa una
respuesta de acción de Network Prevent: Bloquear HTTP/HTTPS, el Correo
de Yahoo! no responde ni muestra un mensaje de error para indicar que el
archivo está bloqueado. Por el contrario, el correo Yahoo! parece continuar
cargando el archivo seleccionado, pero la carga nunca se completa. El usuario
debe cancelar manualmente la carga en algún momento pulsando Cancelar.
Otras aplicaciones también pueden mostrar este comportamiento, en función
de cómo controlan la solicitud de bloqueo. En estos casos, se crea un incidente
del servidor de detección, y la carga del archivo se bloquea aunque la aplicación
no proporcione ninguna indicación.
■ Network Prevent: Eliminar contenido HTTP/HTTPS

Elimina datos confidenciales de las publicaciones que contienen datos
confidenciales (según lo definido en sus políticas). Esto incluye mensajes de
correo electrónico basados en Web y los archivos que están cargados en los
sitios web o adjuntados a los mensajes de correo electrónico basados en Web.
Tenga en cuenta que la acción Eliminar contenido HTTP/HTTPS funciona
solamente en solicitudes.
■ Network Prevent: Bloquear solicitud de FTP
Bloquea las transferencias de FTP que contienen datos confidenciales (según
lo definido en sus políticas).
Probar Network Prevent for Web
Para obtener información sobre cómo configurar cualquier acción de regla de

respuesta, abra la ayuda en pantalla. Vaya a Administrar > Políticas > Reglas
de respuesta y haga clic en Agregar regla de respuesta.
Incluso aunque usted no incorpore reglas de respuesta en su política, Network
Prevent for Web capturará los incidentes mientras sus políticas contengan reglas
de detección. Es posible configurar tales políticas para supervisar la actividad web
y del FTP en su red antes de implementar las políticas que bloquean o eliminan el
contenido.
Si ha configurado su proxy para remitir solicitudes y respuestas de HTTP/HTTPS,
sus políticas funcionan en ambos. Por ejemplo, las políticas se aplican a una carga
en un sitio web y a una descarga de un sitio web.
Para crear una política de prueba para Network Prevent for Web
que incluya una de las acciones específicas de Network Prevent for Web. Por
ejemplo, cree una regla de respuesta que incluya la acción Network Prevent:
Bloquear HTTP/HTTPS.
el paso anterior.
manera:
clave que coincida con la palabra clave secreta.
■ Incluya la regla de respuesta Network Prevent: Bloquear HTTP/HTTPS.
Probar Network Prevent for Web

Es posible probar Network Prevent for Web enviando un correo electrónico web
que infrinja su política de prueba.
Información sobre solución de problemas para Network Prevent for Web Server

1 Abra un navegador que acceda a Internet a través de su servidor proxy HTTP.
2 En el navegador, acceda a una cuenta de correo electrónico web de prueba
y envíe un correo electrónico con un archivo adjunto que contenga datos
confidenciales. Por ejemplo, acceda a una cuenta en Hotmail y envíe un correo
electrónico con un archivo adjunto que contenga la palabra secreto y párrafos
de otro texto.
Network y haga clic en Incidentes - Todos. Busque el incidente resultante.
Por ejemplo, busque una entrada del incidente que incluya la marca de fecha
y el nombre de política apropiados.
incidente completo.
Ver "Acerca de las estrategias para usar informes" en la página 1584.
Información sobre solución de problemas para

Network Prevent for Web Server
La tabla siguiente describe un problema común al usar el Network Prevent for Web
Server y sugiere una solución posible.
Tabla 55-1 Solución de problemas
Problema Solución posible
Los incidentes aparecen en Informes de red, Este es un comportamiento previsto para

pero Symantec Data Loss Prevention no cuando el Network Prevent for Web Server
realiza la acción especificada en la regla de está en ejecución en el modo de prueba (la
respuesta relevante. configuración predeterminada). Si no desea
ejecutarlo en modo de prueba, cambie la
configuración.
Ver "Configurar Network Prevent for Web

Sección 8
Cómo detectar dónde se
almacenan los datos
confidenciales
■ Capítulo 56. Acerca de Network Discover
■ Capítulo 57. Cómo configurar Network Discover
■ Capítulo 58. Opciones de configuración de destinos del análisis de Network

Discover
■ Capítulo 59. Cómo administrar análisis de destinos de Network Discover
■ Capítulo 60. Cómo usar complementos de Server FlexResponse para reparar

incidentes
■ Capítulo 61. Cómo configurar análisis del almacenamiento en la nube de Box

usando un servidor de detección en las instalaciones
■ Capítulo 62. Cómo configurar análisis de archivos compartidos
■ Capítulo 63. Cómo configurar análisis de las bases de datos de Lotus Notes
■ Capítulo 64. Cómo configurar análisis de bases de datos SQL
■ Capítulo 65. Cómo configurar análisis de los servidores de SharePoint

Cómo detectar dónde se almacenan los datos confidenciales 1777
■ Capítulo 66. Cómo configurar análisis de los servidores de Exchange
■ Capítulo 67. Acerca de analizadores de Network Discover
■ Capítulo 68. Cómo configurar el análisis de sistemas de archivos
■ Capítulo 69. Cómo configurar el análisis de servidores web
■ Capítulo 70. Cómo configurar el análisis de los repositorios de Documentum
■ Capítulo 71. Cómo configurar el análisis de los repositorios de Livelink
■ Capítulo 72. Cómo configurar los servicios web para los destinos del análisis
personalizado
Capítulo 56
Acerca de Network Discover
■ Acerca de Network Discover/Cloud Storage Discover
■ Cómo funciona Network Discover/Cloud Storage Discover

Network Discover/Cloud Storage Discover localiza los datos confidenciales
expuestos al analizar una amplia gama de repositorios de datos empresariales.
Estos repositorios de datos incluyen el almacenamiento en la nube de Box,
servidores de archivos, bases de datos, Microsoft SharePoint, IBM (Lotus) Notes,
Documentum, OpenText (Livelink), Microsoft Exchange, servidores web y otros
repositorios de datos.
Network Discover/Cloud Storage Discover puede analizar los orígenes de datos
siguientes:
Ver "Configurar los análisis de los destinos de almacenamiento en la nube de
Box usando un servidor de detección en las instalaciones" en la página 1856.
■ Archivos compartidos de red (CIFS, NFS o DFS)
Ver "Cómo configurar análisis de servidor de sistemas de archivos"
en la página 1864.
■ Sistemas de archivos locales en los escritorios y los equipos portátiles de
Windows
Sistemas de archivos locales en servidores de Windows, Linux, AIX y Solaris
Ver "Cómo configurar el análisis remoto de sistemas de archivos"
en la página 1948.
■ Bases de datos de IBM (Lotus) Notes
Acerca de Network Discover 1779
Ver "Configuración de análisis de servidores de bases de datos de IBM (Lotus)

Notes" en la página 1891.
■ Bases de datos SQL
Ver "Cómo configurar análisis de servidor de bases de datos SQL"
en la página 1898.
■ Servidores de Microsoft SharePoint
Ver "Cómo configurar análisis de servidores de SharePoint" en la página 1908.
■ Microsoft Exchange Servers
Ver "Cómo configurar análisis de servidores de repositorios de Exchange"
en la página 1925.
■ Documentum
Ver "Configuración de análisis remoto de los repositorios de Documentum"
en la página 1975.
■ OpenText (Livelink)
Ver "Cómo configurar el análisis remoto de los repositorios de OpenText
(Livelink)" en la página 1984.
■ Servidores web (sitios web y aplicaciones basadas en Web)
Ver "Cómo configurar el análisis remoto de servidores web" en la página 1962.
■ Personalizado
Los servicios web exponen un punto personalizado de integración. Es posible
escribir código personalizado para analizar cualquier repositorio. El código
personalizado se arrastra al repositorio y transmite el contenido al servidor
Network Discover/Cloud Storage Discover para su análisis. Las aplicaciones y
los repositorios personalizados se pueden analizar con Servicios web.
Ver "Cómo configurar los servicios web para los destinos del análisis
personalizado" en la página 1993.
Es posible usar Veritas Data Insight conjuntamente con Network Discover para
agregar las funcionalidades enriquecidas a su implementación de Symantec Data
Loss Prevention. Con Veritas Data Insight, puede supervisar el acceso a los archivos
e identificar automáticamente al usuario de los datos de un archivo basado en el
historial del acceso. La información de uso luego se abastece automáticamente
en el detalle de incidentes de los archivos que infringen las políticas de Symantec
Data Loss Prevention. Esto le permite identificar datos confidenciales junto con los
usuarios responsables de habilitar una reparación más eficiente y la administración
de datos.
Insight.
Cómo funciona Network Discover/Cloud Storage Discover
FlexResponse Platform además amplía las funcionalidades de Network Discover.

FlexResponse Platform habilita la creación de las acciones de reparación
personalizadas completas para los archivos que se detectan usando Symantec
Data Loss Prevention Network Discover. FlexResponse admite soluciones de
seguridad de archivos de Symantec y de otros fabricantes, incluyendo
Administración de derechos digitales empresariales y cifrado. FlexResponse es
una extensión del producto Network Protect, y el producto Network Protect es
necesario para la funcionalidad FlexResponse.
Durante la reparación del incidente, se pueden usar los complementos instalados
de FlexResponse para reparar incidentes.
Consulte la Guía para los desarrolladores de Symantec Data Loss Prevention
FlexResponse o contacte con el soporte de Symantec Data Loss Prevention para
obtener una lista de los complementos disponibles.
Ver "Uso de complementos personalizados de Server FlexResponse para reparar
incidentes" en la página 1843.
Cómo funciona Network Discover/Cloud Storage

Discover
El servidor Network Discover/Cloud Storage Discover localiza una amplia gama
de datos confidenciales expuestos. Se comunica con Enforce Server para obtener
la información sobre las políticas y los destinos del análisis. Envía la información
sobre los datos confidenciales expuestos que encuentra en Enforce Server para
elaborar los informes y realizar la reparación.
Figura 56-1 muestra el servidor Network Discover seguro dentro de la red LAN
corporativa.
El servidor Network Discover/Cloud Storage Discover está conectado a Enforce
Server, y cada servidor realiza las tareas relacionadas con la localización de datos
confidenciales expuestos.
Varios servidores Network Discover/Cloud Storage Discover se pueden configurar
para propagar el trabajo.
El servidor Network Discover/Cloud Storage Discover analiza los destinos
seleccionados, lee los archivos o los repositorios y detecta si hay información
confidencial presente.
Enforce Server contiene la interfaz de usuario donde se hacen las siguientes tareas:
■ Configurar el análisis del destino.
Cómo funciona Network Discover/Cloud Storage Discover
■ Seleccionar los repositorios de destino.

■ Definir los filtros para los análisis.
■ Programar los análisis.
Ver "Agregar un nuevo destino de Network Discover/Cloud Storage Discover"
en la página 1785.
Enforce Server además administra los análisis que se ejecutan en los servidores
Network Discover/Cloud Storage Discover y muestra el estado de los análisis en
la interfaz de usuario.
en la página 1815.
Una vez que se completa un análisis, se pueden mostrar los informes de los datos
confidenciales expuestos en Enforce Server.
Ver "Acerca de los informes para Network Discover" en la página 1556.
Figura 56-1 Network Discover
Almacena miento Administración Red
Network
Discover Supervisión
de red
Network
Protect Plataforma
de Enforce
Endpoint
Network
Endpoint Prevent
Discover
Endpoint Base de datos

Prevent de Oracle
LAN corporativa protegida DMZ

Capítulo 57
Cómo configurar Network
Discover
■ Instalar y configurar Network Discover/Cloud Storage Discover
■ Modificar la configuración del servidor Network Discover/Cloud Storage Discover
■ Agregar un nuevo destino de Network Discover/Cloud Storage Discover
■ Editar un destino de Network Discover/Cloud Storage Discover existente
Instalar y configurar Network Discover/Cloud Storage

Discover
La instalación de un destino de análisis de Network Discover/Cloud Storage Discover
implica varios pasos. Cada uno de estos pasos es necesario para implementar
correctamente el análisis de destino de Network Discover/Cloud Storage Discover.
Tabla 57-1 Cómo instalar y configurar Network Discover
1 Modifique la Ver "Modificar la configuración del servidor Network

configuración del Discover/Cloud Storage Discover" en la página 1783.
servidor Network
Discover/Cloud Storage
Discover, si es
necesario.
Cómo configurar Network Discover 1783
Modificar la configuración del servidor Network Discover/Cloud Storage Discover
2 Cree un grupo de Vaya a Sistema > Servidores y detectores > Grupos

políticas. de políticas.
En la pantalla Lista de grupo de políticas que
aparece, haga clic en Agregar grupo de políticas.

en la página 473.
3 Crear una política. Vaya a Administrar > Políticas > Lista de políticas
en Enforce Server.
Seleccione Agregar una política en blanco.
Agregue una regla a la política.
4 Antes de usar Network Ver "Acerca de las reglas de respuesta"

Protect para un destino en la página 1405.
de Discover de archivos
compartidos, cree una
regla de respuesta. El
uso de Network Protect
es opcional.
5 Cree un destino de Vaya a Administrar > Análisis de detección >

Network Destinos de Discover en Enforce Server.
Haga clic en Nuevo destino y use el menú desplegable
Discover.
para seleccionar el tipo de destino específico.
Ver "Agregar un nuevo destino de Network

6 Establezca las Ver "Opciones de configuración de destino de análisis

opciones para el de Network Discover/Cloud Storage Discover"
destino. en la página 1790.
7 Configure los informes. Ver "Acerca de los informes de Symantec Data Loss
Modificar la configuración del servidor Network

Una vez que haya instalado los servidores Network Discover/Cloud Storage Discover
y los haya registrado con Enforce Server, se puede modificar la configuración del
servidor Network Discover/Cloud Storage Discover.
Modificar la configuración del servidor Network Discover/Cloud Storage Discover
El servidor Network Discover/Cloud Storage Discover se puede instalar en una

máquina virtual. Para los tipos admitidos de máquinas virtuales, consulte Requisitos
del sistema de Symantec Data Loss Prevention y guía de compatibilidad.
Si ha configurado el análisis incremental, el índice de análisis incremental se
distribuye automáticamente a todos los servidores Discover, incluido cualquier
servidor nuevo.
Ver "Acerca de los análisis incrementales" en la página 1834.
Para modificar la configuración de un servidor Network Discover/Cloud Storage
Discover
Servidores y detectores > Descripción general. A continuación, haga clic
en el servidor que desea modificar.
La pantalla Detalles del servidor/detector apropiada aparece y muestra la
información general del servidor, la información de configuración, los índices
implementados y los eventos recientes del servidor.
La pantalla Configurar servidor aparece y muestra las opciones de
configuración para el tipo de servidor.
3 Modifique la configuración del servidor.
Las opciones de configuración siguientes están en la ficha General :
■ Nombre
El nombre del servidor de detección (usado para las pantallas en la consola
de administración de Enforce Server). Cambiar esta configuración para un
servidor de detección existente afecta las opciones en los informes de
Symantec Data Loss Prevention. Los servidores Network Discover/Cloud
Storage Discover son servidores de detección.
■ Host
El nombre del host o la dirección IP del servidor de detección de donde el
servidor de detección recibe las conexiones a Enforce Server. Puede ser
recomendable modificar esta configuración cuando se reemplaza un equipo
host del servidor Network Discover/Cloud Storage Discover.
■ Puerto
El servidor de detección usa el número de puerto para aceptar las
conexiones de Enforce Server. Este valor debe ser mayor que 1024. Debe
además coincidir con el valor de la propiedad listenPort en el archivo
Communication.properties del servidor de detección. Este archivo se
encuentra en SymantecDLP\Protect\config. Si cambia esta configuración,
reinicie el servidor de detección una vez que modifique el valor de
Agregar un nuevo destino de Network Discover/Cloud Storage Discover
listenPort en el archivo Communication.properties. No es necesario

cambiar esta configuración después de una instalación correcta.
4 La configuración para el análisis paralelo está en la ficha Discover. Escriba

la cantidad de análisis paralelos que deben ejecutarse en este servidor Network
Discover/Cloud Storage Discover. La opción predeterminada es 1.
La cantidad máxima se puede aumentar en cualquier momento. Una vez que
se aumenta, se inicia cualquier análisis en cola que sea elegible para ejecutarse
en este servidor Network Discover/Cloud Storage Discover.
La cantidad se puede disminuir solamente si el servidor Network Discover/Cloud
Storage Discover no tiene ningún análisis en ejecución. Antes de que se
reduzca la cantidad, interrumpa momentáneamente o detenga todos los análisis
en el servidor Network Discover/Cloud Storage Discover.
Los análisis paralelos de los tipos de destino del servidor y del analizador se
admiten.
Ver "Configurar el análisis paralelo de destinos de Network Discover/Cloud
5 Cuando termine de modificar la configuración del servidor, haga clic en Guardar
para salir de la pantalla Configurar servidor y, después, haga clic en Listo
para salir de la pantalla Detalles del servidor.
6 Para ver los análisis activos en este servidor Network Discover/Cloud Storage
Discover, vaya a Políticas > Análisis de detección > Servidores de Discover.
Ver "Administrar análisis de destinos de Network Discover/Cloud Storage
Agregar un nuevo destino de Network Discover/Cloud

Storage Discover
Antes de agregar un destino de Network Discover/Cloud Storage Discover, es
necesario completar la configuración del servidor Network Discover/Cloud Storage
Discover.
Ver "Instalar y configurar Network Discover/Cloud Storage Discover" en la página 1782.
Para agregar un destino de Network Discover/Cloud Storage Discover
1 En la consola de administración de Enforce Server, vaya a Administrar >
Análisis de detección > Destinos de Discover.
2 Haga clic en Nuevo destino y use el menú desplegable para seleccionar el
tipo de destino específico.
3 En la ficha General, escriba el nombre de este destino de Network

Discover/Cloud Storage Discover. Este nombre se muestra para la
administración de análisis.
4 Escriba el resto de los parámetros necesarios. Escriba el grupo de políticas.
Escriba el servidor Network Discover/Cloud Storage Discover.
5 Continúe agregando un nuevo destino con las entradas específicas a ese tipo
de destino.
Almacenamiento en la nube de Box Ver "Configurar los análisis de los destinos

de almacenamiento en la nube de Box
usando un servidor de detección en las
instalaciones" en la página 1856.
Recursos compartidos y servidores de Ver "Cómo configurar análisis de servidor

archivos de red (CIFS, NFS, DFS) de sistemas de archivos" en la página 1864.
Bases de datos de IBM (Lotus) Notes Ver "Configuración de análisis de

servidores de bases de datos de IBM
(Lotus) Notes" en la página 1891.
Bases de datos SQL Ver "Cómo configurar análisis de servidor

de bases de datos SQL" en la página 1898.
Sistemas de archivos locales en los Ver "Cómo configurar el análisis remoto

escritorios y los equipos portátiles de de sistemas de archivos" en la página 1948.
Windows
Sistemas de archivos locales en servidores

de Windows, Linux, AIX y Solaris
Microsoft Exchange Ver "Cómo configurar análisis de

servidores de repositorios de Exchange"
en la página 1925.
Microsoft SharePoint Ver "Cómo configurar análisis de

servidores de SharePoint" en la página 1908.
Documentum Ver "Configuración de análisis remoto de

los repositorios de Documentum"
en la página 1975.
OpenText (Livelink) Ver "Cómo configurar el análisis remoto

de los repositorios de OpenText (Livelink)"
en la página 1984.
Servidores web (sitios web y aplicaciones Ver "Cómo configurar el análisis remoto
basadas en Web) de servidores web" en la página 1962.
6 Configure los parámetros opcionales del destino de Network Discover/Cloud

Storage Discover.
Ver "Opciones de configuración de destino de análisis de Network
Editar un destino de Network Discover/Cloud Storage Discover existente
Editar un destino de Network Discover/Cloud Storage

Discover existente
Para establecer varias opciones de configuración, edite la configuración de un
destino de Network Discover/Cloud Storage Discover.
Es posible también agregar un nuevo destino de Network Discover/Cloud Storage
Discover y configurar las opciones en ese momento.
Ver "Agregar un nuevo destino de Network Discover/Cloud Storage Discover"
en la página 1785.
Para editar un destino de Network Discover/Cloud Storage Discover
2 Haga clic en uno de los destinos de análisis de la lista para abrir el destino
que desea editar.
3 Edite la opción deseada.
Capítulo 58
Opciones de configuración
de destinos del análisis de
Network Discover
■ Opciones de configuración de destino de análisis de Network Discover/Cloud

Storage Discover
■ Cómo configurar los campos necesarios para los destinos de Network Discover
■ Programar los análisis de Network Discover/Cloud Storage Discover
■ Cómo proporcionar la autenticación de contraseña para el contenido analizado

de Network Discover
■ Administrar las autorizaciones del almacenamiento en la nube
■ Cómo cifrar contraseñas en archivos de configuración
■ Cómo configurar los filtros de Network Discover/Cloud Storage Discover para

incluir o excluir elementos en el análisis
■ Cómo filtrar los destinos de Discover por tamaño del elemento
■ Cómo filtrar los destinos de Discover por la última fecha de acceso o modificación
■ Optimización de recursos con la restricción de análisis de Network

■ Cómo crear un inventario de las ubicaciones de datos confidenciales sin

protección
Opciones de configuración de destinos del análisis de Network Discover 1790
Opciones de configuración de destino de análisis de Network Discover/Cloud Storage Discover
Opciones de configuración de destino de análisis de

Network Discover/Cloud Storage Discover
Use las fichas General, Autorización, Contenido analizado, Filtros y Opciones
avanzadas para configurar un destino de análisis de Network Discover/Cloud
Storage Discover.
La ficha General está disponible para todo tipo de destino.
Las fichas Autorización, Contenido analizado, Filtros y Opciones avanzadas
están solamente disponibles para algunos tipos de destinos.
Ver "Editar un destino de Network Discover/Cloud Storage Discover existente"
en la página 1788.
Para obtener información de configuración adicional que es específica a un tipo
de destino, consulte la sección para ese tipo de destino.
Tenga en cuenta que todos los filtros se combinan con “y” si se proporciona un
valor. Considere todos los valores de filtro al agregar o modificar los filtros del
análisis, para evitar involuntariamente incluir todo o excluir todo del análisis.
Para la configuración al agregar o editar un destino, seleccione entre las siguientes
opciones:
Tareas opcionales Ficha en Descripción de la tarea

destino del
análisis
Configure los campos necesarios. General Ver "Cómo configurar los

campos necesarios para los
Estos campos necesarios se deben
destinos de Network Discover"
configurar cuando se agrega un nuevo
en la página 1792.
destino.
Programe los análisis de Network General Ver "Programar los análisis de

Discover/Cloud Storage Discover. Network Discover/Cloud Storage
Configure análisis ampliados. General Ver "Cómo analizar elementos

nuevos o modificados con
análisis incrementales"
en la página 1835.
Proporcione autenticación para el Autorización Ver "Proporcionar las

almacenamiento en la nube de Box. credenciales de la autorización
de almacenamiento en la nube
de Box" en la página 1799.
Opciones de configuración de destino de análisis de Network Discover/Cloud Storage Discover
Tareas opcionales Ficha en Descripción de la tarea

destino del
análisis
Proporcione autenticación e instale Contenido Ver "Cómo proporcionar la

credenciales. analizado autenticación de contraseña
para el contenido analizado de
Network Discover"
en la página 1796.
Incluya o excluya repositorios de un Filtros Ver " Cómo configurar los filtros
análisis. de Network Discover/Cloud
Storage Discover para incluir o
excluir elementos en el análisis"
en la página 1802.
Filtre los destinos por tamaño del Filtros Ver "Cómo filtrar los destinos de
archivo. Discover por tamaño del
elemento" en la página 1805.
Filtre los destinos por la fecha de Filtros Ver "Cómo filtrar los destinos de
último acceso o modificación. Discover por la última fecha de
acceso o modificación"
en la página 1806.
Optimice los recursos con la restricción Avanzadas Ver "Optimización de recursos

del análisis. con la restricción de análisis de
Network Discover/Cloud Storage
Cree un inventario de las ubicaciones Avanzadas Ver "Cómo crear un inventario

de los datos confidenciales sin de las ubicaciones de datos
protección. confidenciales sin protección"
en la página 1811.
Especifique las opciones para el Avanzadas Ver "Configurar los análisis de

seguimiento automatizado el estado los sistemas de archivos"
de la reparación de los incidentes del en la página 1880.
sistema de archivos de red.
Mueva, ponga en cuarentena o cifre Proteger Ver "Configuración de Network

los archivos en recursos compartidos Protect para archivos
de archivos de red con Network compartidos" en la página 1887.
Protect.
Ponga en cuarentena o aplique una Proteger Ver "Configuración de las

etiqueta visual al contenido del opciones de reparación para los
almacenamiento en la nube de Box. destinos de almacenamiento en
la nube de Box" en la página 1861.
Cómo configurar los campos necesarios para los destinos de Network Discover
Cómo configurar los campos necesarios para los

destinos de Network Discover
Para un nuevo destino, escriba el nombre del destino, el grupo de políticas y el
servidor de detección donde los análisis pueden ejecutarse.
Estos campos necesarios se deben configurar cuando se agrega un nuevo destino.
Para escribir los campos necesarios para un destino
3 En la ficha General, escriba el Nombre de este destino de Discover.
Escriba un nombre único para el destino o edite el nombre existente, con hasta
255 caracteres.
4 Seleccione Grupo de políticas.
Si no se ha seleccionado ningún otro grupo de políticas, se usa el grupo de
políticas predeterminado. Para aplicar un grupo de políticas, seleccione el
grupo de políticas que se debe usar para este destino. Es posible asignar
varios grupos de políticas a un destino.
El administrador define los grupos de políticas en la página Lista de grupo
de políticas. Si el grupo de políticas que desea usar no aparece en la lista,
contáctese con el administrador de Symantec Data Loss Prevention.
Programar los análisis de Network Discover/Cloud Storage Discover
5 En la ficha Destino, seleccione el servidor de detección (o varios servidores

de detección) donde desea permitir que el análisis se ejecute.
Si selecciona más de un servidor, Symantec Data Loss Prevention selecciona
automáticamente uno de los servidores cuando el análisis se inicia.
Nota: La función de análisis de cuadrícula para los destinos de análisis del

sistema de archivos proporciona una opción adicional que le permite distribuir
la carga de trabajo de análisis a través de todos los servidores seleccionados,
a condición de que se seleccionen por lo menos dos servidores. Symantec
recomienda que aplique la misma configuración a todos los servidores de
detecciones que pretenda usar para el análisis de cuadrícula.
.
Solamente los servidores de detección que fueron configurados como

servidores de descubrimiento aparecen en la lista. Si hay solamente un servidor
de descubrimiento en la red, el nombre de ese servidor se especifica
automáticamente. Es necesario configurar los servidores de descubrimiento
antes de configurar los destinos. Es necesario especificar por lo menos un
servidor antes de que se pueda ejecutar un análisis para este destino.
6 En la ficha Contenido analizado, es necesario especificar el elemento que
se analizará. Consulte la documentación sobre cada tipo de destino para
obtener más información sobre esta entrada.
7 Es posible configurar otras opciones para este destino.
Programar los análisis de Network Discover/Cloud

Storage Discover
Los análisis de Network Discover/Cloud Storage Discover se pueden configurar
para ejecutarse en una programación regular, por ejemplo, durante noches o fines
de semana. Los análisis se pueden además configurar para que se interrumpan
momentáneamente durante momentos especificados, por ejemplo, cuando los
recursos están normalmente ocupados con otras tareas.
Para el almacenamiento en la nube, los archivos compartidos, Lotus Notes o las
bases de datos SQL, la programación del análisis puede especificarse totalmente
con los parámetros de Programación del análisis.
Para los destinos del analizador (tales como SharePoint o Exchange), el análisis
también debe programarse desde el equipo donde el analizador está instalado. Es
necesario administrar manualmente la programación del análisis entre el destino
de detecciones y la aplicación del analizador. Los analizadores se instalan,
configuran y ejecutan fuera de Enforce Server y del servidor Network Discover/Cloud
Storage Discover. Por ejemplo, el analizador puede programarse para que se
ejecute automáticamente usando la programación nativa del host. Es posible crear
un trabajo de sincronización de UNIX o agregar el analizador al programador de
Windows. El analizador debe programarse para que se ejecute antes del análisis
de Network Discover/Cloud Storage Discover programado, de modo que el análisis
de Network Discover/Cloud Storage Discover tenga información para consumir.
Si se selecciona un momento específico para iniciar o interrumpir un análisis, se
usa la zona horaria de Enforce Server.
Es posible configurar otras opciones para este destino.
Para configurar una programación de análisis
2 Haga clic en el nombre del análisis que desea programar.
3 Haga clic en la ficha General.
4 Seleccione el elemento Enviar trabajo de análisis según programación.
Cuando se selecciona esta casilla de selección para configurar una
programación para analizar el destino especificado, la lista desplegable
Programación está disponible. Una vez que se selecciona una opción de la
lista desplegable Programación, aparecen campos adicionales.
5 Seleccione uno de los siguientes campos adicionales:
Sin programación regular Guarda el destino sin una programación.
Analizar una vez Ejecuta el análisis una vez, en la hora y la

fecha especificadas.
Analizar diariamente Analiza el destino diariamente, en la hora

de inicio especificada. Seleccione Hasta
para detener el análisis diario después de
cierta fecha.
Analizar semanalmente Analiza el destino cada semana.

Seleccione Hasta para detener el análisis
semanal después de cierta fecha.
Analizar mensualmente Analiza el destino cada mes. Seleccione

Hasta para detener el análisis mensual
después de cierta fecha.

Para interrumpir un análisis durante horarios especificados
2 Haga clic en el nombre del análisis que desea interrumpir momentáneamente
durante horarios especificados.
4 Seleccione el elemento Pausar análisis entre estos horarios.
Cómo proporcionar la autenticación de contraseña para el contenido analizado de Network Discover
5 Seleccione las opciones de interrupción.

Esta opción interrumpe automáticamente el análisis durante el intervalo de
tiempo especificado. Puede anular la ventana de interrupción de un destino
si va a la pantalla Destinos de Discover y hace clic en el icono de inicio para
la entrada de destino. El período de interrupción permanece intacto, y cualquier
análisis futuro que se ejecute en el período de interrupción se interrumpirá
según lo especificado. Es posible también reiniciar un análisis interrumpido
haciendo clic en el icono de continuación en la entrada de destino.
Nota: Si se modifica la configuración de destino mientras está interrumpida,

la configuración modificada no se aplica a los elementos que ya fueron
analizados. Cuando se interrumpe y se reinicia un análisis, el análisis se reinicia
desde un punto de comprobación que se crea cuando se interrumpe el análisis.
La configuración modificada se usa para los elementos que se analizan desde
ese punto de comprobación.
Cómo proporcionar la autenticación de contraseña

para el contenido analizado de Network Discover
En la ficha Contenido analizado, escriba las opciones de configuración para la
autenticación.
Evite los caracteres especiales en las credenciales de autentificación. Las
credenciales de autentificación no deben contener ninguno de los siguientes
caracteres, de lo contrario, se produce un error en el análisis:
■ Carácter de barra vertical ( | )
■ Carácter del signo "&"
■ Comillas (simples ' o dobles ")
Para proporcionar la autenticación de contraseña para el contenido analizado
2 Haga clic en el nombre del análisis para proporcionar la autenticación de
contraseña.
3 Haga clic en la ficha Contenido analizado.
4 Es posible escribir información de autenticación de varias maneras:
Administrar las autorizaciones del almacenamiento en la nube
■ Utilice una credencial almacenada.

Si una credencial almacenada está disponible, seleccione una credencial
con nombre de la lista desplegable en Usar credenciales guardadas.
■ Una credencial de análisis global se puede proporcionar para todos los
recursos compartidos en este destino.
Escriba el nombre de usuario y la contraseña en Usar estas credenciales.
■ Se pueden proporcionar credenciales de autentificación separadas para
cada recurso compartido en una lista.
Una credencial separada sustituye la credencial de análisis global, si se
proporcionó una.
Haga clic en Agregar o Editar para proporcionar credenciales para cada
recurso compartido en una lista.
En el cuadro Agregar, especifique el recurso compartido y las credenciales
con la sintaxis siguiente:
ruta[, [nombre de usuario, contraseña][, [profundidad][, reparación-nombre
de usuario, reparación-contraseña]]]
Para los elementos omitidos, proporcione una entrada nula con comas
consecutivas.
5 El formato de las credenciales depende del tipo de análisis. Para el formato y

los ejemplos específicos de las credenciales para cada tipo de destino, consulte
el tema para ese tipo de destino.
6 Es posible configurar otras opciones en la ficha Contenido analizado.
Las credenciales de reparación se pueden configurar en la ficha Proteger.
en la página 1887.
Administrar las autorizaciones del almacenamiento

en la nube
Para poder ejecutar los análisis de Discover en los destinos de almacenamiento
en la nube de Box, es necesario autorizar a Symantec Data Loss Prevention para
acceder al contenido del usuario en esos destinos y modificarlo. Es posible crear
y administrar las autorizaciones para los destinos del almacenamiento en la nube
de Box en la página Sistema > Configuración > Autorización de la nube.
Ver "Proporcionar las credenciales de la autorización de almacenamiento en la

nube de Box" en la página 1799.
Es posible tomar las medidas siguientes en la página Autorización de la nube :
Tabla 58-1 Acciones de la página Autorización de la nube
Crear una nueva autorización de la nube Es posible crear una nueva autorización de nube para los destinos
del almacenamiento en la nube de Box.
Ver "Proporcionar las credenciales de la autorización de

almacenamiento en la nube de Box" en la página 1799.
Es posible solamente tener una autorización de nube para los destinos

del almacenamiento en la nube de Box.
Editar una autorización existente de la nube Para modificar una autorización existente de la nube, haga clic en el
icono de edición.
Ver "Para modificar una autorización existente del almacenamiento

en la nube" en la página 1798.
Eliminar una autorización de la nube Para eliminar una autorización de la nube, haga clic en el icono de
eliminación.
No es posible eliminar una autorización de la nube que esté en uso

en un destino del análisis de Discover.
Modificar autorizaciones existentes del almacenamiento en

la nube
Es posible modificar las autorizaciones existentes del almacenamiento en la nube
en la página Sistema > Configuración > Autorización de la nube > Editar
autorización de almacenamiento en la nube. Use esta página para modificar la
mayoría de las opciones existentes, tales como Nombre, Id. de cliente, Secreto
del cliente, etc.
Para modificar una autorización existente del almacenamiento en la nube
Configuración > Autorización de la nube.
2 Haga clic en el icono de edición para la autorización del almacenamiento en
la nube que desee modificar en la lista Autorizaciones de almacenamiento
en la nube.
3 Realice sus modificaciones en la pantalla Editar autorización de
almacenamiento en la nube.
Proporcionar las credenciales de la autorización de almacenamiento

en la nube de Box
La autorización de sus análisis del almacenamiento en la nube de Box requiere
tres acciones:
■ Crear una aplicación Box en su cuenta de Box. Esta aplicación le da acceso a
la API de Box correspondiente.
■ Crear una autorización de la nube en la consola de administración de Enforce
Server.
■ Autorizar su destino de análisis de Discover.
Crear una aplicación Box en su cuenta de Box

La página app.box.com/developers/services le permite crear una aplicación en su
cuenta de Box.
Para crear una aplicación Box en su cuenta de Box
1 Inicie sesión en su cuenta de Box como usuario administrativo.
2 Vaya a app.box.com/developers/services.
3 Haga clic en Comenzar.
La página Crear aplicación Box aparece.
4 Escriba un nombre para su aplicación, tal como "Symantec Data Loss
Prevention", después haga clic en Crear aplicación.
La página de edición para su aplicación aparece.
5 En la sección General, asegúrese de que Acceso a API de contenido
solamente esté seleccionado.
6 En la sección Parámetros OAuth2, asegúrese de que Autenticación estándar
(3-legged OAuth2.0) esté seleccionado.
7 Seleccione los alcances siguientes:
■ Leer y escribir todos los archivos y carpetas
■ Administrar empresa
■ Administrar grupos
■ Administrar propiedades de empresa
■ Administrar políticas de retención
8 Escriba su URI de Enforce Server en el campo reorientar URI.

9 Haga clic en Guardar aplicación.
Después de crear su aplicación Box, contacte a Box para habilitar la configuración

adicional siguiente:
■ Como usuario
■ La administración puede hacer llamadas en nombre de los usuarios
■ La administración o coadministración puede hacer llamadas por cualquiera
■ Puede suprimir las notificaciones por correo electrónico de las llamadas
de API
Crear una autorización de la nube para Box

Después de haber creado su aplicación Box, cree su autorización de la nube de
Box en la consola de administración de Enforce Server.
Para crear una autorización de la nube para Box
Configuración > Autorización de la nube.
2 Haga clic en Nueva autorización de almacenamiento en la nube > Box.
La pantalla Agregar autorización de almacenamiento en la nube aparece.
3 En la sección Agregar autorización de almacenamiento en la nube, escriba
un nombre y una descripción para la nueva autorización.
4 En la sección Configuración del cliente, escriba el Id. de cliente para su
aplicación Box.
Su Id. de cliente de la aplicación Box es el Id. de cliente encontrado en su
página de información de la aplicación Box.
5 Escriba el secreto del cliente para su aplicación Box.
El secreto del cliente para su aplicación Box es el secreto del cliente
encontrado en su página de información de la aplicación Box.
6 Vuelva a escribir el secreto del cliente.
Autorizar un análisis del almacenamiento en la nube de Box

Después de que ha creado una autorización de la nube para el almacenamiento
en la nube de Box, se puede autorizar un análisis del almacenamiento en la nube
de Box.
Cómo cifrar contraseñas en archivos de configuración
Para autorizar los análisis de almacenamiento en la nube de Box

2 Haga clic en el nombre del análisis para proporcionar la autenticación de
contraseña.
3 Haga clic en la ficha Autorización.
4 Haga clic en Autorizar.
En el cuadro de diálogo aparece Iniciar sesión para conceder acceso a
Box.
5 Escriba las credenciales de autorización de Box para este análisis. Es necesario
usar las credenciales con el administrador de Box o los privilegios de
administrador conjunto para el contenido que desea analizar. Se deben además
tener permisos para descargar los archivos que desea analizar.
Cómo cifrar contraseñas en archivos de configuración

Cifre las contraseñas en los archivos de configuración con la utilidad
EncryptPassword.exe.
Para cifrar contraseñas en archivos de configuración

1 Desplácese al directorio bin de la instalación del analizador en el equipo del
analizador.
Ver "Estructura del directorio de instalación del analizador" en la página 1942.
2 Ejecute la utilidad EncryptPassword.exe.
Esta utilidad cifra la contraseña que se proporciona en los archivos de
configuración del analizador.
3 Si la utilidad lo requiere, escriba una contraseña.
4 Haga clic en la opción del cifrado.
5 Ponga la clave cifrada en la configuración de Password= en el archivo
Vontutipo_escánerScanner.cfg.
Ver "Opciones de configuración para los analizadores del servidor web"

en la página 1967.
Ver "Opciones de configuración para los analizadores de Documentum"
en la página 1980.
Ver "Opciones de configuración para los analizadores de Livelink" en la página 1991.
Cómo configurar los filtros de Network Discover/Cloud Storage Discover para incluir o excluir elementos en el análisis
Cómo configurar los filtros de Network

Discover/Cloud Storage Discover para incluir o excluir
elementos en el análisis
La exclusión y la inclusión de filtros reducen la cantidad de elementos o repositorios
para analizar.
Use el campo Filtros de inclusión para especificar los elementos que Symantec
Data Loss Prevention debe procesar. Si deja vacío el campo Filtros de inclusión,
Symantec Data Loss Prevention realiza la búsqueda de coincidencias de todos los
elementos en el destino seleccionado. Si escribe un valor en el campo, Symantec
Data Loss Prevention analiza solamente los elementos que coinciden con el filtro.
Use el campo Filtros de exclusión para especificar los elementos que Symantec
Data Loss Prevention no debe procesar. Si deja vacío el campo Filtros de
exclusión, Symantec Data Loss Prevention realiza la búsqueda de coincidencias
de todos los elementos en el destino seleccionado. Si escribe un valor en el campo,
Symantec Data Loss Prevention analiza solamente los elementos que no coinciden
con el filtro.
Para optimizar el análisis, se pueden dividir los análisis usando los filtros de inclusión
y exclusión. Por ejemplo, se pueden excluir elementos binarios. Es menos probable
que los elementos binarios contengan infracciones de políticas.
Ver "Acerca de la optimización del análisis de Network Discover/Cloud Storage
valor. Considere todos los valores del filtro (por ejemplo, tamaño y fecha) al agregar
o modificar los filtros de análisis. Evite incluir o excluir involuntariamente todo del
análisis.
Para configurar filtros de inclusión y exclusión:
2 Haga clic en el nombre del análisis donde desee agregar filtros de inclusión y
exclusión.
3 Haga clic en la ficha Filtros.
4 Escriba nombres de archivo o rutas en los filtros de inclusión y exclusión para

seleccionar un subconjunto de elementos que Symantec Data Loss Prevention
debe procesar. Delimite las entradas con una coma, pero sin espacios. El filtro
de ruta distingue entre mayúsculas y minúsculas.
Cuando haya filtros de inclusión y exclusión presentes, los filtros de exclusión
tienen precedencia.
Los nombres de archivo de los filtros de inclusión y exclusión están
relacionados con la raíz del sistema de archivos. Especifique las rutas
completas o los subdirectorios, según las necesidades. Se permiten algunos
comodines.
Tabla 58-2 muestra la sintaxis para los filtros.
Si la entrada de Excluir filtro excede el límite de 1 024 caracteres, se puede
crear un archivo de exclusión con los nombres del archivo que se excluirán.
Para crear un archivo de exclusión:
1 Cree un directorio denominado excludeFiles en el directorio de configuración
de Symantec Data Loss Prevention, por ejemplo,
\SymantecDLP\Protect\config\excludeFiles\.
Para una configuración con varios servidores de Discover, una copia de este
directorio y el archivo deben estar presentes en cada servidor de Discover.
2 En este directorio, cree un archivo de texto para cada conjunto de elementos
a excluir.
Por ejemplo, se puede crear un archivo para cada sistema Unix que se debe
analizar. Asígneles a los archivos el nombre nombredehost.txt, donde
nombredehost es el nombre del sistema que se analizará, como está previsto
en la configuración de destino. El nombre de host en este archivo de texto
debe coincidir exactamente con el nombre que está en el destino de Network
Discover/Cloud Storage Discover.
3 En cada archivo, enumere las rutas (cada ruta en una línea aparte) que desee
excluir del análisis.
Las rutas pueden ser archivos, directorios, vínculos simbólicos o directorios
montados. Las rutas deben comenzar con un delimitador de “/” o “\” seguido
por el nombre del recurso compartido, el nombre de directorio y el nombre del
archivo. Por ejemplo, una ruta válida es
\excludeshare\excludedir\excludefile.
Tabla 58-2 muestra la sintaxis para los filtros.

Tabla 58-2 Sintaxis para Filtros de inclusión y Filtros de exclusión
Comodín Descripción
* (asterisco) Use este comodín para que coincida

cualquier secuencia de caracteres,
incluyendo la falta de información.
? (signo de interrogación) Use este comodín para que coincida con

cualquier carácter en el lugar en donde
aparece.
, (coma) Representa un “O” lógico. Delimite las

entradas con una coma, pero no use
espacios.
Los caracteres delanteros de la barra Estos caracteres son equivalentes.

diagonal (/) y de la barra invertida (\) Representan generalmente los separadores
del directorio, aunque en Linux la barra
invertida es un carácter válido en un nombre
de archivo.
Espacio blanco al principio y al fin del patrón El espacio blanco se omite al principio y al
fin del patrón. No use espacios antes o
después de las comas que delimitan
entradas.
Caracteres de escape El proceso de coincidencia no admite

caracteres de escape, por eso, no hay
manera de coincidir un signo de
interrogación, una coma o un asterisco
explícitamente. Los caracteres especiales en
elementos del filtro no se admiten
generalmente.
Tabla 58-3 muestra los filtros de ejemplo.
Tabla 58-3 Filtros de ejemplo con comodines
Filtro de ejemplo Descripción
*.txt, *.doc Este ejemplo de un filtro de inclusión coincide

solamente con los archivos o los documentos
con las extensiones .txt o .doc, omitiendo
todos los demás.
Cómo filtrar los destinos de Discover por tamaño del elemento
Filtro de ejemplo Descripción
*.? Este ejemplo de un filtro de inclusión coincide

solamente con los archivos o los documentos
con una extensión de un solo carácter. Este
ejemplo coincide con archivos, como
hello.1 y hello.2, pero no hello.doc
ni hello.html.
*/documentation/*,*/specs/* Este ejemplo de un filtro de inclusión coincide

solamente en subdirectorios específicos de
un archivo compartido o de una unidad local
denominados documentation y specs.
La sintaxis y los ejemplos para el análisis de la base de datos SQL están en la

sección Base de datos SQL.
Ver "Cómo configurar y ejecutar la base de datos SQL" en la página 1900.
La sintaxis y los ejemplos para el análisis de SharePoint están en la sección
SharePoint.
Ver "Cómo configurar y ejecutar análisis del servidor de SharePoint" en la página 1912.
Cómo filtrar los destinos de Discover por tamaño del

elemento
Utilice los filtros de tamaño para excluir los elementos del proceso de coincidencia
según su tamaño.
Los filtros del tamaño están solamente disponibles para los archivos en el
almacenamiento en la nube de Box, los archivos compartidos, los documentos de
Lotus Notes, los elementos de SharePoint y los elementos de Exchange.
Para excluir los elementos según el tamaño del elemento
2 Haga clic en el nombre del análisis que desee filtrar según el tamaño del
elemento.
Cómo filtrar los destinos de Discover por la última fecha de acceso o modificación
4 Escriba valores opcionales bajo los filtros de tamaño del elemento.

Symantec Data Loss Prevention incluye solamente los elementos que coinciden
con los filtros especificados de tamaño. Si deja este campo vacío, Symantec
Data Loss Prevention realiza la búsqueda de coincidencias de elementos de
todos los tamaños.
Tenga en cuenta que todos los filtros se combinan con “y” si se proporciona
un valor. Considere todos los valores del filtro (por ejemplo, incluir, excluir y
fecha) al agregar o modificar los filtros de análisis. Evite incluir o excluir
involuntariamente todo del análisis.
5 Para excluir los elementos más pequeños que un tamaño determinado, escriba
un número en el campo al lado de Omitir menores que. A continuación,
seleccione la unidad de medida apropiada (bytes, KB o MB) de la lista
desplegable al lado de ella.
6 Para excluir los elementos más grandes que un tamaño determinado, escriba
un número en el campo al lado de Omitir mayores que. A continuación,
seleccione la unidad de medida apropiada (bytes, KB o MB) de la lista
desplegable al lado de ella.
7 Haga clic en Guardar para guardar todas las actualizaciones de este destino.
Cómo filtrar los destinos de Discover por la última

fecha de acceso o modificación
Especifique los filtros de fecha para excluir elementos del proceso de coincidencia
basado en las fechas. Solamente los elementos que coinciden con los filtros de
fecha especificados se incluyen.
Los filtros de la fecha están disponibles para los archivos en el almacenamiento
en la nube de Box, los archivos compartidos, los documentos de Lotus Notes y los
documentos de Microsoft SharePoint y de Exchange.
Los análisis incrementales y diferenciales están disponibles para algunos tipos de
destinos de Network Discover/Cloud Storage Discover.
Ver "Cómo analizar elementos nuevos o modificados con análisis incrementales"
en la página 1835.
Ver "Cómo analizar los elementos nuevos o modificados con los análisis
diferenciales" en la página 1837.
valor. Considere todos los valores del filtro (por ejemplo, incluir, excluir y tamaño)
al agregar o modificar los filtros de análisis. Evite incluir o excluir involuntariamente
todo del análisis.
Para excluir elementos según la última fecha de acceso o modificación
3 Escriba valores opcionales en Filtros de fecha de archivo.
4 Seleccione Analizar únicamente los archivos agregados o modificados
desde el último análisis completo para un análisis diferencial.
Esta opción analiza solamente los elementos que se han agregado o se han
modificado (cualquiera sea el más reciente) desde el último análisis completo.
Si no selecciona esta opción, Symantec Data Loss Prevention no utiliza ningún
filtro de fecha. Realiza coincidencias con los elementos de todas las fechas
en el destino especificado.
El primer análisis tiene que ser un análisis completo. Un análisis completo
ocurre si se selecciona esta opción antes de que Symantec Data Loss
Prevention analice este destino por primera vez.
Cuando se selecciona esta opción, también se puede seleccionar la opción
La próxima vez ejecutar un análisis completo. Cuando se selecciona esta
opción, los filtros de fecha para Solo analizar los archivos agregados o
modificados y para Solo analizar los archivos a los que se accedió
recientemente se deshabilitan. El análisis siguiente es un análisis completo
(si ningún análisis anterior se ha completado). Los análisis subsiguientes
cubren solamente esos elementos que se han agregado o se han modificado
desde el análisis completo. Una vez que Symantec Data Loss Prevention
realiza el análisis completo, esta casilla de selección anula la selección
automáticamente.
Esta opción no está disponible para el destino de un sistema de archivos
(archivo compartido). En su lugar, utilice el análisis incremental.
Ver "Acerca de la diferencia entre los análisis incrementales y los análisis
5 Seleccione Solo analizar los archivos agregados o modificados para incluir

archivos según la fecha agregada o modificada.
Symantec Data Loss Prevention analiza solamente elementos después de la
fecha especificada en Después, antes de la fecha especificada en Antes, o
entre las fechas que se especifican.
Tenga en cuenta que si la fecha de Después es posterior a la fecha de Antes,
ningún elemento se analiza. Si la fecha de Antes y la fecha de Después son
las mismas, ningún elemento se analiza. Ningún elemento se analiza porque
el tiempo presunto del parámetro Antes es a hora cero y Después es en 24
horas.
Cuando se selecciona esta opción, se puede también seleccionar alguna de
las siguientes opciones:
■ Después
Para incluir los elementos que se crean o se modifican (cualquiera sea el
más reciente) después de una fecha determinada, escriba la fecha. También
■ Antes
Para incluir los elementos que se crean o se modifican (cualquiera sea el
anterior) antes de una fecha determinada, escriba la fecha. También puede
hacer clic en el widget de fecha y seleccionar una fecha.
6 Seleccione Solo analizar los archivos a los que se accedió recientemente

para incluir los archivos basados en la última fecha de acceso.
Symantec Data Loss Prevention analiza solamente elementos después de la
fecha especificada en Después, antes de la fecha especificada en Antes, o
entre las fechas que se especifican.
La función de último acceso se admite solamente en el análisis del servidor
Network Discover de Windows de los recursos compartidos de CIFS.
Tenga en cuenta que si la fecha de Después es posterior a la fecha de Antes,
ningún elemento se analiza. Si la fecha de Antes y la fecha de Después son
las mismas, ningún elemento se analiza. Ningún elemento se analiza porque
el tiempo presunto del parámetro Antes es a hora cero y Después es en 24
horas.
Cuando se selecciona esta opción, se puede también seleccionar alguna de
las siguientes opciones:
■ Después
Para incluir los elementos a los que se accede después de una fecha
determinada, escriba la fecha. También puede hacer clic en el widget de
fecha y seleccionar una fecha.
Optimización de recursos con la restricción de análisis de Network Discover/Cloud Storage Discover
■ Antes
Para incluir los elementos a los que se accede antes de una fecha
determinada, escriba la fecha. También puede hacer clic en el widget de
fecha y seleccionar una fecha.
Nota: El proceso predeterminado del montaje usa el cliente CIFS. Si el montaje

predeterminado no funciona, la tarea de soporte puede usar el cliente JCIFS
basado en Java configurando filesystemcrawler.use.jcifs=true en el
archivo de propiedades Crawler.properties.
7 Haga clic en Guardar para guardar todas las actualizaciones de este destino.
Optimización de recursos con la restricción de análisis

de Network Discover/Cloud Storage Discover
Es posible configurar opciones de restricción en la ficha Avanzado del destino
para los siguientes destinos de análisis:
■ Archivos compartidos
■ Archivos de Endpoint
■ Documentos de Lotus Notes
Para los analizadores, las restricciones se deben configurar editando el archivo de
configuración en el equipo del analizador.
Nota: El uso de la restricción de elementos reduce perceptiblemente la velocidad

de análisis. Se espera que la velocidad de análisis se reduzca a la mitad de la
velocidad de análisis original o menos.
Es posible también configurar otras opciones para optimizar el análisis.

Optimización de recursos con la restricción de análisis de Network Discover/Cloud Storage Discover
Para configurar la restricción del análisis para el almacenamiento en la nube de

Box, los archivos compartidos, los documentos de Lotus Notes o las bases de datos
SQL
2 Haga clic en el nombre del destino de análisis para abrir el destino para editar.
3 En la ficha Avanzado, configure las opciones de restricción.
4 Escriba el número máximo de archivos o filas que se procesarán por minuto
por servidor de detección o el número de bytes máximo que se procesarán
por minuto por servidor de detección.
Si selecciona ambas opciones, la velocidad de análisis es más lenta que ambas
opciones.
Archivos máximos analizados por minuto Especifique el número máximo de

por servidor de detección archivos, documentos (en Lotus Notes) o
filas (en bases de datos SQL) que se
procesarán por minuto por servidor.
Tamaño máximo analizado por minuto por Especifique el número máximo de bytes
servidor de detección que se procesarán por minuto por servidor.
Especifique la unidad de medida de la lista

desplegable. Las opciones son bytes, KB
(kilobytes) o MB (megabytes).
Cómo crear un inventario de las ubicaciones de datos confidenciales sin protección
Para configurar la restricción de elementos para los analizadores

1 Localice el archivo de configuración del analizador (tipo-de-analizador.cfg)
en el equipo donde el analizador fue instalado.
2 En el archivo de configuración del analizador, modifique el parámetro
ImportPoliteness y el parámetro de BatchSize.
Cuando se configura la restricción de elementos, el analizador recupera los

elementos de BatchSize al almacenamiento local y, después, espera
ImportPoliteness milisegundos entre el proceso de cada elemento traído.
La restricción del byte no se admite para ninguno de los analizadores.

3 Para alcanzar la restricción del elemento del repositorio, haga que el parámetro
de BatchSize sea un valor pequeño. A continuación, el valor de
ImportPoliteness tiene más efecto. Al configurar BatchSize=1, se alcanza
la mayor restricción en la recuperación de los documentos.
Por ejemplo, si se configura BatchSize=25 y ImportPoliteness=5000 (5
segundos), el analizador descarga los 25 documentos. A continuación,
interrumpe momentáneamente 5 segundos entre el proceso de cada
documento.
Cómo crear un inventario de las ubicaciones de datos

confidenciales sin protección
Para auditar si los datos confidenciales existen en un destino sin realizar un análisis
completo, use el análisis en modo de inventario. El modo de inventario es útil
cuando la existencia de incidentes es importante, pero no la cantidad en cada
ubicación.
Ejecutar un análisis en modo de inventario puede además mejorar el rendimiento
de analizar una gran cantidad de equipos o una gran cantidad de datos. La
configuración de los umbrales de incidente puede mejorar el rendimiento del análisis,
ya que pasa a la siguiente raíz de contenido, en lugar de analizando todo. Una raíz
de contenido es una línea (un archivo compartido, un servidor Domino o una base
de datos SQL) especificada en la ficha Contenido analizado.
Es posible configurar un número máximo de incidentes para un elemento del
análisis. El elemento del análisis puede ser un archivo compartido o un equipo
físico.
Una vez que el umbral del incidente se ha alcanzado, el análisis de esta raíz de
contenido se detiene y continúa con la siguiente raíz de contenido. Como el proceso
es asincrónico, se pueden crear más incidentes que los especificados en el umbral
de incidentes.
El análisis del modo de inventario se admite para los destinos de análisis basados
en servidor y nube siguientes:
■ Almacenamiento en la nube
Para los destinos de almacenamiento en la nube de Box, puede especificar el
umbral de incidente por usuario.
■ Archivos compartidos
Para los archivos compartidos, se puede también especificar si se deben contar
los incidentes por la raíz de contenido o por el equipo. La raíz de contenido es
un archivo compartido en la lista que se especifica en la ficha Contenido
analizado. La selección se especifica en el campo Contar incidentes por.
■ Bases de datos de Lotus Notes
El umbral del incidente se cuenta por la raíz de contenido (servidor Domino de
la lista en la ficha Contenido analizado ).
El umbral del incidente se cuenta por raíz de contenido (base de datos SQL de
la lista en la ficha Contenido analizado ).
El modo de inventario se puede configurar con el parámetro del umbral del incidente.
Es posible configurarlo cuando se agrega un nuevo destino o cuando se edita un
destino existente.
Una vez que se localizan los datos confidenciales, se pueden configurar otras
opciones para ejecutar análisis completos que apunten a esas ubicaciones.
Para crear un inventario de datos confidenciales
2 Haga clic en el nombre del destino de análisis para abrir el destino para editar.
3 En la ficha Avanzado, se puede optimizar el análisis con el análisis en modo
de inventario.
4 Configure Umbral de incidentes.
Escriba la cantidad de incidentes que se deben producir antes de pasar a la
siguiente raíz de contenido o al siguiente usuario (especificado en la ficha
Contenido analizado ).
5 Configure la opción Contar incidentes por.
Para los archivos compartidos, se pueden también elegir los siguientes métodos
para contar los incidentes:
■ Raíz de contenido (la opción predeterminada)

La raíz de contenido es un archivo compartido de la lista en la ficha
Contenido analizado.
Una vez que el umbral del incidente se alcanza, el análisis pasa al siguiente
archivo compartido.
■ Equipo
Seleccione esta opción para contar por el equipo (de los recursos
compartidos especificados en un equipo).
Cuando se alcanza el umbral del incidente, el análisis pasa a la siguiente
raíz de contenido de la lista para su análisis. Si dicha raíz de contenido
está en el mismo equipo físico que el elemento anterior, se omite.
Tenga en cuenta que el nombre del equipo debe ser literalmente el mismo
para que se omita la raíz de contenido. Por ejemplo,
\\hostlocal\misarchivos y \\127.0.0.1\misarchivos se tratan como
equipos diferentes, aunque son lógicamente lo mismo.
Capítulo 59
Cómo administrar análisis
de destinos de Network
Discover
■ Administrar análisis de destinos de Network Discover/Cloud Storage Discover
■ Administrar destinos de Network Discover/Cloud Storage Discover
■ Administrar historiales de análisis de Network Discover/Cloud Storage Discover
■ Administrar servidores Network Discover/Cloud Storage Discover
■ Acerca de la optimización del análisis de Network Discover/Cloud Storage

Discover
■ Acerca de la diferencia entre los análisis incrementales y los análisis diferenciales
■ Acerca de los análisis incrementales
■ Cómo analizar elementos nuevos o modificados con análisis incrementales
■ Acerca de administrar los análisis incrementales
■ Cómo analizar los elementos nuevos o modificados con los análisis diferenciales
■ Configurar el análisis paralelo de destinos de Network Discover/Cloud Storage

Discover
Cómo administrar análisis de destinos de Network Discover 1815
Administrar análisis de destinos de Network Discover/Cloud Storage Discover
Administrar análisis de destinos de Network

Las tareas de administración para los análisis de destino de Network Discover/Cloud
Storage Discover entran en cuatro categorías amplias: administrar destinos de
Network Discover/Cloud Storage Discover, administrar historiales de análisis de
Network Discover/Cloud Storage Discover, administrar servidores Network
Discover/Cloud Storage Discover y optimizar análisis.
Ver "Administrar destinos de Network Discover/Cloud Storage Discover"
en la página 1815.
Ver "Administrar historiales de análisis de Network Discover/Cloud Storage Discover
Ver "Administrar servidores Network Discover/Cloud Storage Discover"
en la página 1828.
Administrar destinos de Network Discover/Cloud

Storage Discover
Para administrar los destinos del análisis de detección, se puede:
■ Iniciar, detener y pausar los análisis de destino.
■ Supervisar el estado a medida que los análisis de destino se ejecutan.
■ Seleccionar destinos para ver los detalles sobre ellos.
■ Editar o eliminar los destinos.
■ Administrar varios destinos.
■ Ordenar y filtrar los destinos para administrarlos más fácilmente.
■ Especifique la cantidad de destinos para mostrar.
Ver "Acera de la lista de destinos de análisis de Network Discover/Cloud Storage
Ver "Utilización de destinos de análisis de Network Discover/Cloud Storage
Ver "Quitar destinos de análisis de Network Discover/Cloud Storage Discover"
en la página 1818.
Administrar destinos de Network Discover/Cloud Storage Discover
Acera de la lista de destinos de análisis de Network Discover/Cloud

Storage Discover
Es posible administrar sus destinos de análisis de Network Discover/Cloud Storage
Discover en la pantalla Destinos de Discover. La barra de herramientas sobre la
lista de destinos incluye un menú desplegable para crear nuevos destinos de
análisis; botones para iniciar, detener y pausar los análisis; y un icono para filtrar
los elementos en la lista. Es posible aplicar las acciones en varios destinos.
Es posible hacer clic en la mayoría de los encabezados de columna para ordenar
la lista por los datos en esa columna.
Es posible seleccionar la cantidad de entradas para mostrar en la lista Destino de
Discover usando el menú desplegable cerca de la columna Acciones.
en la página 1815.
Tabla 59-1 enumera las columnas para cada análisis de destino.
Tabla 59-1 Destinos de Discover
Información de Descripción
destino
Nombre de Nombre del análisis de destino.

destino
Tipo de destino Tipo de destino del análisis (como sistema de archivos o SharePoint).
Grupos de Detalla los grupos de políticas a los cuales el destino es asignado.

políticas
Servidores Detalla los servidores asignados a este destino.

Nota: Si un análisis de cuadrícula se configura para un destino de análisis
específico, la lista de servidores se prefija con la palabra "cuadrícula".
Última Especifica la fecha y la hora en que el destino se modificó por última vez.
modificación
Estado del Muestra el estado del análisis. Haga clic en el vínculo en esta columna
análisis para ver una página filtrada del historial de análisis para este destino.
Siguiente Muestra el análisis programado siguiente para el destino, si corresponde.

análisis
Acciones Haga clic en el icono Editar destino para editar la definición del destino.
Haga clic en el icono Eliminar para eliminar el destino.

Administrar destinos de Network Discover/Cloud Storage Discover
Para filtrar la lista Destino de Discover

2 Haga clic en Filtro. Un campo de texto o una lista desplegable aparece en
cada encabezado de columna en la lista Destino de Discover.
3 Aplique uno de estos filtros a la lista:
■ Nombre de destino : escriba el nombre del destino en el campo de texto.
■ Tipo de destino : seleccione el tipo de destino de la lista desplegable.
■ Grupos de políticas : escriba el nombre del grupo de políticas en el campo
de texto.
■ Servidores : escriba el nombre del servidor en el campo de texto.
■ Última modificación : seleccione un intervalo de la lista desplegable.
■ Estado del análisis : seleccione un estado del análisis de la lista
desplegable.
■ Siguiente análisis : seleccione un intervalo de la lista desplegable.
4 Para borrar un filtro, borre el valor del campo de texto o de la lista desplegable
relevante o haga clic en Filtro.
Utilización de destinos de análisis de Network Discover/Cloud

Storage Discover
Es posible realizar las siguientes tareas con sus destinos de análisis:
Para iniciar, detener y pausar análisis de Network Discover/Cloud Storage Discover
2 Seleccione el destino o los destinos de análisis que desee iniciar, detener o
pausar.
3 Haga clic en el botón Iniciar análisis, Detener análisis o Interrumpir análisis
en la barra de herramientas de la lista de destinos.
Administrar historiales de análisis de Network Discover/Cloud Storage Discover
Para editar un destino de análisis de Network Discover/Cloud Storage Discover

2 Haga clic en el botón Editar destino para obtener el destino que desee editar.
3 Realice sus cambios deseados en la página Editar destino.
Quitar destinos de análisis de Network Discover/Cloud Storage

Discover
Compruebe los análisis que están en ejecución o en cola antes de eliminar un
destino de análisis.
en la página 1815.
Para quitar los destinos del análisis, realice estas acciones:
■ Elimine el destino del análisis de Enforce Server.
■ Desinstale el analizador del equipo donde está instalado, si es necesario.
Para eliminar un destino del análisis
2 Haga clic en el icono Eliminar del destino que desee quitar.
Administrar historiales de análisis de Network

Para administrar los historiales de análisis de Network Discover/Cloud Storage
Discover, se puede:
■ Ver las estadísticas de los análisis en ejecución o completados.
■ Descargar información del historial de análisis en formato de valores separados
por comas (CSV).
■ Ver los detalles del análisis.
■ Ver los informes del incidente.
■ Eliminar los historiales de análisis.
■ Administrar varios historiales de análisis.

■ Ordenar y filtrar los historiales de análisis para lograr una administración más
fácil.
■ Especificar la cantidad de historiales de análisis para mostrar.
Ver "Acerca de los historiales de análisis de Network Discover/Cloud Storage
Ver "Utilización de historiales de análisis de Network Discover/Cloud Storage
Ver "Eliminar análisis de Network Discover/Cloud Storage Discover" en la página 1822.
Ver "Acerca de los detalles de los análisis de Network Discover/Cloud Storage
Ver "Utilización de detalles de análisis de Network Discover/Cloud Storage Discover"
en la página 1826.
Acerca de los historiales de análisis de Network Discover/Cloud

Storage Discover
Es posible administrar sus historiales de análisis de Network Discover/Cloud Storage
Discover en la pantalla Historial de análisis. Para ver una lista del historial de
análisis para todos los destinos de Discover, en la consola administrativa de Enforce
Server, vaya a Administrar > Análisis de detección > Historial de análisis.
Es posible hacer clic en cualquier encabezado de la columna para clasificar los
datos de esa columna en orden alfanumérico.
Es posible seleccionar la cantidad de entradas para mostrar en la lista Destino de
Discover usando el menú desplegable cerca de la columna Acciones.
Para obtener información más detallada sobre un análisis, haga clic en el vínculo
en la columna Estado del análisis para mostrar la pantalla Detalle del análisis.
en la página 1815.
Tabla 59-2 enumera los campos que se muestran para cada análisis.
Tabla 59-2 Historial de análisis
Historial de Descripción
análisis
Nombre de Nombre del análisis de destino.

destino
Tipo de destino Tipo de destino del análisis (como sistema de archivos o SharePoint).
Análisis iniciado Fecha y hora en que comenzó el análisis.
Estado del Estado actual del análisis: En ejecución, En pausa, Completado,

análisis Detenido.
Número de Número de servidores de detección seleccionados para realizar un

servidores en la análisis de cuadrícula.
cuadrícula
Nota: La función del análisis de cuadrícula admite actualmente
solamente los destinos de análisis del servidor del sistema de archivos.
Para los análisis que no son de cuadrícula, un valor N/D se visualiza
en esta columna.
Tipo de análisis Tipo de análisis: Incremental, Diferencial o Completo.
Incidentes Cantidad de incidentes generados por el análisis.

generados
Tiempo de Tiempo transcurrido del análisis en formato dd:hh:mm:ss.

ejecución
Bytes/Elementos Cantidad de bytes analizados en el destino, así como la cantidad de

analizados elementos analizados.
Errores Cantidad de errores durante el análisis.
Acciones Haga clic en el icono Ver incidentes para ver un informe resumido del
incidente para el análisis.
Ver "Acerca de los informes de incidentes para Network Discover/Cloud


Haga clic en el icono Eliminar para eliminar el análisis. Asegúrese de
eliminar primero los análisis diferenciales antes de eliminar el análisis
de base.
Ver "Eliminar análisis de Network Discover/Cloud Storage Discover"

en la página 1822.
Para filtrar la lista Historial de análisis

Análisis de detección > Historial de análisis.
2 Haga clic en Filtro. Un campo de texto o una lista desplegable aparece en el
encabezado de columna en la lista Historial de análisis.
3 Aplique uno de estos filtros a la lista:
■ Nombre de destino : escriba el nombre del destino en el campo de texto.
■ Tipo de destino : seleccione el tipo de destino de la lista desplegable.
■ Análisis iniciado : seleccione un intervalo de la lista desplegable.
■ Estado del análisis : seleccione un estado del análisis de la lista
desplegable.
■ Tipo de análisis : seleccione un tipo de análisis de la lista desplegable.
4 Para borrar un filtro, borre el valor del campo de texto o de la lista desplegable
relevante o haga clic en Filtro.
Utilización de historiales de análisis de Network Discover/Cloud

Storage Discover
Es posible realizar las siguientes tareas con sus historiales de análisis:
Para exportar los historiales de análisis de Network Discover/Cloud Storage Discover
2 Seleccione el análisis o los análisis que desee exportar.
3 Haga clic en Exportar. El cuadro de diálogo Descarga del archivo aparece.
4 Haga clic en Abrir para ver los datos exportados o haga clic en Guardar para
guardar el archivo.
5 Para cancelar la operación de exportación, haga clic en Cancelar.
Para ver los incidentes de un análisis específico
2 Haga clic en el icono Ver incidentes para ver el análisis que desee. La pantalla
Incidentes de detección aparece.
Eliminar análisis de Network Discover/Cloud Storage Discover

Es posible eliminar análisis específicos de su historial de análisis.
Para eliminar un análisis
2 Elimine cualquier análisis diferencial antes de que elimine el análisis completo
de base para ese destino.
Este paso no es necesario para los análisis incrementales.
3 Seleccione el análisis que se eliminará y haga clic en el icono de eliminación
en la columna Acciones.
Para eliminar varios análisis, seleccione las casillas para los análisis que desea
eliminar y haga clic en Eliminar en la barra de herramientas.
Acerca de los detalles de los análisis de Network Discover/Cloud

Storage Discover
Es posible ver información detallada sobre cada análisis de Network Discover/Cloud
Storage Discover, incluida información general del análisis, estadísticas, errores
recientes y actividad del análisis. Es posible también descargar informes en formato
CSV para estadísticas de análisis, errores recientes y actividad de análisis.
Para ver los detalles del análisis, vaya a Administrar > Análisis de detección >
Historial de análisis. Seleccione el análisis y haga clic en el vínculo en la columna
Estado.
en la página 1815.
Tabla 59-3 muestra la sección General, que ofrece información sobre el análisis.
Tabla 59-3 Detalle del análisis general
Detalle del Descripción

análisis
general
Tipo de El tipo y el icono del destino que fue analizado.

destino
Nombre de Nombre del destino.

destino
Detalle del Descripción

análisis
general
Estado Estado del análisis.
Si el análisis está en ejecución, se muestra el nombre del servidor Network

Discover/Cloud Storage Discover donde el análisis está en ejecución.
Tipo de Tipo de análisis, como incremental o completo.

análisis
Hora de La fecha y la hora que el análisis comenzó.

inicio
Hora de La fecha y la hora que el análisis finalizó.

finalización
Tabla 59-4 muestra la sección Estadísticas del análisis, que proporciona

información detallada sobre el análisis.
Tabla 59-4 Estadística del análisis
Estadística Descripción
del análisis
Procesado Cantidad de raíces de contenido (usuarios, recursos compartidos o sitios)

que se han analizado. Si el análisis aún se está ejecutando, este campo
proporciona una evaluación comparativa del progreso del análisis.
Tiempo de Cantidad de tiempo que el análisis tardó en completarse. Si el análisis aún

ejecución se está ejecutando, la cantidad de tiempo que ha estado en ejecución. El
(dd:hh:mm:ss) total no incluye el tiempo durante el cual se interrumpió momentáneamente
el análisis.
Elementos Cantidad de elementos analizados.

analizados
Bytes Cantidad de bytes analizados.

analizados
Errores La cantidad de errores que ocurrieron durante el análisis. Una lista de los
errores está disponible en la sección Errores recientes del análisis.
Cantidad de La cantidad de incidentes que fueron detectados durante el análisis actual,

incidentes menos cualquier incidente eliminado. Es posible hacer clic en este número
actuales para ver una lista de incidentes para este análisis.
La sección Estado reciente de la cuadrícula es una lista de servidores que fueron

asignados al destino de análisis para realizar un análisis de cuadrícula. Los análisis
de cuadrícula se admiten actualmente solamente para destinos de análisis del
sistema de archivos.
De forma predeterminada, la sección Estado reciente de la cuadrícula está
contraída cuando se abre la pantalla Detalles de análisis.
Tabla 59-5 Estado reciente de la cuadrícula
Detalles de Descripción
Estado
reciente de
la
cuadrícula
Líder de la El nombre del servidor de detección al que se asignó el rol de líder de la

cuadrícula cuadrícula durante el análisis.
Es posible hacer clic en cada nombre de servidor para navegar a la pantalla

Detalles del servidor/detector para ese servidor.
Servidores Los nombres de los servidores de detección en la cuadrícula que realizó el

de detección análisis.
participantes
Servidores Los nombres de los servidores de detección en la cuadrícula que no pudieron

de detección realizar el análisis. Un mensaje de error se muestra al lado de cada nombre
no del servidor para describir el motivo por el cual no pudo participar en el
participantes análisis.

La sección Errores de análisis recientes es un listado de los errores que ocurrieron

durante el análisis.
Si un análisis tiene muchos errores, la pantalla Detalle del análisis no los muestra
todos. Para ver una lista completa de los errores que ocurrieron durante el análisis,
haga clic en Descargar informe completo de errores.
Tabla 59-6 muestra la información en el informe Errores recientes del análisis, que
proporciona información sobre cada error.
Tabla 59-6 Errores recientes del análisis
los errores
recientes del
análisis
Fecha La fecha y la hora del error durante el análisis.
Ruta La ruta de directorio a la ubicación del archivo con el error durante el análisis.
Error El mensaje de error.
La actividad de análisis reciente muestra las entradas de registro más recientes

de los eventos notables que ocurrieron durante el análisis.
Si un análisis tiene muchos mensajes de actividad, la pantalla Detalle del análisis
no los muestra todos. Para ver una lista completa de los mensajes de la actividad
del análisis, haga clic en Descargar informe completo de actividades.
Tabla 59-7 muestra el informe de actividad de análisis reciente, que proporciona
información sobre cada actividad.
Tabla 59-7 Actividad de análisis reciente
actividad de
análisis
reciente
Fecha/hora La fecha y la hora en que ocurrió el evento registrado.
Nivel La gravedad del evento.
Mensaje El mensaje que fue registrado sobre el evento.
Tabla 59-8explica las opciones en la pantalla Detalle del análisis.
Tabla 59-8 Opciones en la pantalla Detalle del análisis
Opciones de Descripción
Detalle del
análisis
Descargar Descargue un informe con todas las estadísticas del análisis en formato
informe CSV.
completo de
estadísticas
Opciones de Descripción
Detalle del
análisis
Descargar Descargue un informe con todos los errores del análisis en formato CSV.
informe
completo de
errores
Descargar Descargue un informe con toda la actividad del análisis en formato CSV.
informe
completo de
actividades
Utilización de detalles de análisis de Network Discover/Cloud Storage

Discover
Es posible realizar las siguientes tareas con los detalles del análisis:
Para ver los detalles del análisis
1 En la consola de administración de Enforce Server, haga clic en Administrar
> Análisis de detección > Historial de análisis.
2 En la página Historial de análisis, haga clic en el vínculo en la columna
Estado del análisis para buscar el análisis del que desee para ver los detalles.
Para exportar los detalles del análisis a un archivo CSV
2 En la página Historial de análisis, haga clic en el vínculo en la columna
Estado del análisis para buscar el análisis del que desee para ver los detalles.
3 En la página Detalles del análisis, haga clic en uno de los siguientes botones:
■ Descargar informe completo de estadísticas
■ Descargar informe completo de errores
■ Descargar informe completo de actividades
Cómo solucionar problemas en los análisis de cuadrícula

La sección Estado reciente de la cuadrícula de Detalles de análisis muestra un
mensaje de error cuando uno o más servidores de detección no pudieron participar
en el análisis de cuadrícula. Es posible ver los registros operativos y depurar los
registros para que cada servidor de detección no participativo determine la causa

del problema y la resolución apropiada.
en la página 367.
Nota: Los análisis de cuadrícula se admiten actualmente solamente para destinos

de análisis de servidor del sistema de archivos. Ver "Configurar los análisis de los
sistemas de archivos" en la página 1880.
Certificado de comunicación de la cuadrícula caducado

Cuando accede al archivo de registro operativo para un servidor de detección, el
mensaje de error El certificado de comunicación de la cuadrícula caducó o
aún no es válido indica que es necesario renovar los certificados SSL del servidor
de detección.
Nota: Cuando el certificado de comunicación de la cuadrícula del líder caduca, la

sección Errores de análisis de la pantalla Detalles de análisis también muestra
el mensaje de error El certificado de comunicación de la cuadrícula caducó o
aún no es válido. Se debe renovar el certificado de comunicación de la cuadrícula
para el líder de la cuadrícula.
Ver "Renovación de certificados de comunicación de la cuadrícula para servidores

de detección" en la página 284.
Mensajes de error del tiempo de espera del análisis

Si la sección Errores de análisis recientes de la pantalla Detalles de análisis
muestra el mensaje de error Se agotó el tiempo de espera de respuesta de los
servidores de detección. Verifique el estado de los servidores de detección
en la cuadrícula, verifique que los servidores de detección afectados se estén
ejecutando y asegúrese de que haya conectividad entre los servidores de detección
y el líder de la cuadrícula.
Ver "Opciones de configuración para el análisis de cuadrícula" en la página 1956.
Desconexión de Enforce Server

Si la sección Errores de análisis recientes de la pantalla Detalles de análisis
muestra el mensaje de error Desconectado de Enforce, verifique el estado de la
conectividad de red en todos los miembros de la cuadrícula.
Administrar servidores Network Discover/Cloud Storage Discover
Ejecución de análisis de cuadrícula consecutivos en el mismo

destino de análisis
Después de completar un análisis de cuadrícula, los miembros de la cuadrícula
podrían continuar ocupados con tareas posteriores al análisis durante un breve
período. Si intenta inicializar otro análisis de cuadrícula en el mismo destino de
análisis durante este período, algunos servidores de detección podrían no participar
en el análisis.
Si la sección Estado reciente de la cuadrícula de la pantalla Detalles de análisis
muestra el mensaje de error Ejecutando instancia previa del análisis actual
junto a los nombres de uno o más servidores de detección, pause el análisis de
cuadrícula y reanúdelo después de diez minutos.
Miembros de la cuadrícula ocupados con otros análisis

Cuando inicializa un análisis de cuadrícula, algunos miembros de la cuadrícula
podrían aún estar ocupados con otros análisis y no participarán en el nuevo análisis
de la cuadrícula.
Si la sección Estado reciente de la cuadrícula de la pantalla Detalles del análisis
muestra el mensaje de error Ejecutando análisis ScanTargetName junto a los
nombres de uno o más servidores de detección, pause el análisis de cuadrícula y
reanúdelo cuando todos los miembros de la cuadrícula están disponibles.
Administrar servidores Network Discover/Cloud

Storage Discover
Es posible ver los detalles del estado y de los análisis de Network Discover/Cloud
Storage Discover para cada servidor de Discover.
Ver "Visualización de estado del servidor Network Discover/Cloud Storage Discover"
en la página 1828.
Visualización de estado del servidor Network Discover/Cloud Storage

Discover
La pantalla Servidores de Discover detalla los servidores de detección para
Network Discover/Cloud Storage Discover o Endpoint Discover que están
configurados en la red. Esta pantalla muestra los detalles sobre los análisis en
cada servidor de detección.
Para ver los servidores de detección, en la consola de administración de Enforcer,
vaya a Administrar > Análisis de detección > Servidores de detección.
Acerca de la optimización del análisis de Network Discover/Cloud Storage Discover

en la página 1815.
La Tabla 59-9 muestra la información para cada servidor.
Tabla 59-9 Servidores de descubrimiento
Información de Descripción
servidor
Nombre del servidor El nombre del servidor. Entre paréntesis aparece el tipo de servidor
de detección, ya sea Discover o Endpoint.
Análisis en Una lista de los análisis que se están ejecutando actualmente en

ejecución este servidor.
Análisis en cola Una lista de los análisis que están en la cola de ejecución en este
servidor.
Análisis Una lista de los análisis que se programan para ejecutarse en el

programados futuro en este servidor.
Análisis en pausa Una lista de los análisis pausados en este servidor.
Para ver los detalles de análisis de un servidor Network Discover/Cloud Storage

Discover
Análisis de detección > Servidores de detección
2 En la página Servidores de detección, haga clic en el nombre del análisis
del que desea ver los detalles.
Acerca de la optimización del análisis de Network

Los análisis de destino de Network Discover/Cloud Storage Discover pueden tardar
horas o días en completarse, dependiendo del tipo de análisis y la cantidad y el
formato de los datos que se analizarán, así como el hardware y la velocidad de
red. Para optimizar el rendimiento de los análisis de una gran cantidad de
información, siga las sugerencias en esta sección.
Para ayudar a optimizar los análisis de Network Discover/Cloud Storage Discover,
considere usar algunos de los métodos siguientes:
■ Comience por analizar solo los archivos compartidos o los repositorios a los
que se accede con mayor frecuencia y que están más ampliamente disponibles
(por ejemplo, acceso como invitado o público). Comience de a poco y confirme
la exactitud de los análisis antes de aumentar el volumen de información en un
análisis. Una vez que haya alcanzado un rendimiento satisfactorio con sus
análisis iniciales, agregue realizar un análisis de las unidades de negocio que
controlan los datos confidenciales.
■ Instale varios servidores Network Discover/Cloud Storage Discover en la red.
■ Divida los análisis grandes en varios análisis más pequeños. Cree destinos de
análisis independientes y use filtros de análisis para dividir el conjunto para
analizar.
Es posible dividir los análisis con filtros de inclusión, exclusión, tamaño y fecha.
Ver "Cómo configurar los filtros de Endpoint Discover para incluir o excluir
elementos en el análisis" en la página 2076.
Ver "Cómo filtrar los destinos de Discover por tamaño del elemento"
en la página 1805.
Ver "Cómo filtrar los destinos de Discover por la última fecha de acceso o
■ Analice primero los archivos que no sean binarios. Es menos probable que los
archivos binarios contengan infracciones de políticas.
Por ejemplo, se puede configurar el filtro Excluir en la lista siguiente para analizar
los archivos que no son binarios:
*.exe,*.lib,*.bin,*.dll,*.cab,*.dat
*.au,*.avi,*.mid,*.mov,*.mp,*.mp3,*.mp4,*.mpeg,*.wav,*.wma
Para analizar el resto de los archivos, use este filtro como el filtro Incluir de un
destino de análisis diferente.
■ Para los destinos del almacenamiento en la nube, se puede configurar un
análisis incremental con una ventana estrecha de análisis (siete o menos días)
y un análisis completo de una vez para el conjunto de datos entero. El análisis
incremental encontrará los datos confidenciales recientes en peligro rápidamente,
mientras que el análisis completo trabajará sobre sus datos en masa. Como
los repositorios en la nube pueden contener terabytes o petabytes de datos, se
puede esperar que el análisis completo tarde varios días para completarse.
en la página 1835.
■ Para los destinos de sistema de archivos, se pueden configurar análisis

incrementales para seleccionar solamente esos archivos que aún no se han
analizado.
en la página 1835.
■ Analice los elementos nuevos o recientemente modificados en un análisis de
destino y los anteriores en un segundo destino de análisis.
Use el filtro de fecha para dividir los análisis por los valores de fecha, por los
archivos anteriores que o los archivos más nuevos que.
■ Después del análisis inicial, ejecute análisis diferenciales para seleccionar
solamente esos elementos que fueron agregados o modificados desde el último
análisis completo.
■ Analice los archivos pequeños en un destino de análisis y los archivos grandes
en otro. Analizar muchos archivos pequeños requiere más recursos superfluos
que analizar menos archivos grandes.
Use el filtro de tamaño para dividir los análisis por tamaño.
en la página 1805.
■ Analice los archivos comprimidos en un destino aparte de análisis.
Use el filtro Incluir para analizar los archivos comprimidos. Por ejemplo, use la
lista siguiente:
*.zip,*.gzip
Para analizar el resto de los archivos, use este filtro como el filtro Excluir de un
destino de análisis diferente.
■ Analice los archivos de base de datos o de hoja de cálculo en un destino aparte
de análisis.
Use el destino de base de datos SQL para analizar los archivos de base de
datos.
Use el filtro Incluir para analizar los archivos de hoja de cálculo:
*.xls
Configure un destino aparte de análisis y use el filtro Excluir para analizar todo
lo demás.
■ Excluya las carpetas internas de las aplicaciones. Por ejemplo, en el análisis
de un recurso compartido de DFS, excluya la carpeta interna DfsrPrivate. En
el análisis de un recurso compartido en un archivador de NetApp, excluya la
carpeta .snapshot.
Ver "Exclusión de carpetas internas de DFS" en la página 1879.
Ver "Configurar los análisis de los sistemas de archivos" en la página 1880.
■ Use el análisis en modo de inventario para pasar al siguiente elemento del
análisis una vez que un umbral del incidente se alcanza. El análisis en modo
de inventario puede auditar dónde los datos confidenciales se almacenan sin
analizar todo.
Ver "Cómo crear un inventario de las ubicaciones de datos confidenciales sin
protección" en la página 1811.
■ Dedique tanto hardware como sea posible a los análisis. Por ejemplo, suspenda
o cierre cualquier programa que se ejecute en el servidor.
■ Use la interrupción de análisis para suspender automáticamente el análisis
durante las horas de trabajo.
■ Ejecute el análisis paralelamente.
Ver "Configurar el análisis paralelo de destinos de Network Discover/Cloud
■ Use la restricción para reducir la carga en la red.
Ver "Optimización de recursos con la restricción de análisis de Network
■ Actualice el hardware del servidor.
Es posible usar hasta 12 GB de memoria, CPU de cuatro núcleos, discos duros
ultrarrápidos y tarjetas de red de para dirigir cualquier cuello de botella en el
hardware.
Acerca de la diferencia entre los análisis incrementales y los análisis diferenciales
Acerca de la diferencia entre los análisis

incrementales y los análisis diferenciales
Los análisis incrementales y diferenciales le permitieron optimizar el análisis del
rendimiento al analizar solamente elementos nuevos o modificados. Se reanudaron
los análisis incrementales desde el punto en que se interrumpieron,
independientemente de si el primer análisis era un análisis completo. Los análisis
diferenciales analizan solamente los elementos agregados o modificados después
del análisis completo más actual: es necesario ejecutar al menos un análisis
completo en su destino de análisis antes de usar el análisis diferencial.
en la página 1835.
Tabla 59-10 compara análisis incrementales y análisis diferenciales.
Tabla 59-10 Diferencias entre los análisis incrementales y los análisis

diferenciales
Análisis incrementales Análisis diferenciales
Los análisis incrementales se Los análisis diferenciales se admiten para los destinos
admiten para los destinos siguientes:
siguientes:
■ Servidor > IBM (Lotus) Notes
■ Nube > Box (servidor de ■ Servidor > Exchange
detección en las ■ Endpoint > Sistema de archivos
instalaciones)
■ Servidor > Sistema de
archivos
■ Servidor > SharePoint
Acerca de los análisis incrementales
Análisis incrementales Análisis diferenciales
Los análisis parciales Los análisis diferenciales comienzan con un análisis completo
conservan la información del destino de Discover. Este análisis completo se llama
sobre los elementos que se análisis de base.
han analizado.
Los análisis parciales no se pueden usar como análisis de
Si se pierden los archivos, base.
los recursos compartidos u
otros elementos porque son
inaccesibles, el análisis
incremental siguiente cubre
automáticamente los
elementos perdidos.
Las ejecuciones Las ejecuciones subsiguientes analizan todos los elementos

subsiguientes analizan todos que se han agregado o se han modificado desde la fecha del
los elementos que no se han análisis completo (de base) más reciente completado.
analizado previamente, entre
El sistema considera la fecha de inicio del análisis de base
ellos, los elementos nuevos
para el análisis diferencial.
o modificados.
Un índice de análisis El análisis completo de base más reciente sirve como

incremental realiza un comparación para saber qué elementos analizar, sobre la
seguimiento de qué base de la fecha del análisis de base.
elementos ya se han
analizado.
Acerca de los análisis incrementales

Los análisis incrementales le permitieron optimizar el análisis del rendimiento al
analizar solamente elementos nuevos o modificados. Se reanudaron los análisis
incrementales desde el punto en que se interrumpieron, independientemente de
si el primer análisis era un análisis completo.
El análisis incremental se admite solamente para algunos tipos de destinos.
Los análisis incrementales conservan la información sobre los elementos que se
han analizado.
Algunos archivos se pueden omitir durante un análisis, por ejemplo, porque están
bloqueados o en uso. Es posible que un análisis no se complete porque no se
Cómo analizar elementos nuevos o modificados con análisis incrementales
puede acceder a los datos, por ejemplo, cuando un servidor o un dispositivo están
desconectados. Esos archivos perdidos se analizan durante análisis subsiguientes
de ese destino.
Un índice de análisis incremental realiza un seguimiento de qué elementos se han
analizado previamente. Este índice se sincroniza entre varios servidores de
detección.
A partir de Symantec Data Loss Prevention versión 15.0, cuando se configura un
análisis incremental en los servidores del sistema de archivos, puede seleccionar
uno o más destinos de análisis existentes cuyos índices incrementales serán
utilizados nuevamente en el nuevo análisis. Volver a usar los índices incrementales
le permite ahorrar tiempo en los elementos analizados indizados en el nuevo destino
del análisis. Además, esta función le permite consolidar y dividir destinos del análisis
del servidor del sistema de archivos, que aumenta la manejabilidad del destino del
análisis.
Para obtener información sobre los requisitos de clasificación para el índice de
análisis incremental, consulte la Guía de compatibilidad y requisitos del sistema
Cómo analizar elementos nuevos o modificados con

análisis incrementales
Un análisis incremental le permite reanudar un análisis de Network Discover/Cloud
Storage Discover desde donde se interrumpió. Un análisis incremental solamente
analiza los elementos que no se han analizado previamente.
Para configurar un análisis incremental
1 Vaya a Administrar > Análisis de detección > Destinos de Discover.
2 Haga clic en la lista desplegable Nuevo destino y seleccione el tipo de destino
Nube > Box (servidor de detección en las instalaciones), Sistema de
archivos o SharePoint, o seleccione uno de los destinos del análisis del
almacenamiento en la nube, sistema de archivos o SharePoint en la lista para
editarlo.
Acerca de administrar los análisis incrementales
4 En Tipo de análisis, seleccione Analizar solo los elementos nuevos o

modificados (análisis incremental). Esta opción es la opción predeterminada
para los nuevos destinos. (Para los destinos de almacenamiento en la nube,
esta opción es Analizar solo los elementos agregados o modificados de
la ventana especificada (análisis incremental).)
Si ha cambiado la política u otras definiciones en un análisis existente, puede
configurar el análisis siguiente como análisis completo para garantizar la
cobertura de políticas completa. Seleccione la siguiente opción:
Si desea analizar siempre todos los elementos en este destino, seleccione la
siguiente opción:
Analizar siempre todos los elementos (análisis completo). (Para los
destinos de almacenamiento en la nube, esta opción es Analizar todos los
archivos agregados o modificados de la ventana especificada (análisis
completo).)
5 Complete los otros pasos para configurar o modificar un destino de Discover
y para ejecutar el análisis.
Ver "Cómo configurar análisis de servidor de sistemas de archivos"
en la página 1864.
6 Para administrar el análisis incremental y diagnosticar problemas, consulte el
tema siguiente:
Ver "Acerca de administrar los análisis incrementales" en la página 1836.
Acerca de administrar los análisis incrementales

Tenga en cuenta lo siguiente al ejecutar análisis incrementales:
■ Si su instalación tiene varios servidores de detección, el índice de análisis
incremental se sincroniza automáticamente con el resto de los servidores de
detección para ese destino.
■ Cuando se cambia la configuración del análisis incremental de Analizar solo
los elementos nuevos o modificados (análisis incremental) a Analizar
todos los elementos para el próximo análisis. Los análisis subsiguientes
serán incrementales, el índice de análisis incremental para ese destino se
borra antes de que el análisis se inicie. Los análisis subsiguientes son
incrementales.
Cómo analizar los elementos nuevos o modificados con los análisis diferenciales
Nota: Opcionalmente, cuando selecciona la opción Analizar solo los elementos

nuevos o modificados (análisis incremental), puede seleccionar uno o más
destinos de análisis del servidor del sistema del archivo existente cuyos índices
incrementales se volverán a usar en la nueva exploración. Volver a usar los
índices incrementales le permite ahorrar tiempo en los elementos analizados
indizados en el nuevo destino del análisis. Estas funciones están disponibles
solamente mientras crea un nuevo destino de análisis o modifica uno existente
antes de ejecutar un análisis en él por primera vez.
■ Para analizar todos los elementos, configure Analizar siempre todos los
elementos (análisis completo) para el destino del servidor de detección de
Discover.
■ Si se selecciona Analizar siempre todos los elementos (análisis completo)
de la configuración, cualquier entrada de índice anterior para ese destino se
borra antes de que el análisis se inicie. El índice no se vuelve a completar
Si desea analizar todos los elementos y, después, continuar el análisis
incremental, seleccione la opción Analizar todos los elementos para el
próximo análisis. Los análisis subsiguientes serán incrementales. Esta no
es una opción para los destinos de almacenamiento en la nube.
■ Cuando se elimina un destino de detecciones, el índice de análisis incremental
no se elimina automáticamente.
Cómo analizar los elementos nuevos o modificados

con los análisis diferenciales
Para ahorrar recursos, los análisis diferenciales solo analizan los elementos que
se agregan o se modifican desde el último análisis completo.
Para obtener información sobre cómo un destino que se configura para el análisis
diferencial se actualiza durante una actualización de la versión, consulte la Guía
de actualización de Symantec Data Loss Prevention.
Para configurar un análisis diferencial
1 Vaya a Administrar > Análisis de detección > Destinos de Discover.
2 Haga clic en el menú desplegable Nuevo destino y seleccione el tipo de
destino, o seleccione uno de los destinos de análisis en la lista para editarlo.
Configurar el análisis paralelo de destinos de Network Discover/Cloud Storage Discover

4 Seleccione la opción de fecha para un análisis diferencial.
5 Ejecute un análisis completo. El análisis inicial debe ser un análisis completo.
6 Una vez que el análisis inicial se ha completado, el análisis siguiente analiza
solamente los elementos que se agregan o se modifican desde el último análisis
completo.
Configurar el análisis paralelo de destinos de Network

Varios análisis de destinos diferentes se pueden ejecutar simultáneamente en el
mismo servidor Network Discover/Cloud Storage Discover.
Los análisis paralelos de los tipos de destino del servidor y del analizador se
admiten. El análisis paralelo del mismo recurso compartido o el servidor CIFS con
diversas credenciales, y del mismo servidor Network Discover/Cloud Storage
Discover no se admite.
El análisis se puede controlar (interrumpir momentáneamente, continuar o detener)
independientemente de los otros análisis que están en el servidor Network
Discover/Cloud Storage Discover. El estado de cada análisis se mantiene y se
informa por separado.
Cuando se inicia un análisis y se seleccionan varios servidores Network
Discover/Cloud Storage Discover, uno se selecciona para este análisis. El análisis
se asigna para ejecutarse en el servidor con la menor cantidad de análisis que
están en ejecución. El servidor se elige del conjunto de servidores especificado en
el destino.
Para los destinos de análisis del servidor del sistema de archivos, puede elegir
alternativamente dos o más servidores para realizar un análisis de cuadrícula. La
carga de trabajo del análisis entonces se distribuye a través de los servidores en
la cuadrícula.
Una vez que un análisis se inicia, continúa ejecutándose en el mismo servidor
hasta que el análisis se completa, se anula o se interrumpe momentáneamente.
En la reanudación, el análisis se puede asignar para ejecutarse en un servidor
distinto. Para las exploraciones de la cuadrícula, el rol de líder de la cuadrícula se
asigna a uno de los servidores en la cuadrícula basado en la disponibilidad del
servidor.
El balanceo de carga automatizado no se admite. Si un servidor Network

Discover/Cloud Storage Discover completa la ejecución de todos sus análisis, los
análisis de otros servidores no migran al servidor descargado. Sin embargo, un
análisis se puede migrar manualmente interrumpiendo momentáneamente el
análisis y reiniciándolo.
Para ejecutar varios destinos del analizador en el mismo servidor Network
Discover/Cloud Storage Discover, se deben configurar puertos separados para
cada analizador. El puerto predeterminado para un nuevo analizador es un valor
que no está siendo usado por cualquier destino del análisis.
Ver "Solución de problemas de analizadores" en la página 1939.
Para configurar el análisis paralelo
Servidores y detectores > Descripción general.
2 Seleccione un servidor Network Discover/Cloud Storage Discover para
configurar y haga clic en el nombre del servidor.
3 Haga clic en la opción Configurar que se encuentra en la parte superior.
4 A continuación, seleccione la ficha Discover.
5 Configure la cantidad máxima de análisis paralelos que deben ejecutarse en
este servidor Network Discover/Cloud Storage Discover.
El valor predeterminado para Análisis paralelos máximos es 1. La cantidad
máxima se puede aumentar en cualquier momento. Una vez que se aumenta,
se inicia cualquier análisis en cola que sea elegible para ejecutarse en el
servidor Network Discover/Cloud Storage Discover. La cantidad se puede
disminuir solamente si el servidor Network Discover/Cloud Storage Discover
no tiene ningún análisis en ejecución. Antes de que se reduzca la cantidad,
interrumpa momentáneamente o detenga todos los análisis en el servidor
Network Discover/Cloud Storage Discover.
Nota: Si planea usar la función de análisis de cuadrícula para distribuir la carga

de trabajo de análisis a través de varios servidores de detección, conserve el
valor predeterminado (1).


8 Es posible ver los análisis que están ejecutándose activamente, en cola,
programados o interrumpidos momentáneamente en cada servidor Network
Discover/Cloud Storage Discover. En la consola de administración de Enforce
Server, vaya a Administrar > Análisis de detección > Servidores de
detección.
Capítulo 60
Cómo usar complementos
de Server FlexResponse
para reparar incidentes
■ Acerca de la plataforma de Server FlexResponse
■ Uso de complementos personalizados de Server FlexResponse para reparar

incidentes
■ Implementación de un complemento de Server FlexResponse
■ Localización de incidentes para reparación manual
■ Cómo usar la acción de un complemento de Server FlexResponse para reparar

un incidente manualmente
■ Cómo verificar los resultados de una acción de respuesta ante incidentes
■ Cómo solucionar problemas en un complemento de Server FlexResponse
Acerca de la plataforma de Server FlexResponse

La interfaz para programación de aplicaciones (API) de Server FlexResponse
proporciona una plataforma flexible para la reparación de incidentes. Habilita
usuarios de Symantec Data Loss Prevention para proteger los datos mediante
acciones personalizadas de Server FlexResponse invocadas de forma automática
o manual.
Symantec proporciona un conjunto de complementos de Server FlexResponse
que realizan diversas reparaciones como poner en cuarentena datos confidenciales,
Cómo usar complementos de Server FlexResponse para reparar incidentes 1842
Acerca de la plataforma de Server FlexResponse
copiar archivos y aplicar protección o cifrado digital con derechos digitales. Los
desarrolladores independientes pueden además escribir los complementos de
Server FlexResponse para realizar reparaciones personalizadas de incidentes
usando con esta API y lenguaje de programación Java. La API de Server
FlexResponse permite a los desarrolladores generar un complemento que se puede
usar para implementar respuestas ante incidentes para su uso en reglas
automatizadas y de respuesta inteligente.
Los siguientes son ejemplos de acciones de Network Protect que se pueden
implementar mediante el desarrollo de un complemento de Server FlexResponse:
■ Cambiar listas de control de acceso (ACL) en archivos. Por ejemplo, puede
eliminar el acceso invitado a los archivos seleccionados.
■ Aplicar Administración de derechos digitales (DRM). Por ejemplo, puede aplicar
derechos digitales a documentos, de modo que se restrinja el acceso a material
confidencial a terceros externos. Estos derechos digitales pueden incluir “no
reenviar” o “no imprimir”.
■ Cifrar archivos.
■ Migrar archivos a SharePoint. La acción de protección manual puede mover
los archivos de recursos compartidos a un repositorio de SharePoint y aplicar
DRM y ACL.
■ Ejecutar el flujo de trabajo y la automatización de respuestas de reparación.
■ Usar el flujo de trabajo de automatización del proceso de negocios de Symantec
Workflow.
Los pasos siguientes forman parte de la generación, la implementación y el uso
de un complemento de Server FlexResponse:
■ Desarrollar un complemento, usar la API de Java. Esta fase incluye el diseño
y la codificación del complemento y la acción de reparación.
■ Configurar parámetros del complemento mediante la creación de propiedades

de configuración para el complemento.
Ver "Cómo crear un archivo de propiedades para configurar un complemento
de Server FlexResponse" en la página 1847.
■ Agregar los complementos al archivo de propiedades de configuración de
complementos.
■ Implementar el complemento personalizado en Enforce Server.
en la página 1844.
Uso de complementos personalizados de Server FlexResponse para reparar incidentes
■ Cargar el complemento, incluidos los metadatos del complemento.

■ Crear reglas de respuesta para acciones respuesta inteligente ante incidentes.
■ Usar la acción del complemento para reparar un incidente.

Ver "Cómo usar la acción de un complemento de Server FlexResponse para
reparar un incidente manualmente" en la página 1851.
■ Verificar los resultados de la acción del complemento de Server FlexResponse.
Ver "Cómo verificar los resultados de una acción de respuesta ante incidentes"
en la página 1853.
Nota: Los complementos de Server FlexResponse que fueron creados para las
versiones 12.x y 14.x de Symantec Data Loss Prevention son compatibles con
Symantec Data Loss Prevention 15.x.
Las secciones siguientes describen cómo implementar y configurar los

complementos previamente hechos de FlexResponse, y cómo usar acciones de
complementos personalizados en las políticas de Symantec Data Loss Prevention.
Es posible obtener algunos complementos de Server FlexResponse directamente
de Symantec. Es posible también desarrollar sus propios complementos
personalizados usando la API de Server FlexResponse. Para obtener información
sobre cómo desarrollar complementos con la API de Java, consulte la Guía para
desarrolladores de la plataforma Symantec Data Loss Prevention Server
FlexResponse.
Uso de complementos personalizados de Server

FlexResponse para reparar incidentes
Es posible usar las acciones del complemento de Server FlexResponse para reparar
de forma automática o manual los incidentes de Network Discover.
Para desarrollar una acción de reparación personalizada, consulte la Guía para
desarrolladores de plataformas de Server FlexResponse de Symantec Data Loss
Prevention.
Para reparar de forma automática o manual los incidentes con un complemento
de Server FlexResponse personalizado, es necesario realizar los pasos siguientes:
Implementación de un complemento de Server FlexResponse
Tabla 60-1
1 Implemente un complemento de Server Cada complemento de Server FlexResponse debe

FlexResponse en el equipo Enforce Server. implementarse en el equipo Enforce Server antes de poder
usar las acciones del complemento en las políticas de
Ver "Implementación de un complemento de Server

2 Crear una regla de respuesta que usa una Ver "Cómo configurar la acción de Server FlexResponse"
acción de respuesta ante incidentes de Server en la página 1458.
3 (Opcional) Use el complemento de Server Si está utilizando una acción del complemento
FlexResponse para reparar manualmente FlexResponse en una regla de respuesta inteligente, es
incidentes. necesario localizar manualmente un incidente y ejecutar
la acción de FlexResponse.
Ver "Localización de incidentes para reparación manual"

en la página 1850.
Ver "Cómo usar la acción de un complemento de Server

FlexResponse para reparar un incidente manualmente"
en la página 1851.
Este paso no es necesario si configura una regla de

respuesta automática para ejecutar una acción de Server
FlexResponse. Con las reglas de la respuesta automática,
la creación de un incidente que activa la regla de respuesta
automática también ejecuta la acción configurada de
FlexResponse.
4 Verificar los resultados. Ver "Cómo verificar los resultados de una acción de
respuesta ante incidentes" en la página 1853.
Implementación de un complemento de Server

FlexResponse
Habilite un complemento para la API de Server FlexResponse.
Para implementar un complemento de Server FlexResponse
1 Copie el archivo JAR completo de Server FlexResponse al directorio de
complementos:
SymantecDLP\Protect\plugins\
2 Configure el complemento con un archivo de propiedades.

Ver "Cómo crear un archivo de propiedades para configurar un complemento
de Server FlexResponse" en la página 1847.
3 Copie el archivo de propiedades para cada complemento al directorio donde
colocó el archivo JAR:
SymantecDLP\Protect\plugins\
4 En el archivo SymantecDLP\Protect\config\Plugins.properties, agregue

el complemento a la lista y especifique las propiedades para el complemento.
5 Asegúrese de que el usuario de protección de Symantec Data Loss Prevention
haya leído y ejecutado el acceso al archivo JAR del complemento y al archivo
de propiedades del complemento.
6 Para cargar el complemento, detenga los servicios del Vontu Incident Persister
y de Vontu Manager y reinícielos.
Cómo agregar un complemento de Server FlexResponse al archivo

de propiedades de los complementos
Agregue un complemento de Server FlexResponse al archivo Plugins.properties.
Además, modifique cualquier parámetro que sea necesario para el complemento.
Nota: Si ha instalado la licencia de ICE de Network Protect y ha configurado Enforce

Server para conectarse a la nube de Symantec ICE, puede usar la acción de regla
de respuesta SharePoint Encrypt que está disponible mediante un complemento
de Server FlexResponse para cifrado que se instala automáticamente con Symantec
Data Loss Prevention 15. No se requiere ninguna configuración o personalización
adicional para el complemento de cifrado. Ver "Configuración de Enforce Server
para conectarse a la nube de Symantec ICE" en la página 242.
Nota: El complemento SharePoint Encrypt solamente funciona si se está conectando

a su implementación de SharePoint usando la solución de SharePoint. Si está
analizando SharePoint sin usar la solución de SharePoint, no puede usar este
complemento.
Para agregar un complemento de Server FlexResponse al archivo de propiedades

1 Edite el archivo Plugins.properties.
Los valores generales se encuentran en este archivo para todos los
complementos, además de una lista de todos los complementos que están
implementados.
Este archivo está en el siguiente directorio:
SymantecDLP\Protect\config
2 Localice la línea siguiente en el archivo, que especifica los archivos JAR de

los complementos para construir en el tiempo de carga:
# Incident Response Action configuration parameters.
com.symantec.dlpx.flexresponse.Plugin.plugins =
plugin1.jar,plugin2.jar
Elimine la marca de comentario desde el principio de la línea si es necesario

y reemplace plugin1.jar,plugin2.jar con los nombres de los archivos JAR
del complemento que desee implementar. Separe varios archivos JAR con
comas.
3 Edite cualquier parámetro adicional en este archivo.
Tabla 60-2 describe las propiedades adicionales para el API de Server
FlexResponse en el archivo Plugins.properties.
4 Detenga los servicios de Vontu Incident Persister y Vontu Manager y reinícielos.
Esto carga el nuevo complemento y los otros parámetros en este archivo.
Si posteriormente cambia el archivo Plugins.properties, es necesario
reiniciar los servicios de Vontu Incident Persister y Vontu Manager para aplicar
el cambio.
En Tabla 60-2plugin-id es un identificador único del complemento dentro de este
archivo de propiedades, por ejemplo test1.
Tabla 60-2 Parámetros en el archivo Plugins.properties
Nombre de la propiedad Descripción
protect.plugins.directory El directorio en el que están instalados todos los complementos de

com.symantec.dlpx.flexresponse.Plugin.plugins Una lista de archivos JAR separados por comas (o de títulos JAR)
que se cargarán en el contenedor del complemento de Server
FlexResponse.
Cada complemento en esta lista corresponderá a una acción de la
regla de respuesta en la consola de administración de Enforce
Server.
El contenedor en el cual se implementa el archivo JAR incluye todas

las clases públicas de JRE proporcionadas por el JVM instalado
con Symantec Data Loss Prevention. El contenedor además incluye
todas las clases de API de FlexResponse descritas en este
documento (clases en la jerarquía de paquete com.symantec.dlpx).
El código del complemento FlexResponse puede tener
dependencias en otros archivos JAR que no sean proporcionados
por el contenedor de complementos. Ponga cualquier archivo JAR
externo que necesite en el directorio \plugins de Enforce Server
donde se implementa el complemento FlexResponse. A
continuación, relacione el archivo JAR con esta propiedad.
com.vontu.enforce.incidentresponseaction. El número máximo de incidentes que se pueden seleccionar del

informe de la lista de incidentes para una invocación de regla de
IncidentResponseActionInvocationService.
Respuesta inteligente de Server FlexResponse.
maximum-incident-batch-size
En esta versión, el valor máximo de este parámetro no puede

superar a 1000.
com.vontu.enforce.incidentresponseaction. No cambie el valor de este parámetro. Este parámetro está

reservado para el desarrollo y la depuración.
Use la propiedad timeout en el archivo de propiedades del
keep-alive-time
complemento individual para configurar el tiempo de espera para
los subprocesos de ejecución del complemento.
com.vontu.enforce.incidentresponseaction. El tiempo de espera del subproceso de ejecución para el ejecutor

del subproceso de serie (global).
Consulte la propiedad is-serialized en el archivo de propiedad
serial-timeout
del complemento individual para obtener información.
Cómo crear un archivo de propiedades para configurar un

complemento de Server FlexResponse
La información y los parámetros específicos para cada complemento de Server
FlexResponse están en el archivoplug-in-name.properties.
Cada complemento debe tener un archivo de propiedades independiente.

Un archivo de propiedades del complemento individual no es necesario si el
complemento cumple con las condiciones siguientes:
■ No necesita propiedades personalizadas.
■ Proporciona el nombre para mostrar y el identificador del complemento en la
implementación de la clase de metadatos del complemento.
■ No necesita una credencial almacenada.
Nota: Si ha instalado la licencia de ICE de Network Protect y ha configurado Enforce

Server para conectarse a la nube de Symantec ICE, puede usar la acción de regla
de respuesta SharePoint Encrypt que está disponible mediante un complemento
de Server FlexResponse para cifrado que se instala automáticamente con Symantec
Data Loss Prevention 15.0 y versiones posteriores. No se requiere ninguna
configuración o personalización adicional para el complemento de cifrado. Ver
"Configuración de Enforce Server para conectarse a la nube de Symantec ICE"
en la página 242.
Para configurar un complemento de Server FlexResponse

1 Cree un archivo de texto que contenga las propiedades para cada complemento
de Server FlexResponse.
Cada archivo JAR tiene un archivo de propiedades asociado opcional con el
mismo nombre de base que el archivo JAR. Estos archivos se encuentran en
el directorio SymantecDLP\Protect\plugins.
Por ejemplo, si tiene un archivo plugin1.jar, es necesario crear un archivo
plugin1.properties.
2 En este archivo, especifique las claves y los valores de todos los parámetros
para el complemento:
display-name=plugin 1
plugin-identifier=IncidentResponseAction1
Para actualizar las propiedades, debe detener los servicios Vontu Manager y
Vontu Incident Persister y reiniciarlos para cargarlos en los nuevos valores.
3 Asegúrese de que el usuario protegido de Symantec Data Loss Prevention
haya leído y ejecutado el acceso al archivo de propiedades del complemento.
Tabla 60-3 describe las propiedades en el archivo plug-in-name.properties.
Tabla 60-3 Parámetros en el archivo de propiedades del complemento

personalizado
display-name El nombre de este complemento.
Este nombre se muestra en el menú desplegable elegir un complemento, cuando

selecciona la acción Todos: Server FlexResponse en una regla de respuesta
inteligente o una regla de respuesta automática.
La práctica recomendada consiste en definir esta propiedad en el archivo de

propiedades del complemento.
Si cambia el valor de este nombre en el archivo de propiedades una vez que carga
el complemento, debe reiniciar los servicios Vontu Incident Persister y Vontu Manager
para cargarlos en el nuevo nombre.
Alternativamente, este valor se puede especificar en la clase de metadatos.
Este valor es obligatorio y debe especificarse en al menos un lugar, en el archivo de

propiedades de configuración o la clase de metadatos del complemento.
En entornos internacionales, este nombre para mostrar puede estar en el idioma

local.
plugin-identifier El identificador para este complemento. Este identificador debe ser único para todos
los complementos de Server FlexResponse en este Enforce Server.
La práctica recomendada consiste en definir esta propiedad en el archivo de

propiedades del complemento.
Alternativamente, este valor se puede especificar en la clase de metadatos.
Este valor es obligatorio y debe especificarse en al menos un lugar, en el archivo de

propiedades de configuración o la clase de metadatos del complemento.
Si asigna cualquier regla de respuesta a este complemento de Server FlexResponse,

no cambie este identificador en el archivo de propiedades.
credential-reference.credential Especifica una referencia a una credencial determinada para autenticar el acceso,
por ejemplo a una base de datos de inventario. El valor de esta propiedad debe
hacer referencia a una credencial determinada que se definió en Enforce Server.
credential-reference en el nombre de la propiedad proporciona un método para
distinguir varias credenciales en el archivo de propiedades.
inventory-credential.credential=
InventoryDB1
Localización de incidentes para reparación manual
nombre personalizado Estos parámetros personalizados opcionales se requieren para pasar información
a su complemento. Estos parámetros se pasan a cada invocación del complemento
Ejemplo:
y pueden opcionalmente ponerse a su disposición cuando se construye este
test1.value.1 complemento.
test2.value.1
timeout Parámetro opcional con tiempo de espera en milisegundos para ejecutar subprocesos
de este complemento.
La opción predeterminada es 60000 (un minuto).
Si alcanza el valor del tiempo de espera, la interfaz de usuario muestra el estado del
complemento de Server FlexResponse como erróneo y el historial del incidente se
actualiza con un mensaje de tiempo de espera.
Si cambia el valor de esta propiedad en el archivo de propiedades después de cargar

el complemento, debe detener los servicios Vontu Incident Persister y Vontu Manager
y reiniciarlos.
maximum-thread-count Parámetro opcional con el número de subprocesos paralelos disponibles para la

ejecución de este complemento. Este parámetro se ignora si se fija en está
serializado.

y reiniciarlos.
is-serialized El valor de este parámetro puede ser true o false. Configure este parámetro opcional
en true si a esta ejecución del complemento se deben asignar números de serie (un
subproceso por vez). Todos los complementos a los que se les asigna un número
de serie comparten un único subproceso de ejecución. Si configura este parámetro,
se omite timeout y maximum-thread-count.
La opción predeterminada es false.

y reiniciarlos.
Localización de incidentes para reparación manual

Para ejecutar manualmente la acción de complementos configurada en una regla
de respuesta inteligente, use los informes en Enforce Server para seleccionar
incidentes para su reparación.
Cómo usar la acción de un complemento de Server FlexResponse para reparar un incidente manualmente
Para localizar incidentes para reparación manual

2 Haga clic en Incidentes > Discover.
3 Seleccione un incidente (o varios) para reparación. Es posible usar los informes
o filtros de informes estándar para limitar la lista de incidentes.
4 Es posible seleccionar un grupo de incidentes o un incidente para la reparación:
■ Desde la lista de incidentes, marque el cuadro situado a la izquierda de
cada incidente para seleccionar ese incidente para la reparación. Es posible
seleccionar varios incidentes.
■ Desde la lista de incidentes, seleccione todos los incidentes en esta página
haciendo clic en la casilla de selección situada a la izquierda del
encabezado del informe.
■ Desde la lista de incidentes, seleccione todos los incidentes en el informe
haciendo clic en la opción de Seleccionar todo en la parte superior derecha
del informe.
■ Haga clic en un incidente para mostrar los Detalles del incidente y
seleccione ese incidente para una posible reparación.
Una vez que haya seleccionado los incidentes para la reparación, se puede
repararlos manualmente.
Ver "Cómo usar la acción de un complemento de Server FlexResponse para
reparar un incidente manualmente" en la página 1851.
Cómo usar la acción de un complemento de Server

FlexResponse para reparar un incidente manualmente
Una vez que haya seleccionado un incidente o un grupo de incidentes para reparar,
puede invocar la acción de una regla de Respuesta inteligente. Esta acción usa
su complemento personalizado de Server FlexResponse para reparar los incidentes
manualmente.
Cómo usar la acción de un complemento de Server FlexResponse para reparar un incidente manualmente
Para reparar un único incidente

1 Esté familiarizado con las reglas de respuesta que están disponibles para
reparar manualmente un incidente.
Haga clic en Administrar > Políticas > Reglas de respuesta.
La columna de Condiciones indica qué reglas se pueden ejecutar
manualmente.
2 Seleccione un único incidente y muestre Detalles del incidente.
Ver "Localización de incidentes para reparación manual" en la página 1850.
3 En la pantalla Detalles del incidente situada sobre el número del incidente,
aparecerán las opciones de reparación. Estas opciones muestran los nombres
de sus reglas de respuesta.
4 Haga clic en un botón del complemento de reparación de Server FlexResponse
para realizar la acción de reparación.
5 Consulte la acción de reparación. Haga clic en Aceptar.
6 Verifique que la reparación sea completa. Algunas acciones de reparación
pueden tardar un tiempo; por ejemplo, el cifrado de un archivo grande. Para
ver actualizaciones de la interfaz de usuario, haga clic en el icono de actualizar
en la esquina superior derecha del informe. Actualice la página hasta que se
vea el resultado correcto (verde) o el icono de error (rojo) en los detalles del
incidente.
en la página 1853.
Para reparar un grupo seleccionado de incidentes
1 Seleccione incidentes de un informe de lista de incidentes. Compruebe el
cuadro a la izquierda de los incidentes seleccionados.
Alternativamente, se puede seleccionar todos los incidentes en una página o
en un informe.
Ver "Localización de incidentes para reparación manual" en la página 1850.
2 Acciones del incidente se convierte en un menú de lista desplegable.
3 Desde el menú de lista desplegable Acciones del incidente, seleccione
Ejecutar respuesta inteligente y, a continuación, seleccione su Server
Cómo verificar los resultados de una acción de respuesta ante incidentes
4 Consulte la acción de reparación. Haga clic en Aceptar.

5 Verifique que la reparación sea completa. Algunas acciones de reparación
pueden tardar un tiempo, en especial, si se seleccionaron varios incidentes.
Para ver actualizaciones de la interfaz de usuario, haga clic en el icono de
actualizar en la esquina superior derecha del informe. Actualice la página hasta
que se vea el resultado correcto (verde) o el icono de error (rojo) en los detalles
del incidente.
en la página 1853.
Cómo verificar los resultados de una acción de

respuesta ante incidentes
Es posible verificar que una acción de reparación se haya completado mediante
la ficha Historial de un incidente.
Para verificar los resultados de una acción de respuesta ante incidentes para un
único incidente
Busque los iconos de resultado correcto (verde) o con error (rojo) en el informe
de incidentes.
3 Para obtener más información sobre los resultados, haga clic en un incidente
para mostrar los Detalles del incidente.
4 Haga clic en la ficha Historial.
5 Consulte los mensajes de la reparación de su complemento. Debería aparecer
un mensaje que indique que se invocó su complemento y otro mensaje con
el resultado correcto o el error. Pueden aparecer otros mensajes, con el
resultado del estado o de la reparación.
Cómo solucionar problemas en un complemento de Server FlexResponse
Para verificar los resultados de una acción de respuesta ante incidentes para un
grupo de incidentes
3 Use los resúmenes y filtros del informe para mostrar el estado de protección
o prevención de los incidentes.
Los informes personalizados también se pueden crear para mostrar el estado
de protección o prevención, o los valores de atributos personalizados.
en la página 1597.
Cómo solucionar problemas en un complemento de

Server FlexResponse
Tabla 60-4 tiene inconvenientes y sugerencias sobre la solución de problemas
para diagnosticar problemas de Server FlexResponse.
Cómo solucionar problemas en un complemento de Server FlexResponse
Tabla 60-4 Sugerencias de solución de problemas
Problema Sugerencias
Durante la creación de una regla de Este problema sucede porque el complemento no

respuesta inteligente, el menú de la lista se cargó.
desplegable no muestra la acción
Al final del archivo Plugins.properties,
Todos: Server FlexResponse.
especifique el nombre del archivo JAR del
Durante la creación de una regla de complemento en la lista de complementos.
respuesta automática, el menú de la Asegúrese de que esta línea no tenga comentarios.
lista desplegable no muestra la acción
Reinicie los servicios de Vontu Incident Persister
y Vontu Manager para cargar el complemento.
Si tiene varios complementos, el
Es posible que el código de complemento y el
nombre del complemento no se muestra
archivo de propiedades del complemento no
en el menú de la lista desplegable
coincidan apropiadamente. Consulte el registro de
Tomcat en busca de errores.
El archivo de registro es localhost.date.log.

Este archivo de registro está en
SymantecDLP\Protect\logs\tomcat.
Para verificar que el complemento esté cargado,

busque el evento del sistema Enforce (2122). Este
evento enumera todos los complementos que se
cargan.
El complemento no se ejecuta Compruebe el historial de instantánea de incidente

correctamente. para mensajes del complemento y del marco del
complemento.
Para respuestas inteligentes, consulte el registro

de Tomcat en busca de errores. Este registro está
en SymantecDLP\Protect\logs\tomcat. El
archivo de registro es localhost.date.log.
Para respuestas automáticas, consulte el archivo

de registro de depuración
VontuIncidentPersister.log.
Capítulo 61
Cómo configurar análisis
del almacenamiento en la
nube de Box usando un
servidor de detección en las
instalaciones
■ Configurar los análisis de los destinos de almacenamiento en la nube de Box

usando un servidor de detección en las instalaciones
■ Configurar los análisis de los destinos de almacenamiento en la nube de Box
■ Optimizar el análisis de almacenamiento en la nube de Box
■ Configuración de las opciones de reparación para los destinos de

almacenamiento en la nube de Box
Configurar los análisis de los destinos de

almacenamiento en la nube de Box usando un servidor
de detección en las instalaciones
Es posible analizar los destinos de almacenamiento en la nube de Box con Cloud
Storage Discover para detectar los datos confidenciales. Es posible analizar los
archivos de usuario y las carpetas, las carpetas colaborativas y los archivos o
Cómo configurar análisis del almacenamiento en la nube de Box usando un servidor de detección en las instalaciones 1857
Configurar los análisis de los destinos de almacenamiento en la nube de Box
carpetas con vínculos compartidos. Es posible configurar reglas de respuesta

automática para poner en cuarentena y/o aplicar etiquetas visuales a los archivos
confidenciales detectados en sus destinos del almacenamiento en la nube de Box.
Para configurar el análisis de los destinos del almacenamiento en la nube de Box,
complete el proceso siguiente:
Tabla 61-1 Configurar un análisis del almacenamiento en la nube de Box usando

un servidor de detección en las instalaciones
1 Vaya a Administrar > Análisis Ver "Configurar los análisis de los destinos de almacenamiento en
de detección > Destinos de la nube de Box" en la página 1857.
Discover para crear un nuevo
destino y configurar el análisis
de almacenamiento en la nube
de Box.
2 Configure cualquier opción de Ver "Opciones de configuración de destino de análisis de Network

configuración del destino de Discover/Cloud Storage Discover" en la página 1790.
análisis adicional.
3 Para aplicar una etiqueta visual Ver "Configuración de las opciones de reparación para los destinos
a los archivos confidenciales o de almacenamiento en la nube de Box" en la página 1861.
a los archivos confidenciales en
cuarentena, en la nube o en las
instalaciones, configure Network
Protect.
4 Inicie el análisis de Seleccione el destino del análisis de la lista de destinos y después

almacenamiento en la nube de haga clic en el icono de inicio.
Box.
Vaya a Administrar > Análisis

de detección > Destinos de
Discover.
5 Verifique que el análisis se esté Ver "Acera de la lista de destinos de análisis de Network
ejecutando correctamente. Discover/Cloud Storage Discover" en la página 1816.
Configurar los análisis de los destinos de

almacenamiento en la nube de Box
Antes de ejecutar un análisis, debe configurar un destino usando el procedimiento
siguiente.
Para configurar un nuevo destino de almacenamiento en la nube de Box

tipo de destino de Box (servidor de detección en las instalaciones).
3 En la ficha General, escriba el Nombre de este destino de Box.
Escriba un nombre único para el destino de hasta 255 caracteres.
Es posible definir los grupos de políticas en la página Lista de grupo de
políticas.
5 Especifique las opciones de programación.
Elija Enviar trabajo de análisis según programación a fin de configurar una
programación para analizar el destino especificado. Seleccione una opción
de la lista desplegable de programación para mostrar campos adicionales.
Elija Pausar análisis entre estos horarios para interrumpir automáticamente
el análisis durante el intervalo especificado. Es posible anular la ventana de
pausa de un destino de análisis mediante la pantalla Destinos de Discover y
haciendo clic en el icono de inicio para la entrada de destino. La ventana de
interrupción permanece intacta, y cualquier análisis futuro que se ejecute en
la ventana podrá interrumpirse según lo especificado. Es posible también
reiniciar un análisis interrumpido haciendo clic en el icono de continuación en
la entrada de destino.
6 En la ficha Destino, seleccione el servidor de Discover (o varios servidores
de Discover) donde desee ejecutar el análisis.
Si selecciona más de un servidor, Symantec Data Loss Prevention selecciona
automáticamente uno de los servidores cuando el análisis se inicia.

para los nuevos destinos.
■ Si ha cambiado la política u otras definiciones en un análisis existente, se
puede configurar el análisis siguiente como análisis completo. Seleccione
la siguiente opción:
Analizar todos los elementos para el próximo análisis. Los análisis
subsiguientes serán incrementales.
■ Si desea analizar siempre todos los elementos en este destino, seleccione
Analizar siempre todos los elementos (análisis completo)
8 En la ficha Autorización, haga clic en Autorizar.

En el cuadro de diálogo aparece Iniciar sesión para conceder acceso a
Box.
9 Escriba las credenciales de autorización de Box para este análisis. Es necesario
usar las credenciales con el administrador de Box o los privilegios de
administrador conjunto para el contenido que desea analizar. Se deben además
tener permisos para descargar los archivos que desea analizar.
10 Haga clic en Otorgar para conceder acceso a Symantec Data Loss Prevention
a las cuentas de almacenamiento en la nube de Box.
11 Haga clic en Aceptar.
12 En la ficha Filtros, especifique los filtros para Usuarios/Grupos, Colaboración
de carpetas, Vínculos compartidos, Incluir y Tipo de archivo excluido,
Tamaño del archivo y Fecha de archivo.
■ Usuarios/Grupos : seleccione Analizar todo para analizar todos los
usuarios y grupos para este destino. Seleccione Análisis seleccionado
para analizar solamente los usuarios y los grupos especificados. Cargue
un archivo CSV o de texto (separado por coma o nueva línea) para los
usuarios y los grupos que desea analizar.
■ Colaboración de carpetas : seleccione una opción para analizar las
carpetas colaborativas de la lista desplegable en esta sección:
■ Analizar todo : seleccione esta opción para analizar todas las carpetas
para este destino.
■ Analice solamente las carpetas privadas : seleccione esta opción
para analizar solamente las carpetas privadas, no colaborativas.
■ Analizar solamente las carpetas de colaboración (externas o

internas) : seleccione esta opción para analizar todas las carpetas
colaborativas para este destino.
■ Analizar solamente las carpetas de colaboración : seleccione esta
opción para analizar solamente las carpetas colaborativas externas
para este destino.
■ Vínculos compartidos : seleccione Analizar solo vínculos compartidos

para analizar si desea solamente analizar los archivos o las carpetas con
los vínculos compartidos. Es posible seleccionar estas opciones adicionales:
■ No protegido por contraseña: seleccione esta opción para analizar
solamente los archivos y las carpetas con los vínculos compartidos que
no están protegidos por contraseña.
■ Sin fecha de caducidad : seleccione esta opción para analizar
no tienen ninguna fecha de caducidad.
■ Con permisos de descarga : seleccione esta opción para analizar
tienen permisos de la descarga.
■ Tipo de archivo: especifique la extensión para los tipos de archivo que

desee incluir o excluir de su análisis, tales como *.dwg o *.csv.
■ Filtros de tamaño de archivo : escriba los límites más bajos y más altos
del tamaño del archivo que desee omitir en su análisis, en bytes, kilobytes
o megabytes.
■ Filtros de fecha de archivo : escriba un rango de fechas para los archivos
y las carpetas agregados o modificados que desee analizar.
13 En la ficha Avanzado, seleccione opciones para optimizar el análisis.

Ver "Optimizar el análisis de almacenamiento en la nube de Box"
en la página 1861.
14 En la ficha Proteger, habilite las opciones de reparación de Network Protect
para este destino.
Ver "Configuración de las opciones de reparación para los destinos de
almacenamiento en la nube de Box" en la página 1861.
Optimizar el análisis de almacenamiento en la nube de Box
Optimizar el análisis de almacenamiento en la nube

de Box
Para optimizar los análisis de su destino del almacenamiento en la nube de Box,
se pueden configurar las opciones de restricción o configurar un umbral del incidente
para analizar ( Análisis de inventario ).
Para restringir un análisis del destino del almacenamiento en la nube de Box
1 Vaya a la ficha Opciones avanzadas de la definición de destino.
2 En el campo Cantidad máxima de archivos por minuto, escriba el número
máximo de archivos que se procesarán por el minuto.
3 En el campo Tamaño máximo analizado por minuto, escriba la cantidad
máxima de datos que se procesarán por minuto. Seleccione bytes, kilobytes
(KB) o megabytes (MB) de la lista desplegable.
Para establecer un umbral de incidentes
2 En el campo Umbral de incidente escriba el número máximo de incidentes
que se crearán por usuario.
Configuración de las opciones de reparación para los

destinos de almacenamiento en la nube de Box
Es posible aplicar las etiquetas visuales como metadatos al contenido confidencial
almacenado en su destino de almacenamiento en la nube de Box. La etiqueta
visual ayuda a sus usuarios de almacenamiento en la nube de Box a buscar y
reparar automáticamente los datos confidenciales. Por ejemplo, puede ser
recomendable que la etiqueta especifique "Este contenido se considera
confidencial". Es posible también recordar las funciones de seguridad adicionales
de Box, tales como agregar la protección mediante contraseña a cualquier vínculo
de descarga.
También es posible poner en cuarentena el contenido confidencial almacenado en
su destino de almacenamiento en la nube de Box. Es posible poner en cuarentena
el contenido confidencial en Box o en un recurso compartido de archivos en las
instalaciones. Opcionalmente, es posible elegir dejar un archivo marcador en lugar
del contenido en cuarentena.
Para reparar los incidentes del almacenamiento en la nube de Box, es necesario
tener una política y una regla de respuesta configuradas en la consola de
Configuración de las opciones de reparación para los destinos de almacenamiento en la nube de Box
Para configurar la reparación para el almacenamiento en la nube de Box

1 Cree una política con una regla de respuesta. Vaya a Administrar > Políticas
> Reglas de respuesta y haga clic en Agregar regla de respuesta.
2 Seleccione Respuesta automática.
4 Para Acción, seleccione una de las siguientes opciones o ambas:
■ Almacenamiento en la nube: Agregar etiqueta visual
El sistema muestra el campo Agregar etiqueta visual. Escriba el texto
que desea mostrar en la etiqueta para sus usuarios.
Ver "Configurar la acción Almacenamiento en la nube: Agregar etiqueta
visual" en la página 1466.
■ Almacenamiento en la nube: Cuarentena
El sistema muestra el campo Almacenamiento en la nube: Cuarentena.
Si desea dejar un archivo marcador en lugar del archivo en cuarentena,
seleccione Dejar archivo marcador en el lugar del archivo reparado e
introduzca el texto para el archivo marcador en el cuadro Texto marcador.
También es posible aplicar una etiqueta visual al archivo marcador.
Ver "Configuración de la acción de almacenamiento en la nube: cuarentena"
en la página 1467.

6 Defina una nueva política o edite una política existente.
7 Haga clic en la ficha Respuesta.
8 En el menú desplegable, seleccione una de las reglas de respuesta que creó
previamente.
La regla de respuesta seleccionada especifica la respuesta automática cuando
esta política acciona un incidente.
Varias reglas de respuesta con diversas condiciones pueden existir para una
política.
10 Cree un nuevo destino de Network Discover de almacenamiento en la nube
de Box o edite un destino existente.
Ver "Configurar los análisis de los destinos de almacenamiento en la nube de
Box" en la página 1857.
Configuración de las opciones de reparación para los destinos de almacenamiento en la nube de Box
11 Haga clic en la ficha Proteger en la página de destino Box.

12 En Protección de reparación permitida, seleccione Cuarentena y/o Habilitar
todas las reglas de respuesta de etiquetas al analizar, según sea necesario.
13 En Detalles de cuarentena, seleccione una de las siguientes opciones:
■ Poner en cuarentena en la nube
Opcional: Para poner en cuarentena el contenido confidencial en la nube,
introduzca Usuario de Box y Poner en cuarentena la subcarpeta en los
campos apropiados. La cuenta Usuario de Box puede ser la cuenta de
análisis o una cuenta de usuario no administrativa.
Si selecciona Poner en cuarentena en la nube y deja estos campos en
blanco, Symantec Data Loss Prevention usa la cuenta de análisis como la
cuenta de cuarentena.
Especifique una subcarpeta en su cuenta de cuarentena de Box
introduciéndola en el campo Poner en cuarentena la subcarpeta.
■ Poner en cuarentena en las instalaciones
Para poner en cuarentena el contenido confidencial en un recurso
compartido de archivos en las instalaciones, introduzca la ruta y las
credenciales del usuario para el recurso compartido de archivos.

Capítulo 62
Cómo configurar análisis de
archivos compartidos
■ Cómo configurar análisis de servidor de sistemas de archivos
■ Destinos admitidos de sistema de archivos
■ Detección automática de servidores y recursos compartidos antes de la

configuración de un destino del sistema de archivos
■ Detección automatizada de archivos compartidos abiertos
■ Acerca de realizar un seguimiento de forma automática del estado de la

reparación de incidentes
■ Exclusión de carpetas internas de DFS
■ Cómo configurar análisis de las carpetas personales de Microsoft Outlook

(archivos .pst)
■ Configurar los análisis de los sistemas de archivos
■ Optimizar el análisis de destino del sistema de archivos
■ Configuración de Network Protect para archivos compartidos
Cómo configurar análisis de servidor de sistemas de

archivos
Network Discover analiza servidores de archivos de red y recursos compartidos
("recursos compartidos") como unidades de disco o directorios para detectar datos
confidenciales. Network Discover admite servidores de archivos compatibles con
Cómo configurar análisis de archivos compartidos 1865
Cómo configurar análisis de servidor de sistemas de archivos
CIFS y archivos compartidos con CIFS, NFS, DFS o cualquier otro cliente. Network
Discover puede además analizar las carpetas personales de Microsoft Outlook
(archivos .pst) en los archivos compartidos de red.
Para configurar el análisis de sistemas de archivos, complete el proceso siguiente:
Tabla 62-1 Cómo configurar un análisis del sistema de archivos
1 Verifique que su sistema de archivos de res esté en la lista de destinos Ver "Destinos admitidos de sistema
admitidos. de archivos" en la página 1866.
2 Opcional: Ejecute un análisis de Enumeración de raíz de contenido para Ver "Detección automática de
detectar de forma automática las raíces de contenido del sistema de servidores y recursos compartidos
archivos dentro de su dominio. antes de la configuración de un
destino del sistema de archivos"
en la página 1866.
3 Vaya a Administrar > Análisis de detección > Destinos de Discover Ver "Configurar los análisis de los
para crear un nuevo destino para un sistema de archivos y para sistemas de archivos"
configurar el análisis de sistemas de archivos. en la página 1880.
4 Configure cualquier opción de configuración del destino de análisis Ver "Opciones de configuración de
adicional. destino de análisis de Network
Discover/Cloud Storage Discover"
Para analizar las carpetas personales de Microsoft Outlook, verifique
en la página 1790.
que la opción esté configurada.
Ver "Cómo configurar análisis de
las carpetas personales de
Microsoft Outlook (archivos .pst)"
en la página 1879.
5 Para mover, colocar en cuarentena o cifrar archivos, configure Network Ver "Configuración de Network
Protect. Protect para archivos compartidos"
Nota: Las funciones de cifrado están disponibles solamente después en la página 1887.
de configurar Enforce Server para conectarse a Symantec ICE.
6 Inicie el análisis del sistema de archivos. Seleccione el destino del análisis

de la lista de destinos y después
Vaya a Administrar > Análisis de detección > Destinos de Discover.
haga clic en el icono de inicio.
7 Verifique que el análisis se esté ejecutando correctamente. Ver "Acera de la lista de destinos
de análisis de Network
Discover/Cloud Storage Discover"
en la página 1816.
Destinos admitidos de sistema de archivos
Destinos admitidos de sistema de archivos

El destino del sistema de archivos admite el análisis de los sistemas de archivos
de red siguientes.
Servidores de archivos admitidos:
■ Servidores CIFS solamente
Uso compartido de archivos admitido:
■ CIFS en Windows Server 2008 R2, 2012, 2012 R2 y 2016
■ NFS en Red Hat Enterprise Linux 5.x, 6.x y 7.x
■ Análisis de DFS en Windows 2008 R2, 2012, 2012 R2 y 2016.
Nota: DFS no se admite con Network Protect.
Además, el destino de los sistemas de archivos admite el análisis de los siguientes

tipos de archivos:
■ Carpetas personales de Microsoft Outlook (archivos .pst) creadas con Outlook
2007, 2010, 2013 y 2016.
El servidor Network Discover que analiza este destino se debe ejecutar en un
sistema operativo Windows y debe tener instalado Outlook 2007 o posterior en
el sistema.
Ver "Cómo configurar análisis de las carpetas personales de Microsoft Outlook
(archivos .pst)" en la página 1879.
■ Los sistemas de archivos en los sistemas UNIX, incluso si no se exponen como
recursos compartidos de CIFS o NFS.
Use el protocolo SFTP para proporcionar un método similar a los análisis de
archivos compartidos.
Además, es posible analizar el sistema de archivos local en un servidor Network
Discover de Linux detallando el nombre de ruta en la raíz de contenido. Por
ejemplo, puede escribir /home/myfiles.
Detección automática de servidores y recursos

compartidos antes de la configuración de un destino
del sistema de archivos
La detección automática de servidores y recursos compartidos (Enumeración de
raíz de contenido) le permite localizar los servidores y los recursos compartidos
Detección automática de servidores y recursos compartidos antes de la configuración de un destino del sistema de
archivos
dentro de un dominio y filtrarlos por intervalo de IP o el nombre del servidor. La

detección de archivos compartidos funciona solamente para los servidores de
archivos que compatibles con CIFS, incluidos aquellos con archivos compartidos
de DFS. Los análisis de Enumeración de raíz de contenido presentan una lista de
servidores y de recursos compartidos que se puedan usar directamente en los
destinos del sistema de archivos para el análisis de detección o exportarlos a un
archivo CSV. Un análisis de Enumeración de raíz de contenido no analiza el
contenido de los servidores y de los recursos compartidos que detecta, pero le
permite encontrar los servidores y los recursos compartidos en su dominio y
configurar el análisis automatizado de ellos.
Los análisis de Enumeración de raíz de contenido requieren una conexión del
servidor del directorio LDAP. Además, Enforce Server debe tener acceso a todos
los servidores y recursos compartidos que desee analizar.
Trabajo con el análisis de Enumeración de raíz de contenido

Siga estos procedimientos para crear, iniciar y detener los análisis de Enumeración
de raíz de contenido, y ver las raíces de contenido detectadas.
Para crear un análisis de Enumeración de raíz de contenido
1 Configure su conexión de servidor del directorio LDAP. Asegúrese de que sus
credenciales del directorio hayan leído y enumerado los privilegios para todos
los objetos informáticos que desea analizar.
Análisis de detección > Enumeración de raíz de contenido.
3 Haga clic en Agregar análisis. La página Configuración de análisis de
enumeración de raíz de contenido aparece.
4 En la sección General, especifique un nombre para su análisis en el campo
Nombre.
5 Seleccione una conexión al directorio.
6 Especifique su preferencia de ¿Desea enumerar los recursos compartidos?
:
■ Para enumerar servidores y archivos compartidos, haga clic en Sí.
■ Para detallar solamente servidores, haga clic en No, solo enumerar
servidores.
archivos
7 En la sección Filtros, seleccione por lo menos un filtro para su análisis:

■ Intervalo de IP : Especifique un intervalo de IP para realizar un análisis
en busca de raíces de contenido.
■ Nombres del servidor : Especifique uno o más filtros de nombre del
servidor. Use el menú desplegable para perfeccionar su filtro.

Para iniciar o detener un análisis de Enumeración de raíz de contenido
2 Seleccione análisis o los análisis que desee iniciar o detener.
■ Para iniciar un análisis, haga clic en Iniciar.
■ Para detener un análisis en ejecución, haga clic en Detener.
Para ver las raíces de contenido detectadas

2 Haga clic en el vínculo en la columna Raíces de contenido de su análisis
deseado para ver una lista de raíces de contenido.
3 Para exportar la lista de raíces de contenido en el formato .csv, haga clic en
Exportar a CSV en el cuadro de diálogo Raíces de contenido.
Es posible usar el archivo .csv exportado para rellenar un destino de Discover
del sistema de archivos.
Opciones de configuración para los análisis de Enumeración

de raíz de contenido
Es posible encontrar las opciones de configuración para los análisis de Enumeración
de raíz de contenido en el archivo Manager.properties en el directorio de
configuración: \SymantecDLP\Protect\config en las plataformas de Microsoft
Windows, /opt/SymantecDLP/Protect/config en las plataformas de Linux. Esta
configuración predeterminada debe realizarse bien en la mayoría de los casos.
archivos
Tabla 62-2
Propiedades de configuración Valor predeterminado Descripción
content_root_enumeration.scanResultThreshold 10000 El número máximo

de raíces de
contenido que se
detectarán en un
análisis de
Enumeración de raíz
de contenido. Si el
número de raíces de
contenido en el
análisis excede el
umbral de
resultados,
Symantec Data Loss
Prevention muestra
un error. Este
umbral evita que sus
análisis de
de contenido
devuelvan un
número excesivo de
raíces de contenido
para usar en un
destino de detección
del sistema de
archivos.
content_root_enumeration.maximumParallelScanCount 5 El número máximo

de análisis de
de contenido que
Symantec Data Loss
Prevention puede
ejecutar
paralelamente. Si se
alcanza la cantidad
máxima de análisis
paralela, los análisis
adicionales se
ponen en cola.
archivos
Propiedades de configuración Valor predeterminado Descripción
content_root_enumeration.scan_log.location Windows: La ubicación de los

\SymantecDLP\Protect\logs archivos de registro
de detalles de
Linux:
análisis de
/opt/SymantecDLP/Protect/logs
de contenido.
content_root_enumeration.scan_log.limit 5000000 El tamaño máximo,

en bytes, de cada
archivo de registro
de detalles de
análisis.
content_root_enumeration.scan_log.count 15 El número máximo

de archivos de
registro de detalles
de análisis en uso
en un momento
dado.
content_root_enumeration.scan_log.append true El valor booleano

que especifica si
Symantec Data Loss
Prevention agrega o
no los resultados del
registro al final de
cada archivo de
registro de detalles
de análisis.
content_root_enumeration.scan_log.encoding UTF-8 El conjunto de

caracteres que usa
Symantec Data Loss
Prevention al
escribir en el archivo
de registro de
detalles de análisis.
Solución de problemas de análisis de Enumeración de raíz de

contenido
Es posible ver las advertencias y los archivos de registro de análisis para los análisis
de Enumeración de raíz de contenido. Estas advertencias y registros pueden ser
Detección automatizada de archivos compartidos abiertos
útiles para solucionar problemas en sus análisis de Enumeración de raíz de

contenido.
Las advertencias de análisis de Enumeración de raíz de contenido son errores no
terminales, tales como tiempos de espera de conexión o problemas del DNS, que
ocurren durante el análisis. Si tales errores ocurren durante un análisis de
Enumeración de raíz de contenido, un vínculo aparece en la columna Alertas en
la página Administrar > Análisis de detección > Enumeración de raíz de
contenido para ese análisis. Es posible ver estas advertencias siguiendo este
procedimiento:
Para ver las advertencias de análisis de Enumeración de raíz de contenido
2 Haga clic en el vínculo en la columna Alertas para las advertencias de análisis
que desee ver. El cuadro de diálogo Advertencias de análisis aparece.
3 Para exportar la lista de advertencias de análisis a un archivo .csv, haga clic
en Exportar a CSV en el cuadro de diálogo Advertencias de análisis.
Los archivos de registro están disponibles en el directorio de registros:
\SymantecDLP\Protect\logs en las plataformas de Microsoft Windows,
/opt/SymantecDLP/Protect/logs en las plataformas de Linux. Los registros de
Enumeración de raíz de contenido se nombran usando este formato:
ContentRootEnumerationScanDetail-nombre de análisis0.log. Los archivos
de registro de Enumeración de raíz de contenido enumeran todas las raíces de
contenido detectadas, así como todas las advertencias y los errores que ocurren
Detección automatizada de archivos compartidos

abiertos
Symantec Data Loss Prevention puede detectar automáticamente recursos
compartidos abiertos en un servidor CIFS especificado. Si especifica la ruta UNC
o la URL de SMB, Symantec Data Loss Prevention encuentra de forma automática
y analiza el uso compartido de archivos en ese servidor.
Ver "Para configurar un nuevo destino del sistema de archivos" en la página 1880.
Es posible detectar de forma automática los recursos compartidos administrativos
correspondientes a las unidades locales, como C$ o D$.
Acerca de realizar un seguimiento de forma automática del estado de la reparación de incidentes
Para detectar los recursos compartidos administrativos de forma automática

2 Cree o seleccione un destino del Servidor de sistema de archivos.
3 En la ficha Avanzado de la página Editar destino del sistema de archivos,
seleccione Analizar recursos compartidos administrativos.
Acerca de realizar un seguimiento de forma

automática del estado de la reparación de incidentes
Es posible configurar Network Discover para que realice un seguimiento de forma
automática del estado de la reparación de los incidentes del destino del sistema
de archivos.
Durante el primer análisis de Network Discover en busca de un destino del sistema
de archivos determinado, los metadatos del incidente (nombre de recurso, políticas
infringidas, etc.) se agregan al catálogo de seguimiento de la reparación de
incidentes de Discover. Si, durante análisis subsiguiente, un incidente almacenado
en el catálogo no aparece en los resultados del análisis, Network Discover marca
el incidente como reparado con uno de los siguientes indicadores de estado:
■ Elemento modificado. El elemento se ha modificado y ya no infringe una
política. En el caso donde el elemento y la política han cambiado, el incidente
será reparado como Elemento modificado. Esta opción está desactivada de
forma predeterminada.
■ Política modificada. La política que el incidente infringió ha cambiado. En el
caso donde el elemento y la política han cambiado, el incidente será reparado
como Elemento modificado. Esta opción está desactivada de forma
predeterminada.
■ El elemento ya no existe. Se ha movido, eliminado o cambiado el nombre del
elemento. Esta opción está activada de forma predeterminada.
Para evitar que los incidentes sean reparados de forma automática cuando hay
un error, Network Discover no marcará un incidente como reparado si se excluye
de un análisis debido a:
■ Análisis incrementales
■ Filtros de fecha
■ Filtros de tamaño
■ Filtros de inclusión o exclusión
El catálogo de reparación de incidentes está ubicado en la base de datos de Apache

Derby que se ejecuta en el proceso BoxMonitor. El catálogo principal se almacena
en Enforce Server y cada servidor de detección tiene su propia versión local del
catálogo. Los catálogos están sincronizados para asegurar que Enforce Server y
todos los servidores de detección de Network Discover hagan un seguimiento del
estado de reparación de incidentes correctamente.
Es posible configurar sus preferencias de seguimiento de la reparación de incidentes
en la ficha Avanzado de su destino del sistema de archivos.
Es posible configurar las opciones para el seguimiento automatizado de la
reparación de incidentes, por ejemplo, la ubicación de los archivos de catálogo, el
período de caducidad de los archivos temporales, etc.
Ver "Opciones de configuración para el seguimiento automatizado de reparación
Es posible ver el último estado de la reparación de un incidente en la instantánea
de incidente.
Es posible también filtrar y resumir informes de Network Discover del estado de la
reparación de incidentes.
en la página 1628.
Solucionar problemas de seguimiento automatizado de la reparación

de incidentes
El seguimiento automatizado de la reparación de incidentes no funciona si ha
habilitado la formación de umbrales de incidentes. Si ha habilitado el seguimiento
automatizado de la reparación de incidentes para un destino del sistema de archivos,
pero no ve ninguna información de seguimiento, asegúrese de que haya
deshabilitado la formación de umbrales de incidentes.
Ver "Cómo crear un inventario de las ubicaciones de datos confidenciales sin
protección" en la página 1811.
Es posible ver un archivo de registro para el catálogo de reparación de incidentes
en el servidor de detección en esta ubicación:
SymantecDLP/Protect/logs/debug/DetectionServerDatabase%g.log, donde
%g es un número entero que comienza en 0. Los registros para los incidentes a
los que se les realiza un seguimiento con esta función se envían a FileReader%.log
y a IncidentPersister%.log.
Es posible configurar el nivel de registro del catálogo de reparación de incidentes

en el archivo
SymantecDLP/Protect/config/DetectionServerDatabaseLogging.properties:
Tabla 62-3 Opciones de registro de la base de datos de seguimiento de la

reparación
Nivel de registro Descripción
DETALLADO Los latidos de base de datos del servidor de

detección se registran en el nivel
DETALLADO.
INFORMACIÓN Los mensajes de inicio y detención de la base

de datos se registran en el nivel
INFORMACIÓN.
GRAVE Todo el comportamiento inesperado de la

base de datos lanza una excepción y aparece
en el registro en el nivel GRAVE.
Opciones de configuración para el seguimiento automatizado de

reparación de incidentes
Es posible configurar las opciones de configuración siguientes para el seguimiento
automatizado de reparación de incidentes en el archivo
SymantecDLP/Protect/config/protect.properties. Si tiene una instalación de
varios niveles, habrá archivos aparte para Enforce Server y servidor Network
Discover.
Tabla 62-4
Propiedad Valor predeterminado Descripción
com.vontu.discover.detectionserver. 15000 El número máximo

remediation.detection. de archivos
comm.maxfiles almacenados en el
directorio del
catálogo de
seguimiento de la
reparación del
servidor Network
Discover antes de
la sincronización
con el catálogo
principal en Enforce
Server. Si el
número de archivos
de catálogo excede
este límite, Network
Discover no crea
ninguna nueva
entrada de catálogo
hasta que por lo
menos un archivo
se sincronice.
com.vontu.discover.enforce. 15000 El número máximo

remediation.detection. de archivos
comm.maxfiles almacenados en el
directorio del
catálogo principal
de seguimiento de
la reparación de
Enforce Server
antes de la
sincronización con
el catálogo local en
el servidor Network
Discover. Si el
número de archivos
de catálogo excede
este límite, Network
Discover no crea
ninguna nueva
entrada de catálogo
principal hasta que
por lo menos un
archivo se
sincronice.
com.vontu.discover.detectionserver. 10000 La frecuencia, en

remediation.detection. milisegundos, con
catalogfolder.checkperiod la cual el servidor
Network Discover
comprueba el
directorio del
catálogo de
seguimiento de la
reparación en
busca del número
de archivos de
catálogo en cola
para la
sincronización con
el catálogo principal
en Enforce Server.
com.vontu.discover.enforce. 10000 La frecuencia, en

remediation.detection. milisegundos, con
catalogfolder.checkperiod la cual el Enforce
Server comprueba
el directorio del
catálogo principal
de seguimiento de
la reparación en
busca del número
de archivos de
catálogo en cola
para la
sincronización con
el catálogo en el
servidor Network
Discover.
com.vontu.discover.detectionserver. 24 El período de
remediation.detection. caducidad, en
catalog.tempfile.expirationhours horas, de los
archivos temporales
en el directorio del
catálogo de
seguimiento de la
reparación.
com.vontu.discover.enforce. 24 El período de
remediation.detection. caducidad, en
catalog.tempfile.expirationhours horas, de los
archivos temporales
en el directorio del
catálogo principal
de seguimiento de
la reparación.
com.vontu.discover.detectionserver. C:/SymantecDLP/Protect/ El directorio que

remediation.detection. scan/catalog contiene los
catalog.folder archivos del
catálogo de
seguimiento de la
reparación del
servidor Network
Discover.
com.vontu.discover.enforce. C:/SymantecDLP/Protect/ El directorio que

remediation.detection. scan/catalog contiene los
catalog.folder archivos del
catálogo principal
de seguimiento de
la reparación de
Enforce Server.
com.vontu.discover.detectionserver. 5 El tamaño del grupo

remediation.detection. de subprocesos
threadpoolsize usado para el
seguimiento
automatizado de la
reparación de
incidentes en el
servidor Network
Discover.
com.vontu.discover.enforce. 5 El tamaño del grupo

remediation.detection. de subprocesos
threadpoolsize usado para el
seguimiento
automatizado de la
reparación de
incidentes en
Enforce Server.
com.vontu.detectionserver. C:/SymantecDLP/Protect/ El directorio que

database.home scan/catalog contiene la base de
datos de
seguimiento de la
reparación del
servidor Network
Discover.
com.vontu.detectionserver. 1527 El puerto usado por

database.port la base de datos de
seguimiento de la
reparación del
servidor Network
Discover.
Exclusión de carpetas internas de DFS
com.vontu.manager.incidents.dir ./incidents El directorio que

contiene los
incidentes
desconectados en
Enforce Server.
Exclusión de carpetas internas de DFS

De forma predeterminada, los análisis de archivos compartidos de DFS incluyen
las carpetas internas dinámicas de DFS. Como estas carpetas no contienen
información confidencial de su organización, puede excluirlas con seguridad de
sus análisis.
Para excluir las carpetas internas de DFS
Análisis de detección > Destinos de detección.
2 Haga clic en el nombre del análisis donde desea agregar el filtro de exclusión
para carpetas internas de DFS.
3 Haga clic en la ficha Contenido analizado.
4 En el campo Excluir filtros, escriba /DfsrPrivate/*.
Cómo configurar análisis de las carpetas personales

de Microsoft Outlook (archivos .pst)
Es posible analizar carpetas personales de Microsoft Outlook (archivos .pst) en
archivos compartidos. El análisis admite las carpetas personales de Microsoft
Outlook (archivos .pst) que fueron creadas con Outlook 2007, 2010, 2013 y 2016.
Las siguientes notas pertenecen al análisis de archivos .pst:
■ El servidor Network Discover que analiza este destino se debe ejecutar en un
sistema operativo Windows de 64 bits y debe tener instalados los clientes de
Outlook 2007, 2010, 2013 o 2016 de 64 bits en el sistema.
■ Outlook debe ser el cliente de correo electrónico predeterminado en el servidor
Network Discover que analiza este destino.
Configurar los análisis de los sistemas de archivos
■ Network Protect no se admite para archivos .pst, incluso si los archivos están
en los recursos compartidos de CIFS.
■ Después del análisis de base inicial, el análisis incremental examina el archivo
.pst completo si la fecha de última modificación cambia.
■ El filtro de fecha y el filtro de tamaño se aplican a todo el archivo .pst, no a los

correos electrónicos individuales ni a otros elementos dentro del archivo.
■ Los archivos.pst no se pueden analizar paralelamente. Si los análisis que se
ejecutan paralelamente comienzan a analizar archivos .pst, se asignan números
de serie a los análisis.
Para configurar el análisis de las carpetas personales de Microsoft Outlook
2 Configure el análisis del archivo compartido que contiene las carpetas
personales de Microsoft Outlook.
3 En la ficha Avanzado, compruebe el cuadro Analizar archivos PST. (El cuadro
se selecciona de forma predeterminada).

siguiente.
Para configurar un nuevo destino del sistema de archivos

políticas.
5 En Ejecución de análisis, seleccione Analizar solo los elementos nuevos
o modificados (análisis incremental). Esta opción es la opción
predeterminada para los nuevos destinos.
■ Si ha cambiado la política u otras definiciones en un análisis existente, se
puede configurar el análisis siguiente como análisis completo. Seleccione
■ Si desea analizar siempre todos los elementos en este destino, seleccione
6 Opcionalmente, si seleccionó la opción Analizar solo los elementos nuevos

o modificados (análisis incremental), puede seleccionar uno o más destinos
de análisis existentes cuyos índices incrementales se volverán a usar en la
nueva exploración. Volver a usar los índices incrementales le permite ahorrar
tiempo en los elementos analizados indizados en el nuevo destino del análisis.
■ Para volver a usar los índices incrementales existentes, seleccione el
destino de análisis deseado en la lista Destinos de Discover disponibles
y haga clic en Agregar. El destino de análisis seleccionado se mueve a la
lista Destinos de Discover seleccionados y su índice incremental está
disponible para el nuevo destino de análisis cuando el nuevo destino se
analiza por primera vez.
■ Para dejar de usar un índice incremental existente, seleccione el destino
de análisis deseado en la lista Destinos de Discover seleccionados y
haga clic en << Eliminar. El destino de análisis seleccionado se mueve de
regreso a la lista Destinos de Discover disponibles y su índice incremental
ya no está disponible para el nuevo destino de análisis.
Nota: Es posible añadir y quitar índices incrementales reutilizables solamente

mientras se configura un nuevo destino de análisis y antes de ejecutar un
análisis en este destino por primera vez.

8 En la ficha Destino, en Servidor de análisis y endpoints de destino,
seleccione servidor de Discover (o varios servidores de Discover) donde desee
ejecutar el análisis.
Nota: Antes de ejecutar un análisis de cuadrícula por primera vez, asegúrese

de que el puerto de comunicaciones de la cuadrícula configurado en el archivo
ScanManager.properties esté abierto en todos los servidores en la cuadrícula.
Ver "Opciones de configuración para el análisis de cuadrícula" en la página 1956.
9 Para la opción Modo de análisis, seleccione una de las siguientes opciones:

■ Seleccione Usar un único servidor para análisis para ejecutar análisis
usando solamente un servidor. Si seleccionó más de un servidor en el paso
anterior, Symantec Data Loss Prevention selecciona automáticamente uno
de los servidores cuando el análisis se inicia.
■ Seleccione Usar todos los servidores seleccionados para análisis en
una cuadrícula para habilitar la función del análisis de cuadrícula que
distribuye la carga de trabajo del análisis a través de varios servidores.
Cuando se inicializa un análisis, se asigna a uno de los servidores el rol
del Líder de la cuadrícula que coordina las acciones de los otros servidores.
Nota: Es necesario seleccionar por lo menos dos servidores para que el

destino del análisis pueda poder ejecutar un análisis de cuadrícula.
Symantec recomienda que aplique la misma configuración de hardware y
software a todos los servidores de detecciones que pretenda usar para el
análisis de cuadrícula. Symantec Data Loss Prevention admite actualmente
los análisis de las cuadrículas usando un máximo de 11 servidores de
detección, incluyendo el líder de la cuadrícula.
Ver "Opciones de configuración para el análisis de cuadrícula"

en la página 1956.
10 En la ficha Contenido analizado, seleccione o escriba las credenciales.

Las credenciales proporcionadas deben tener tanto permiso de lectura como
permiso con atributos de escritura en el destino del análisis. El permiso de
escritura de atributos es necesario para actualizar la fecha "Último acceso".
Es posible especificar un nombre de usuario predeterminado para usar para
el acceso a todos los sistemas de archivos.
La contraseña no debe contener comillas. Si alguna de sus contraseñas
contiene comillas, esos sistemas de archivo no están montados para analizar.
Si es necesario usar comillas en contraseñas, se puede usar JCIFS. El proceso
predeterminado del montaje usa el cliente CIFS. Si el soporte predeterminado
no funciona, la tarea del soporte puede usar el cliente CIFS basado en Java
configurando filesystemcrawler.use.jcifs=true en el archivo de
propiedades Crawler.properties.
11 En Raíces de contenido, especifique el elemento que se analizará.
Seleccione uno de los siguientes métodos para escribir los sistemas de
archivos:
■ Analizar raíces de contenido de un archivo cargado
Cree y guarde un archivo sin formato (.txt o .csv) detallando los servidores
que desee analizar. Luego haga clic en Examinar para localizar la lista y
en Cargar archivo para importarla. Cree un archivo usando un editor de
texto ASCII y escriba un servidor de archivos o un recurso compartido por
línea. No incluya un nombre de usuario y una contraseña. De forma
predeterminada, Symantec Data Loss Prevention interpreta estas rutas de
bloque de mensajes del servidor (SMB). Si desea especificar las rutas de
NFS, incluya nfs en las rutas.
\\server\marketing
nfs:\\share\marketing
//server/engineering/documentation
/home/protect/mnt/server/share/marketing
c:\share\engineering
■ Especificar raíces de contenido

■ Seleccione Agregar raíces de contenido > Por entrada directa para
usar un editor de líneas para especificar los servidores o los recursos
compartidos que desee analizar. La información que se escribe aquí
tiene prioridad sobre los valores predeterminados y se aplica solamente
a la ruta especificada.
\\server\share
\\server.company.com
smb://server.company.com
\\10.66.23.34
Nota: Si eligió habilitar el análisis incremental para este destino de

análisis y si seleccionó uno o más destinos de análisis existentes cuyo
incremento indizado será reusado, se pueden combinar los destinos
existentes de análisis especificando una ruta de directorio de nivel
superior. Alternativamente, puede especificar una ruta de directorio
granular para dividir un destino de análisis existente más grande en
varios destinos de análisis más pequeños.
■ Seleccione Agregar raíces de contenido > De un análisis de

enumeración de raíz de contenido para importar las raíces de
contenido de un análisis de enumeración escaneo de raíz de contenido.
Seleccione el análisis para importar en el cuadro de diálogo Importar
resultados del análisis de enumeración de raíz de contenido.
Si su lista de raíz de contenido incluye un gran número de raíces de contenido,

puede filtrar la lista para incluir solamente las raíces de contenido que sean
relevantes para su análisis de destino de detecciones. En la sección Raíces
de contenido, haga clic en Filtros, luego, especifique el texto del filtro. Por
ejemplo, para ver solamente los recursos compartidos en un servidor
denominado my_company, escriba \\my_company en el campo de texto de
Filtros.
Para eliminar las raíces de contenido de su destino, seleccione las raíces de
contenido de la lista y haga clic en Eliminar.
12 En la ficha Filtros, especifique filtros de inclusión y exclusión, filtros de tamaño
y filtros de fecha.
■ Use Filtros de inclusión y Filtros de exclusión para especificar los

archivos que Symantec Data Loss Prevention debe procesar u omitir. Tenga
en cuenta que es necesario especificar las rutas absolutas. Si el campo
está vacío, Symantec Data Loss Prevention realiza la correspondencia de
todos los archivos en el archivo compartido. Si escribe cualquier valor para
Filtros de inclusión, Symantec Data Loss Prevention analiza solamente
esas carpetas, archivos o documentos que coinciden con su filtro. Delimite
las entradas con una coma, pero no use espacios. Cuando haya filtros de
inclusión y exclusión presentes, los filtros de exclusión tienen
precedencia.
Cuando analice los recursos compartidos de DFS, excluya la carpeta interna
de DFS.
Ver "Exclusión de carpetas internas de DFS" en la página 1879.
Cuando analice los recursos compartidos en un archivador de NetApp con
la aplicación Instantánea, excluya la carpeta .snapshot. Esta carpeta está
generalmente en la base del sistema de archivos o del recurso compartido
de red, por ejemplo, \\myshare\.snapshot.
■ Especifique los filtros de tamaño.
Los filtros de tamaño le permiten excluir archivos del proceso de búsqueda
de coincidencias según su tamaño. Symantec Data Loss Prevention incluye
solamente los archivos que coinciden con los filtros especificados de
tamaño. Si deja este campo vacío, Symantec Data Loss Prevention busca
coincidencia en los archivos o los documentos de todos los tamaños.
■ Especifique los filtros de fecha.
Los filtros de fecha le permiten incluir archivos del proceso de
correspondencia según sus fechas. Se analiza cualquier archivo que
coincida con los filtros de fecha especificados.
13 En la ficha Avanzado, especifique sus preferencias de detección de la

reparación para detectar de forma automática el estado de la reparación de
incidentes:
■ Elemento modificado : Automáticamente detecta si un incidente ha sido
reparado modificando el archivo que ofendía.
■ Política modificada : Automáticamente detecta si un incidente ha sido
reparado por un cambio en su política.
■ El elemento ya no existe : Automáticamente detecta si un incidente ha
sido reparado por borrado o eliminación.
Optimizar el análisis de destino del sistema de archivos
Ver "Acerca de realizar un seguimiento de forma automática del estado de la

reparación de incidentes" en la página 1872.
14 En la ficha Avanzado, seleccione opciones para optimizar el análisis.
Ver "Optimizar el análisis de destino del sistema de archivos" en la página 1886.
15 En la ficha Proteger, especifique sus preferencias de reparación para los
archivos que contienen información confidencial.
en la página 1887.
Optimizar el análisis de destino del sistema de

archivos
Para optimizar los análisis de su destino de análisis de Sistema de archivos,
puede configurar las opciones de restricción, configurar un umbral de incidente
para analizar ( Análisis de inventario ), omitir o seleccionar los archivos de Outlook
.pst y habilitar o deshabilitar los análisis de los recursos compartidos
administrativos.
Para limitar el análisis de destino del sistema de archivos
2 En el campo Cantidad máxima de archivos analizados por minuto por
servidor de detección, escriba el número máximo de archivos que se
procesarán por minuto por servidor de detección.
3 En el campo Tamaño máximo analizado por minuto por servidor de
detección, escriba la cantidad máxima de datos que se procesarán por minuto
por servidor de detección. Seleccione bytes, kilobytes (KB) o megabytes (MB)
de la lista desplegable.
Configuración de Network Protect para archivos compartidos
Para establecer un umbral de incidentes

2 En el campo Umbral de incidentes escriba la cantidad máxima de incidentes
que desea crear desde un archivo compartido único ( Raíz de contenido ) o
un servidor ( Equipo ).
3 Seleccione Contar incidentes por: Raíz de contenido o Equipo.
La Raíz de contenido es un archivo compartido en la lista de la ficha Contenido
analizado. Cuando se alcanza el umbral de incidentes, el análisis se mueve
al archivo compartido siguiente.
Un Equipo es un equipo físico. Cuando se alcanza el umbral de incidentes,
el análisis pasa al elemento siguiente en la lista para el análisis. Si ese
elemento está en el mismo equipo físico que el elemento anterior, se omite.
El nombre del equipo físico debe ser exactamente idéntico en la lista de
elementos que desea analizar para Network Discover para reconocer que está
en el mismo equipo. Por ejemplo, \\hostlocal\misarchivos y
\\127.0.0.1\misarchivos se tratan como equipos diferentes, aunque son
lógicamente lo mismo.
Si usa la detección automática para analizar recursos compartidos abiertos
en un servidor de archivos especificado, la raíz de contenido y el equipo son
lo mismo.
Para analizar los recursos compartidos administrativos
2 En la sección Análisis de recursos compartidos administrativos, seleccione
Analizar recursos compartidos administrativos.
También puede configurar el análisis de archivos .pst de Outlook.
Ver "Cómo configurar análisis de las carpetas personales de Microsoft Outlook
(archivos .pst)" en la página 1879.
Configuración de Network Protect para archivos

compartidos
Use Network Protect para copiar o para poner en cuarentena automáticamente en
una ubicación segura los archivos confidenciales que se encuentran en los recursos
compartidos públicos. Alternativamente, puede cifrar archivos confidenciales.
Network Protect está solamente disponible para el análisis basado en servidor de
los recursos compartidos de CIFS. Network Protect no se admite para los archivos
.pst.
Con Network Protect habilitado, una ficha aparece en la página Agregar destino
de sistema de archivo que contiene las opciones de reparación de Network Protect.
Para usar Network Protect, es necesario tener una política y una regla de respuesta
configuradas en la consola de administración de Enforce Server. Además, las
credenciales del análisis (nombre de usuario y contraseña) deben estar presentes
en la ficha Contenido analizado para este destino.
Para configurar Network Protect para los archivos compartidos
1 Cree una política con una regla de respuesta. Vaya a Administrar > Políticas
> Reglas de respuesta y haga clic en Agregar regla de respuesta.
2 Seleccione Respuesta automática.
4 Para la Acción, seleccione Network Protect: Copiar archivo, Network
Protect: Poner archivo en cuarentena o Network Protect: Cifrar archivo.
Para la acción Poner en cuarentena el archivo, se puede dejar opcionalmente
un archivo marcador en lugar del archivo que fue eliminado seleccionando la
casilla Archivo marcador. Escriba el texto marcador en el cuadro Texto
marcador. El archivo marcador es un archivo de texto. El texto marcador
puede contener variables de sustitución. Haga clic en dentro del cuadro Texto
marcador para ver una lista de variables de la inserción.
Si el archivo original era de cierto tipo de archivo, el archivo original se mueve
a la zona de cuarentena. El archivo marcador tiene el nombre de archivo
original más una extensión .txt. Las extensiones de archivo predeterminadas
que se conservan se detallan en el archivo de propiedades
ProtectRemediation.properties. Las extensiones de archivo conservadas
incluyen txt, doc, xls, ppt, java, c, cpp, h y js. Por ejemplo, un archivo cuyo
nombre es miarchivo.pdf tendría el nombre de archivo marcador
miarchivo.pdf.txt.
Es posible crear un nuevo subdirectorio para los archivos en cuarentena de

cada análisis (la opción predeterminada). Es posible cambiar la opción
predeterminada y añadir la información del análisis al nombre del archivo
(versión) en un directorio de cuarentena. Edite el archivo de propiedades
ProtectRemediation.properties para cambiar la opción predeterminada.
Nota: La función de cifrado está disponible solamente si ha instalado la licencia

de ICE de Network Protect y ha configurado Enforce Server para que se
conecte a la nube de Symantec ICE.

6 Defina una nueva política o edite una política existente.
7 Haga clic en la ficha Respuesta.
8 En el menú desplegable, seleccione una de las reglas de respuesta que creó
previamente.
Esta regla de respuesta especifica la respuesta automática cuando esta política
activa un incidente durante el análisis de un archivo.
Varias reglas de respuesta con diversas condiciones pueden existir para una
política.
10 Cree un nuevo sistema de archivos de destino Network Discover o edite un
destino existente.
11 Con Network Protect habilitado en la licencia, una ficha Proteger aparece en
la página del destino de Sistema de archivos que contiene las opciones de
reparación de Network Protect.
En Reparación de Protect permitida, elija si el archivo debe copiarse, ponerse
en cuarentena (moverse) o cifrarse para proteger la información.
Esta selección debe coincidir con la selección de Acción de la regla de
respuesta.
Además, una regla de respuesta con esa acción (copia, cuarentena o cifrado)
debe existir dentro de una de las políticas que se seleccionan para este destino
del sistema de archivos.
12 Si eligió copiar o poner en cuarentena los archivos confidenciales, en Recurso

compartido de cuarentena/Copia, especifique el recurso compartido donde
se copian los archivos o se los pone en cuarentena.
Opcionalmente, se puede seleccionar una credencial con nombre del
almacenamiento de credenciales en el menú desplegable Usar credenciales
guardadas.
13 Si eligió copiar o poner en cuarentena los archivos confidenciales, en Proteger
credencial, especifique la credencial del acceso de escritura para la ubicación
del archivo que fue analizado.
Para mover los archivos para la cuarentena durante la reparación, la definición
de destino de Network Discover debe tener acceso de escritura para la
ubicación de cuarentena y la ubicación del archivo original. Especifique la ruta
(ubicación) donde se copian o están puestos en cuarentena los archivos.
Escriba el nombre de usuario y la contraseña de acceso de escritura para esa
ubicación.
Normalmente, los recursos compartidos analizados necesitan solamente
credenciales de acceso de solo lectura (por ejemplo, si la opción Copiar fue
seleccionada).
Especifique la credencial de acceso de escritura compartido, si es diferente
de la credencial de acceso de lectura.
Opcionalmente, se puede seleccionar una credencial con nombre del
almacenamiento de credenciales en el menú desplegable Usar credenciales
guardadas.
Ver "Configuración de Enforce Server para conectarse a la nube de Symantec ICE"
en la página 242.
Capítulo 63
las bases de datos de Lotus
Notes
■ Configuración de análisis de servidores de bases de datos de IBM (Lotus) Notes
■ Destinos admitidos de IBM (Lotus) Notes
■ Configuración y ejecución de análisis de IBM (Lotus) Notes
■ Configuración de opciones de análisis del modo DIIOP de IBM (Lotus) Notes
Configuración de análisis de servidores de bases de

datos de IBM (Lotus) Notes
Es posible configurar análisis de los repositorios de IBM (Lotus) Notes. Symantec
Data Loss Prevention admite el análisis en modo DIIOP solamente.
Ver "Configuración y ejecución de análisis de IBM (Lotus) Notes" en la página 1893.
Para configurar el análisis de las bases de datos de Lotus Notes, complete el
proceso siguiente:
Tabla 63-1 Cómo configurar un análisis de base de datos de Lotus Notes
1 Verifique que su base de datos de IBM (Lotus) Notes esté en Ver "Destinos admitidos de IBM (Lotus) Notes"
la lista de destinos admitidos. en la página 1892.
Cómo configurar análisis de las bases de datos de Lotus Notes 1892
Destinos admitidos de IBM (Lotus) Notes
2 Configure el análisis para el modo DIIOP de IBM (Lotus) Notes. Ver "Configuración de opciones de análisis del
modo DIIOP de IBM (Lotus) Notes"
en la página 1896.
3 Haga clic en Administrar > Análisis de detección > Destinos Ver "Configuración y ejecución de análisis de
de Discover para crear un destino de la base de datos SQL IBM (Lotus) Notes" en la página 1893.
y para configurar análisis de bases de datos de Lotus Notes.
4 Configure cualquier opción adicional del análisis para el destino Ver "Opciones de configuración de destino de
de IBM (Lotus) Notes. análisis de Network Discover/Cloud Storage
5 Inicie el análisis de base de datos de IBM (Lotus) Notes. Seleccione el destino del análisis de la lista,
después haga clic en el icono de inicio.
Haga clic en Administrar > Análisis de detección > Destinos
de Discover.
6 Verifique que el análisis se esté ejecutando correctamente. Ver "Administrar análisis de destinos de
Network Discover/Cloud Storage Discover"
en la página 1815.
Destinos admitidos de IBM (Lotus) Notes

El destino de IBM Notes (antes conocido como Lotus Notes) admite el análisis de
las siguientes versiones:
■ Lotus Notes 7.0
■ Lotus Notes 8.0
■ Lotus Notes 8.5.x
■ IBM Notes 9.0.x
Los archivos Notes.jar y NCSO.jar están en el directorio de instalación del cliente
Lotus Notes. El número de versión de manifiesto de estos archivos depende de la
versión del servidor de Domino.
■ La versión 7 tiene una versión de manifiesto en el archivo JAR de 1.4.2.
Configuración y ejecución de análisis de IBM (Lotus) Notes
Configuración y ejecución de análisis de IBM (Lotus)

Notes
Antes de ejecutar un análisis, es necesario configurar un destino.
Para configurar un nuevo destino para el análisis de las bases de datos de IBM
(Lotus) Notes
tipo de destino Lotus Notes.
políticas.

Es posible especificar un nombre de usuario y una contraseña predeterminados
para acceder a todos los servidores Domino que se especifiquen en el destino.
Las credenciales se pueden anular para un servidor editando una única entrada
en la lista de servidores Domino. Las credenciales para una única entrada son
posibles solamente si la lista se crea con nombres de servidor escritos
individualmente. Las credenciales para una única entrada no son posibles en
un archivo de texto cargado que contiene la lista de servidores.
8 En la pestaña Contenido analizado, especifique la raíz de contenido para un
análisis de Lotus Notes, como un servidor Domino o una lista de servidores
Domino.
Especifique las bases de datos para analizar de la siguiente manera:
■ Especificar servidores Domino
Haga clic en Agregar raíces de contenido > Por entrada directa para
especificar los servidores que desee analizar. La información de credencial
de SQL que se escribe aquí tiene prioridad sobre los valores
predeterminados y se aplica solamente al servidor especificado.
[hostname,username,password]
Para una configuración del modo nativo, se puede usar el nombre “local”
en la lista de servidores Domino. La especificación “local” incluye las bases
de datos locales visibles al cliente que se analizarán. Por ejemplo, en vez
del texto de URI escriba lo siguiente:
local
■ Usar servidores Domino de un archivo cargado

Cree y guarde un archivo sin formato (.txt) con los servidores que desea
analizar. La credencial del servidor no se puede especificar en este archivo
de texto. El nombre de usuario y la contraseña de la ficha Contenido
analizado de la página Agregar destino de Lotus Notes se usan.
Ejemplo de los primeros servidores Domino en la lista:
dominoserver1.company.com
Haga clic en Cargar archivo para cargar su lista de servidores Domino.

9 En la ficha Filtros, seleccione los filtros de ruta.
Use los campos Filtros de inclusión y Filtros de exclusión para especificar los
nombres de base de datos de Lotus Notes que Symantec Data Loss Prevention
debe usar. Los filtros coinciden con la ruta completa del URI de base de datos.
Si el campo está vacío, Symantec Data Loss Prevention analiza todas las
bases de datos en todos los servidores Domino especificados. Delimite las
entradas con comas. Si una URI de base de datos coincide con un filtro de
inclusión y uno de exclusión, el filtro de exclusión tiene prioridad y la base de
datos no se analiza.
Si un filtro de inclusión no coincide con la base de datos raíz de contenido, la
base de datos no se analiza. Por ejemplo, si desea buscar coincidencias con
el archivo notes://notes.example.com/ABC/2_databases/1.nsf/91A, el
filtro de inclusión *91A* no coincidirá, ya que la base de datos raíz de contenido
no está incluida en el filtro. El filtro de inclusión *1.nsf* analiza la raíz de
contenido entera. El filtro de inclusión /ABC/2_databases/1.nsf/91A analiza
solamente el archivo especificado. Tenga en cuenta que la base de datos raíz
de contenido comienza con el carácter /.
10 En la ficha Filtros, seleccione Descargar filtros de tamaño.
Es posible especificar los documentos que se deberán omitir cuando sean
mayores o menores a un tamaño especificado.
11 En la ficha Filtros, seleccione un análisis diferencial (opcional).
Seleccione Analizar únicamente los archivos agregados o modificados
desde el último análisis completo para que Symantec Data Loss Prevention
analice solamente los elementos o los documentos que se hayan agregado o
modificado desde el último análisis completo. El primer análisis tiene que ser
un análisis completo (base inicial). Un análisis completo ocurre si se selecciona
esta opción antes de que Symantec Data Loss Prevention analice este destino
por primera vez.
Configuración de opciones de análisis del modo DIIOP de IBM (Lotus) Notes
12 En la ficha Filtros, seleccione Filtros de fecha de documentos.

Especifique los filtros de fecha para excluir los documentos de Lotus Notes
del análisis según sus fechas. Solamente los documentos que coinciden con
los filtros de la fecha especificada están incluidos.
13 Seleccione la ficha Avanzado para obtener opciones para optimizar el análisis.
En la ficha Avanzado, se pueden configurar opciones de restricción o el modo
de inventario para el análisis.
■ Opciones de restricción
Escriba el número máximo de documentos que se procesarán por minuto
por servidor de detección o el número de bytes máximo que se procesarán
por minuto por servidor de detección. Para los bytes, especifique la unidad
de medida de la lista desplegable. Las opciones son bytes, KB (kilobytes)
o MB (megabytes).
■ Análisis de inventario
Escriba la cantidad de incidentes para producción antes de pasar al servidor
siguiente de Domino que se especifica en la ficha Contenido analizado.
Para auditar si existen datos confidenciales en un destino sin analizarlo
todo, configure el modo de inventario para analizar. La configuración de
los umbrales de incidentes puede mejorar el rendimiento del análisis
omitiendo el servidor siguiente para analizar, en lugar de analizar todo.
Ver "Cómo crear un inventario de las ubicaciones de datos confidenciales
sin protección" en la página 1811.
Configuración de opciones de análisis del modo DIIOP

de IBM (Lotus) Notes
En el archivo Crawler.properties, cuando lotusnotescrawler.use.diiop se
configura en true, DIIOP (CORBA) se usa para analizar un servidor Domino. El
analizador se conecta directamente con servidor Domino con HTTP y DIIOP.
Para configurar un valor del modo DIIOP de IBM (Lotus) Notes para análisis
1 Copie los archivos de la biblioteca Java de Lotus Notes Notes.jar y NCSO.jar
al directorio SymantecDLP/Protect/plugins.
Pueden encontrarse en los directorios de instalación de un cliente de IBM
(Lotus) Notes y un servidor de IBM (Lotus) Domino con Domino Designer
instalado.
El archivo Notes.jar está en los directorios de instalación predeterminados
siguientes del cliente de IBM (Lotus) Notes:
Configuración de opciones de análisis del modo DIIOP de IBM (Lotus) Notes
■ IBM Notes 8
C:\Program Files\IBM\lotus\notes\jvm\lib\ext\Notes.jar
■ Lotus Notes 7
C:\Program Files\lotus\notes\jvm\lib\ext\Notes.jar
Use la versión del archivo JAR correspondiente a la versión del cliente de IBM
(Lotus) Notes.
Ver "Destinos admitidos de IBM (Lotus) Notes" en la página 1892.
El archivo NCSO.jar está en los directorios de instalación predeterminados
siguientes del servidor de IBM (Lotus) Domino cuando Domino Designer está
instalado:
■ IBM Notes 8
C:\Program Files\IBM\lotus\Notes\Data\domino\java\NCSO.jar
■ Lotus Notes 7
C:\Program Files\lotus\notes\data\domino\java\NCSO.jar
2 En el archivo Crawler.properties, configure las propiedades siguientes:
lotusnotescrawler.use.diiop = true
3 Inicie el servicio de HTTP en el servidor Domino.

4 Inicie el servicio de DIIOP en el servidor Domino.
5 En el servidor Domino, configure las conexiones permitidas de HTTP para
buscar las bases de datos configuradas en true.
6 Cuando crea los destinos, escriba las credenciales de un usuario que tiene
una contraseña de Internet.
Capítulo 64
bases de datos SQL
■ Cómo configurar análisis de servidor de bases de datos SQL
■ Destinos admitidos de la base de datos SQL
■ Cómo configurar y ejecutar la base de datos SQL
■ Cómo instalar el controlador JDBC para los destinos de la base de datos SQL
■ Propiedades de la configuración del análisis de la base de datos SQL
Cómo configurar análisis de servidor de bases de

datos SQL
Es posible configurar el análisis de Oracle, de SQL Server o de las bases de datos
de DB2.
Para configurar el análisis de las bases de datos SQL, complete el proceso
siguiente:
Tabla 64-1 Configuración de un análisis de base de datos SQL
1 Verifique que su base de datos SQL de archivos esté Ver "Destinos admitidos de
en la lista de destinos admitidos. la base de datos SQL"
en la página 1899.
Cómo configurar análisis de bases de datos SQL 1899
Destinos admitidos de la base de datos SQL
2 Haga clic en Administrar > Análisis de detección > Ver "Cómo configurar y
Destinos de Discover para crear un destino de la base ejecutar la base de datos
de datos SQL y para configurar análisis de bases de SQL" en la página 1900.
datos SQL.
3 Configure cualquier opción adicional de análisis para el Ver "Opciones de

destino de la base de datos SQL. configuración de destino de
análisis de Network
4 Instale el controlador de JDBC para la base de datos Ver "Cómo instalar el

SQL, si es necesario. controlador JDBC para los
destinos de la base de
datos SQL"
en la página 1904.
5 Inicie el análisis de la base de datos SQL. Seleccione el destino del

análisis de la lista de
Haga clic en Administrar > Análisis de detección >
destinos y después haga
Destinos de Discover.
clic en el icono de inicio.
6 Verifique que el análisis se esté ejecutando Ver "Administrar análisis de

correctamente. destinos de Network
Destinos admitidos de la base de datos SQL

Las siguientes bases de datos SQL fueron probadas con los análisis de destino
de Network Discover:
■ Oracle 10g, 11g (11.2.x) y 12c (12.1.x) (nombre_proveedor es oracle)
■ SQL Server 2005 y 2014 (nombre_proveedor es sqlserver)
■ DB2 9.6 hasta 10.5 (nombre_proveedor es db2).
Nota: DB2 9.1 a 9.5 es rechazado en Symantec Data Loss Prevention 15.0
Contacte al soporte de Symantec Data Loss Prevention para obtener información

sobre el análisis de cualquier otra base de datos SQL.
Cómo configurar y ejecutar la base de datos SQL

Es posible configurar y ejecutar análisis en las bases de datos SQL para identificar
qué bases de datos contienen datos confidenciales o localizar la presencia
inadecuada de datos confidenciales.
El análisis de bases de datos SQL ocurre para un conjunto específico de tipos de
datos de columna. El análisis de base de datos SQL extrae datos de los siguientes
tipos de conectividad de base de datos siguiente de Java (JDBC): CLOB, BLOB,
BIGINT, CHAR, LONGVARCHAR, VARCHAR, TINYINT, SMALLINT, INTEGER,
REAL, DOUBLE, FLOAT, DECIMAL, NUMERIC, DATE, TIME y TIMESTAMP. La
asignación entre estos tipos de columnas y los de una base de datos específica
dependen de la implementación del controlador de JDBC para el análisis.
Para configurar un análisis para una base de datos SQL
tipo de destino Base de datos de SQL.
el análisis durante el intervalo especificado. Puede anular la ventana de
interrupción de un destino si va a la pantalla Destinos de Discover y hace clic
en el icono de inicio para la entrada de destino. La ventana de interrupción
permanece intacta, y cualquier análisis futuro que se ejecute en la ventana
podrá interrumpirse según lo especificado. Es posible también reiniciar un
análisis interrumpido haciendo clic en el icono de continuación en la entrada
de destino.

8 Seleccione uno de los siguientes métodos para escribir bases de datos:
■ Usar servidores de base de datos de un archivo cargado
Cree y guarde un archivo sin formato (.txt) con los servidores que desea
analizar. Haga clic en Examinar para localizar la lista y en Actualizar para
importarla. Se usan el nombre de usuario y la contraseña que se especifican
en la ficha Contenido analizado de la página Agregar destino de base
de datos de SQL.
Escribir las bases de datos usando la sintaxis siguiente. El nombre del
distribuidor puede ser oracle, db2 o sqlserver. El origen de datos es el
subnombre de la cadena de conexión de JDBC para ese controlador y
base de datos. La documentación para el controlador de JDBC describe
este subnombre. Es posible escribir opcionalmente la cantidad máxima de
filas que se debe analizar por tabla en la base de datos.
vendor_name:datasource[, maximum-rows-to-scan]
Por ejemplo:
oracle:@//oracleserver.company.com:1521/mydatabase
db2://db2server.company.com:50000/mydatabase,300
Para algunos servidores SQL, se debe, además, especificar el nombre de

la sesión SQL, como en el ejemplo siguiente:
sqlserver://sqlserver.company.com:1433/mydatabase;
instance=myinstance
■ Especificar servidores de base de datos

Haga clic en Agregar raíces de contenido > Por entrada manual para
usar un editor de líneas para especificar las bases de datos que desee
analizar. La información de base de datos SQL que se escribe aquí tiene
prioridad sobre los valores predeterminados y se aplica solamente a la
base de datos especificada. Es posible escribir opcionalmente la cantidad

máxima de filas que se debe analizar por tabla en la base de datos.
Use la sintaxis siguiente:
vendor-name:datasource[, [username, password]

[, maximum-rows-to-scan]]
9 En la ficha Filtros, especifique los filtros opcionales de inclusión y exclusión.

Use los filtros de inclusión y exclusión para especificar las bases de datos SQL
y las tablas que Symantec Data Loss Prevention debe procesar u omitir.
Cuando se usan filtros de inclusión y exclusión, los filtros de exclusión tienen
prioridad. Se analiza cualquier tabla que coincida con los filtros de inclusión,
a menos que, además, coincida con los filtros de exclusión, en este caso no
se analiza.
Si el campo Filtros Incluir está vacío, Symantec Data Loss Prevention realiza
la correlación en todas las tablas. Estas tablas se devuelven de la consulta de
la tabla de las bases de datos SQL de destino. Si escribe cualquier valor en
el campo, Symantec Data Loss Prevention analiza solamente esas bases de
datos y las tablas que coinciden con su filtro.
La sintaxis es un patrón para la base de datos, una barra vertical y un patrón
para el nombre de la tabla. Varios patrones se pueden separar con comas.
Se aplica la correlación de patrones estándar. Por ejemplo, “?” coincide con
un carácter único.
Como la correspondencia del nombre de la tabla no diferencia entre mayúsculas
y minúsculas para muchas bases de datos, la conversión de mayúscula ocurre.
El nombre de la tabla en el patrón y el nombre de la tabla con la que se
corresponde se convierten a mayúsculas antes de la correspondencia.
El ejemplo siguiente hace corresponder la tabla del empleado en todas las
bases de datos.
*|employee
El ejemplo siguiente hace corresponder todas las tablas en todas las bases
de datos de Oracle.
oracle:*|*
Para SQL Server 2005 y DB2, la consulta de tabla predeterminada devuelve

nombres de tabla en el formato schema_name.table_name. Filtros de inclusión
y exclusión para SQL Server y DB2 deben coincidir con este formato.
Consulte los ejemplos siguientes:
sqlserver:*|HRschema.employee
sqlserver:*|*.employee

En la ficha Avanzado, se pueden configurar opciones de restricción o el modo
de inventario para el análisis.
Cómo instalar el controlador JDBC para los destinos de la base de datos SQL
Escriba el número máximo de filas que se procesarán por minuto por
servidor de detección o el número de bytes máximo que se procesarán por
minuto por servidor de detección. Si selecciona ambas opciones, la
velocidad de análisis es más lenta que ambas opciones. La velocidad de
análisis es más lenta que el número de filas especificado por minuto y el
número de bytes especificado por minuto. Para los bytes, especifique la
unidad de medida de la lista desplegable. Las opciones son bytes, KB
(kilobytes) o MB (megabytes).
Escriba el número de incidentes para producir antes de pasar al elemento
siguiente para análisis. El elemento siguiente es la base de datos siguiente
de la lista en la ficha Contenido analizado. Para auditar si existen datos
confidenciales en un destino sin analizarlo todo, configure el modo de
inventario para analizar. La configuración de los umbrales de incidentes
puede mejorar el rendimiento del análisis omitiendo el elemento siguiente
para analizar, en lugar de analizar todo.
Ver "Cómo crear un inventario de las ubicaciones de datos confidenciales
sin protección" en la página 1811.
Cómo instalar el controlador JDBC para los destinos

de la base de datos SQL
Un controlador de JDBC debe instalarse en su servidor de detección de Network
Discover para que cada tipo de base de datos sea analizado.
Para instalar el controlador JDBC
1 Obtenga el controlador relevante JDBC.
■ El controlador de Oracle ya está instalado con el servidor Network Discover,
en el directorio SQL predeterminado Protect/lib/jdbc de los
controladores.
El controlador JDBC es la versión 10.2.0.3.0 del controlador JDBC de
Oracle.
■ Para Microsoft SQL Server, el controlador jTDS de origen abierto se puede
obtener de Source Forge en http://jtds.sourceforge.net/.
La versión 1.2.2 del controlador jTDS JDBC fue probada con Network
Discover.
■ Para DB2, los archivos JAR del controlador de IBM están en la distribución
de IBM DB2, en la carpeta Java. Pueden ser obtenidos de IBM en
http://www.ibm.com/db2.
Propiedades de la configuración del análisis de la base de datos SQL
La versión 1.4.2 del controlador JDBC de IBM fue probada con Network
Discover.
2 Copie los archivos del controlador al directorio SQL predeterminado

Protect/lib/jdbc de los controladores.
3 Cambie los permisos de los archivos del controlador JDBC de modo que el
usuario de Protect al menos tenga permiso de lectura.
4 Es posible que el archivo sqldatabasecrawler.properties también deba
ser modificado para especificar los nombres JAR correctos para los
controladores seleccionados.
Ver "Propiedades de la configuración del análisis de la base de datos SQL"
en la página 1905.
Propiedades de la configuración del análisis de la

base de datos SQL
Las propiedades de configuración siguientes se pueden editar en el archivo de
configuración sqldatabasecrawler.properties del servidor Network Discover:
■ driver_class.vendor_name
Especifica el nombre de clase del controlador de JDBC para usar. El archivo
JAR para este controlador debe incluirse en el directorio nombrado en
sqldrivers.dir y debe tener un nombre como
driver_jar.nombre_distribuidor.
Ejemplo:
driver_class.sqlserver = net.sourceforge.jtds.jdbc.Driver
■ driver_subprotocol.vendor_name
Especifica la porción del subprotocolo de la cadena de la conexión de JDBC.
Ejemplo:
driver_subprotocol.sqlserver = jtds:sqlserver
■ driver_jar.vendor_name
Especifica la lista de archivos JAR que el controlador solicita. Los archivos JAR
se almacenan en el directorio cuyo nombre es sqldrivers.dir.
Ver "Cómo instalar el controlador JDBC para los destinos de la base de datos
SQL" en la página 1904.
Ejemplos:
driver_jar.sqlserver = jtds-1.2.2.jar
driver_jar.db2 = db2jcc.jar, db2jcc_license_cu.jar
■ driver_table_query.nombre_distribuidor
Especifica la consulta que se ejecuta para devolver una lista de tablas para
analizar. Típicamente, la consulta debe devolver todas las tablas de usuario en
la base de datos. Tenga en cuenta que la cuenta de base de datos que emite
esta consulta debe tener los derechos apropiados concedidos por el
administrador de la base de datos.
Es necesario usar una cuenta para analizar que pueda usar
driver_table_query en sqldatabasecrawler.properties y que pueda
devolver los resultados. Es posible probar la configuración del análisis usando
sqlplus para iniciar sesión como el usuario del análisis y para ejecutar la
consulta. Si consigue resultados, tiene los permisos para completar el análisis.
Si no consigue resultados, tiene que cambiar la consulta o los privilegios para
el usuario del análisis.
Ejemplo:
driver_table_query.sqlserver = SELECT table_schema

+ '.' + table_name FROM information_schema.tables
■ driver_row_selector.nombre_distribuidor
Especifica el formato de la consulta para seleccionar las filas de la tabla. Este
nombre del distribuidor varía en función de la base de datos. Los ejemplos se
incluyen en el archivo de configuración sqldatabasecrawler.properties para
las bases de datos más comunes.
Las variables siguientes de la sustitución se usan en la consulta:
0=TABLENAME
1=COLUMNS
2=ROWNUM
Ejemplo:
driver_row_selector.sqlserver = SELECT TOP {2} {1} FROM {0}
■ quote_table_names.nombre_distribuidor
Especifica si los nombres de la tabla están citados antes de que se cree la
consulta de la selección de la fila. Habilitar esta función permite que las tablas
con nombres numéricos sean analizadas. Por ejemplo, Nómina.1 se convierte
en “Nómina”.“1” cuando se cita el nombre.
Ejemplo:
quote_table_names.sqlserver=true
■ sqldrivers.dir
Especifica la ubicación del directorio en el cual se ponen los archivos JAR del
controlador JDBC.
Capítulo 65
los servidores de
SharePoint
■ Cómo configurar análisis de servidores de SharePoint
■ Acerca del análisis de los servidores de SharePoint
■ Destinos admitidos del servidor de SharePoint
■ Privilegios de acceso para los análisis de SharePoint
■ Acerca de las recopilaciones de la asignación de acceso alternativo
■ Cómo configurar y ejecutar análisis del servidor de SharePoint
■ Cómo instalar la solución de SharePoint en los clientes web en un conjunto
■ Cómo habilitar el análisis de SharePoint sin instalar la solución de SharePoint
■ Cómo configurar los análisis de SharePoint para usar la autenticación de

Kerberos
■ Solución de problemas de análisis de SharePoint
Cómo configurar análisis de servidores de SharePoint

Para configurar el análisis de los servidores de SharePoint, complete el proceso
siguiente:
Cómo configurar análisis de los servidores de SharePoint 1909
Cómo configurar análisis de servidores de SharePoint
Tabla 65-1 Cómo configurar un análisis del servidor de SharePoint
1 Verifique que su servidor SharePoint esté en la Ver "Destinos admitidos del

lista de destinos verificar (*)admitidos. servidor de SharePoint"
en la página 1911.
2 Opcional: Verifique que se tengan suficientes Ver "Privilegios de acceso para

permisos para instalar la solución de SharePoint los análisis de SharePoint"
en los clientes web en un conjunto. en la página 1912.
Además, verifique que el usuario del análisis Ver "Cómo instalar la solución
tenga los permisos para ejecutar el análisis del de SharePoint en los clientes
servidor de SharePoint. web en un conjunto"
en la página 1918.
Ver "Cómo configurar y ejecutar

análisis del servidor de
SharePoint" en la página 1912.
3 Opcional: Instale la solución de SharePoint en Ver "Cómo instalar la solución

los clientes web en un conjunto. de SharePoint en los clientes
web en un conjunto"
Opcional: Configure su servidor o servidores de
en la página 1918.
Discover para analizar SharePoint sin usar la
solución de SharePoint. Ver "Cómo habilitar el análisis
de SharePoint sin instalar la
solución de SharePoint"
en la página 1920.
4 Haga clic en Administrar > Análisis de Ver "Cómo configurar y ejecutar

detección > Destinos de detección para crear análisis del servidor de
un destino de SharePoint y para configurar el SharePoint" en la página 1912.
análisis de los servidores de SharePoint.
5 Configure cualquier opción adicional de análisis Ver "Opciones de configuración

para el destino de SharePoint. de destino de análisis de
Network Discover/Cloud Storage
6 Inicie el análisis del servidor de SharePoint. Haga clic en Administrar >

Análisis de detección >
Seleccione el destino del análisis

de la lista de destinos y después
haga clic en el icono de inicio.
Acerca del análisis de los servidores de SharePoint
7 Verifique que el análisis se esté ejecutando Ver "Administrar análisis de

correctamente. destinos de Network
Acerca del análisis de los servidores de SharePoint

El servidor Network Discover localiza una amplia gama de datos confidenciales
expuestos en los servidores de SharePoint. Se comunica con Enforce Server para
obtener la información sobre las políticas y los destinos del análisis. Envía la
información sobre los datos confidenciales expuestos que encuentra a Enforce
Server para elaborar los informes y realizar la reparación.
Se analizan los siguientes tipos de elementos de SharePoint:
■ Páginas wiki
■ Blogs
■ Entradas de calendario
■ Tareas
■ Tareas de proyectos
■ Entradas de discusiones
■ Listas de contactos
■ Avisos
■ Vínculos
■ Encuestas
■ Seguimiento de problemas
■ Listas personalizadas
■ Documentos en la biblioteca de documentos
Nota: Solamente la última versión de un documento se analiza.
La comunicación entre el servidor de detección y el cliente web de SharePoint

(WFE) está basada en SOAP.
La comunicación es segura cuando los sitios web de SharePoint se configuran
para usar SSL.
Destinos admitidos del servidor de SharePoint
Para HTTPS, la validación del certificado SSL del servidor no es la predeterminada.

Para habilitar la validación del certificado SSL del servidor, active la opción avanzada
Discover.ValidateSSLCertificates. A continuación, importe el certificado SSL
del servidor al servidor de detección.
en la página 283.
Si el sitio especificado de SharePoint se configura para que esté en un puerto que
no es el predeterminado (80), asegúrese de que el servidor de SharePoint permita
que el servidor de detección de Discover se comunique en el puerto necesario.
El acceso de usuario al contenido se basa en los derechos para el usuario
especificado en SharePoint. Introduzca las credenciales del usuario para especificar
a este usuario cuando se configure un análisis de SharePoint.
Ver "Cómo configurar y ejecutar análisis del servidor de SharePoint" en la página 1912.
Destinos admitidos del servidor de SharePoint

Se admiten los destinos siguientes del servidor de SharePoint:
■ Microsoft Office SharePoint Server 2007
Nota: Esta versión se rechaza en Symantec Data Loss Prevention 15.0.
■ Microsoft Office SharePoint Server 2013 SP1

■ Microsoft Office SharePoint Online 2010 (modo dedicado)
Privilegios de acceso para los análisis de SharePoint
Privilegios de acceso para los análisis de SharePoint

Para realizar el análisis de SharePoint, las cuentas de usuario deben tener
suficientes derechos de acceso y navegación en el contenido del sitio de SharePoint.
La cuenta de usuario debe, además, tener el permiso para invocar los servicios
web y para obtener la lista de control de acceso (ACL).
Estos derechos corresponden a los permisos de nivel inferior de SharePoint
“Examinar directorios”, “Usar interfaces remotas” y “Enumerar permisos”. Consulte
la documentación de Microsoft SharePoint para obtener más información sobre
los permisos y los niveles de permiso de SharePoint. Si la cuenta de usuario no
tiene el derecho “Enumerar permisos”, entonces no se obtiene la ACL para el
contenido de SharePoint.
Los niveles siguientes de permisos en SharePoint ya tienen estos permisos
definidos:
■ Control completo (incluye Examinar directorios, Usar interfaces remotas y
Enumerar permisos)
■ Diseño (incluye los permisos Examinar directorios y Usar interfaces remotas)
■ Contribuir (incluye los permisos Examinar directorios y Usar interfaces remotas)
Acerca de las recopilaciones de la asignación de

acceso alternativo
SharePoint requiere que todas las direcciones URL usadas para acceder a una
aplicación web se definan en la administración central como internas o públicas y
la solución de Symantec SharePoint espera que el usuario proporcione una de
esas direcciones URL definidas como destino del análisis. Use la recopilación de
la asignación de acceso alternativo de SharePoint para definir las direcciones URL
de la aplicación web que se usan para analizar. Para obtener información sobre
cómo configurar las recopilaciones de la asignación de acceso alternativo, consulte
http://technet.microsoft.com/es-mx/library/cc288609%28office.12%29.aspx.
Cómo configurar y ejecutar análisis del servidor de

SharePoint
siguiente.
Si elige usarlo, la solución de SharePoint debe instalarse en Front End web en un
conjunto.
Cómo configurar y ejecutar análisis del servidor de SharePoint
Ver "Cómo instalar la solución de SharePoint en los clientes web en un conjunto"

en la página 1918.
Es posible analizar los repositorios de SharePoint sin usar la solución de SharePoint.
Tenga en cuenta que los análisis de SharePoint que no usan la solución de
SharePoint tienen las limitaciones siguientes:
■ No es posible usar una aplicación web como raíz de contenido para el análisis.
En cambio, es necesario extraer manualmente las recopilaciones del sitio para
usar como raíces de contenido.
Ver "Para enumerar la recopilación de URL del sitio" en la página 1920.
■ Los detalles del incidente de SharePoint no incluyen información relacionada
con permisos.
■ No es posible usar cualquier acción de Server FlexResponse para reparar los
incidentes de SharePoint.
Ver "Cómo habilitar el análisis de SharePoint sin instalar la solución de SharePoint"
en la página 1920.
Para configurar un nuevo destino para el análisis de un servidor de SharePoint
1 Haga clic en Administrar > Análisis de detección > Destinos de Discover
> Nuevo destino > Servidor > SharePoint.
2 En la ficha General, escriba el nombre de este destino del análisis.
3 Seleccione los grupos de políticas que contengan las políticas para este análisis
de destino.
4 Seleccione las opciones de programación.
de destino.
Ver "Programar los análisis de Network Discover/Cloud Storage Discover"
en la página 1793.
5 En la ficha Destino, seleccione los servidores de Discover donde este análisis
de destino puede ejecutarse.
6 En la ficha Contenido analizado, escriba las credenciales para este análisis.

Es posible usar uno de tres modos de autenticación:
■ Windows (opción predeterminada)
Nota: Seleccione esta opción si ha configurado la acción SharePoint

Encrypt de Server FlexResponse para el grupo de políticas asignado.
■ Formularios
■ Notificaciones, solo para Servicios de Federación de Active Directory
(ADFS) de Microsoft
Si elige la autenticación de Notificaciones, escriba el Nombre del servicio
de federación. El Nombre del servicio de federación es la URL del
servidor de ADFS. Es posible encontrar el nombre correcto en la sección
Propiedades de los servicios de federación de la consola ADFS.
Es posible especificar un nombre de usuario predeterminado para el acceso
a todos los sitios de SharePoint, excepto los especificados que usan el editor
Agregar.
Si especifica los sitios de SharePoint con el editor Agregar, se pueden
especificar distintas credenciales para cada sitio.
Las cuentas de usuario deben tener permisos para “examinar directorios” en
SharePoint para realizar el análisis. Para recuperar permisos, la cuenta de
usuario necesita el nivel de permiso de los “permisos de enumeración” de
SharePoint.
Ver "Privilegios de acceso para los análisis de SharePoint" en la página 1912.
7 Especifique los sitios de SharePoint para analizar.
Para cada sitio, escriba una URL de destino a la recopilación de sitios, la
aplicación web de SharePoint o el sitio para analizar. Se analizan todos los
elementos en sus sitios secundarios y los subsitios.
Para una aplicación web, especifique por ejemplo:
http://www.sharepoint.com:2020
Para una recopilación de sitios, especifique por ejemplo:

http://www.sharepoint.com:2020/Sites/collection
Para un sitio o un subsitio, especifique por ejemplo:

http://www.sharepoint.com:2020/Sites/mysharepoint/sub/mysite
Para el sitio de SharePoint, use la URL pública en vez de la URL interna.

La sintaxis siguiente se aplica a la URL y las credenciales en cada línea.
URL,[username,password]
Seleccione uno de los siguientes métodos para entrar en la ubicación para el

servidor de SharePoint:
■ Archivo cargado
Seleccione Analizar sitios de un archivo cargado. Cree y guarde un
archivo de texto sin formato (.txt) con los servidores que desea analizar.
Cree el archivo usando un programa de edición de texto de ASCII y escriba
una URL por línea. A continuación, haga clic en Examinar para localizar
el archivo con la lista. Haga clic en Cargar ahora para importarlo.
■ Entradas individuales
Seleccione Analizar sitios. Haga clic en Agregar para usar un editor de
líneas para especificar los servidores que desee analizar. La información
de servidor que se escribe aquí tiene prioridad sobre los valores
predeterminados y se aplica solamente a la ruta especificada.

para los nuevos destinos.
Si ha cambiado la política u otras definiciones en un análisis existente, se
puede configurar el análisis siguiente como análisis completo. Seleccione la
siguiente opción:
Si desea analizar siempre todos los elementos en este destino, seleccione la
siguiente opción:

Use el Filtro de inclusión y el Filtro de exclusión para especificar los
elementos que Symantec Data Loss Prevention debe procesar u omitir. Si el
campo está vacío, Symantec Data Loss Prevention hace coincidir todos los
elementos. Si escribe cualquier valor para el filtro de inclusión, Symantec Data
Loss Prevention analiza solamente esos elementos que coinciden con su filtro.
Delimite las entradas con una coma, pero no use espacios.
Es posible proporcionar los filtros usando expresiones regulares o las rutas
relacionadas con la ubicación del sitio de SharePoint. Los filtros pueden incluir
una recopilación del sitio, un sitio, un subsitio, una carpeta, un nombre de
archivo o una extensión de archivo. Los filtros no pueden incluir el protocolo
o el nombre de host. Los filtros de ruta no se aplican a los archivos adjuntos
de un elemento, por ejemplo, un archivo adjunto .doc a un elemento de la
lista.
Por ejemplo: para excluir el sitio
https://app-1234.foo.com/sites/travel/XYZ, el filtro de exclusión *XYZ
funciona, pero https://app* y https://app-1234.foo.com/sites/travel/XYZ* no
lo hacen.
Todos los filtros de ruta distinguen entre mayúsculas y minúsculas.
Para el filtro de inclusión, la coincidencia de la expresión regular se aplica
a los archivos, pero no a las carpetas.
Para el filtro de exclusión, la coincidencia de la expresión regular se aplica
a los archivos y a las carpetas
Solamente la ruta hasta el primer "?" o "*" se considera cuando una carpeta
o un archivo coinciden.
Cuando todos los filtros de ruta especificados son pertinentes, se omite la
carpeta coincidente, y la estadística del análisis no incluye los elementos en
las carpetas omitidas.
Para obtener el mejor resultado, comience su filtro de inclusión o exclusión
con un carácter comodín.
10 En la ficha Filtros, seleccione los filtros de fecha.

Los filtros de fecha le permiten incluir elementos del proceso coincidente según
sus fechas. Se analiza cualquier elemento que coincida con los filtros de fecha
especificados.
11 En la ficha Filtros, seleccione filtros de tamaño.
Los filtros de tamaño le permiten excluir elementos del proceso de búsqueda
solamente los elementos que coinciden con los filtros especificados de tamaño.
Si deja este campo vacío, Symantec Data Loss Prevention hace coincidir los
elementos o documentos de todos los tamaños.
en la página 1805.
En la ficha Avanzado, se pueden configurar opciones de restricción y el modo
de inventario para analizar.
Especifique el número máximo de elementos que se procesarán por minuto
por servidor de detección o especifique el número máximo de bytes que
se procesarán por minuto por servidor de detección. Para los bytes,
especifique la unidad de medida de la lista desplegable. Las opciones son
bytes, KB (kilobytes) o MB (megabytes).
Nota: La restricción de bytes se aplica solamente después de la búsqueda

de cada elemento. Por lo tanto, el tráfico de red real quizá no coincidirá
exactamente con la restricción de bytes que se configure.
Escriba el número de incidentes para producir antes de pasar al sitio
siguiente para el análisis (una URL de la ficha Contenido analizado ).
Para auditar si existen datos confidenciales en un destino sin analizarlo
todo, configure el modo de inventario para analizar. Los umbrales del
incidente de la configuración pueden mejorar el rendimiento del análisis
yendo al sitio siguiente para analizar, en lugar de analizar todo.
Una vez que el umbral del incidente se ha alcanzado, el análisis de este
sitio se detiene y el análisis continúa al sitio siguiente. Como el proceso es
asincrónico, se pueden crear más incidentes que los especificados en el
umbral de incidentes.
Cómo instalar la solución de SharePoint en los clientes web en un conjunto
Cómo instalar la solución de SharePoint en los

clientes web en un conjunto
Para analizar un destino de SharePoint usando Network Discover, es necesario
instalar la solución de Symantec SharePoint en los clientes web en un conjunto.
El destino de SharePoint que se ejecuta en Network Discover se comunica con la
solución de SharePoint y busca contenido una vez que el destino se autentica en
SharePoint. Es posible configurar la aplicación para usar SSL si la transferencia
de datos segura es necesaria entre Network Discover y los servidores de
SharePoint.
Los permisos específicos son necesarios para el proceso de instalación de la
solución de SharePoint.
Ver "Privilegios de acceso para los análisis de SharePoint" en la página 1912.
La solución Symantec SharePoint tiene versiones y no es compatible con versiones
anteriores. Si está actualizando desde Symantec Data Loss Prevention versión
14.x o anterior, es necesario desinstalar su solución SharePoint existente e instalar
la versión 15.0. Tabla 65-2 enumera la versión de la solución de SharePoint que
es compatible con su versión de Symantec Data Loss Prevention.
Tabla 65-2 Compatibilidad de la versión de la solución de Symantec SharePoint
Versión de la solución de Symantec Versiones compatibles con Symantec

SharePoint Data Loss Prevention
Sin número de versión 11.0 a 11.5
11.5.1 11.5.1
11.6 11.6, 11.6.1, 11.6.2
12.0 12.0, 12.0.1
12.5 12.5, 12.5.1, 12.5.2
14.0 14.0, 14.0.1, 14.0.2
14.5 14.5, 14.5 MP1
14.6 14.6, 14.6 MP1
15.0 15.0
Cómo instalar la solución de SharePoint en los clientes web en un conjunto
Para instalar la solución de Symantec SharePoint

1 Copie el instalador de la solución de SharePoint
Symantec_DLP_Solution_15.0.exe en un directorio temporal en el front-end
web de SharePoint. Este archivo se encuentra en el directorio
DLP_Home\Symantec_DLP_15.0_Win\Third_Party\SharePoint o
DLP_Home/Symantec_DLP_15.0_Lin/Third_Party/SharePoint, donde
DLP_Home es el nombre del directorio en el cual se descomprimió el software
2 Inicie el servicio de administración de Windows SharePoint Services en el
servidor de SharePoint. En el servidor de SharePoint, haga clic en Inicio >
Todos los programas > Herramientas administrativas > Administración
central de SharePoint.
3 Haga doble clic en el archivo Symantec_DLP_Solution_15.0.exe. El programa
de instalación de la solución de Symantec Data Loss Prevention se inicia.
4 Haga clic en Siguiente y el programa de instalación realizará varias
comprobaciones preliminares.
Si una de estas comprobaciones genera errores, corrija el problema y reinicie
el programa de instalación.
Haga clic en Siguiente.
5 Acepte el Acuerdo de licencia de Symantec y haga clic en Siguiente.
6 El programa de instalación copia los archivos e implementa la solución en
todas las aplicaciones web en el conjunto de SharePoint.
7 Después de la instalación, verifique que la solución de SharePoint se haya
implementado correctamente en el servidor o conjunto de servidores.
8 Conéctese a Administración central de SharePoint. En el servidor
SharePoint, vaya a Inicio > Todos los programas > Herramientas
administrativas > Administración central de SharePoint.
9 Para SharePoint 2007, haga clic en la ficha Operaciones. En la sección
Configuración global, seleccione Administración de la solución.
10 Para SharePoint 2010, 2013 y 2016, haga clic en Configuración del sistema.
A continuación, seleccione Administrar granja de soluciones.
11 Verifique la implementación. Si la solución está instalada correctamente, la
lista incluye symantec_dlp_solution.wsp.
12 Si la solución se debe eliminar, use las funciones de no implementación y
retracción de SharePoint.
Cómo habilitar el análisis de SharePoint sin instalar la solución de SharePoint
Cómo habilitar el análisis de SharePoint sin instalar

la solución de SharePoint
Es posible habilitar el análisis de SharePoint sin instalar la solución de SharePoint
del front-end web de su conjunto de SharePoint. Es posible adoptar este enfoque
si tiene varios conjuntos de SharePoint en redes aisladas, por ejemplo.
Analizar los repositorios de SharePoint sin usar la solución de SharePoint conlleva
las limitaciones siguientes:
■ No es posible usar una aplicación web como raíz de contenido para el análisis.
En cambio, es necesario extraer manualmente las recopilaciones del sitio para
usar como raíces de contenido.
Ver "Para enumerar la recopilación de URL del sitio" en la página 1920.
■ Los detalles del incidente de SharePoint no incluyen información relacionada
con permisos.
■ No es posible usar cualquier acción de Server FlexResponse para reparar los
incidentes de SharePoint, incluyendo la acción de respuesta de SharePoint
Encrypt.
Para habilitar el análisis de SharePoint sin instalar la solución de SharePoint
1 En cada servidor de detección de Discover que se desee usar para analizar
los repositorios de SharePoint sin usar la solución de SharePoint, abra el
archivo de /Protect/config/Crawler.properties en un programa de edición
de texto.
2 Añada sharepointcrawler.use.plugin=false al archivo
Crawler.properties.
3 Guarde el archivo editado.

4 Recicle el servidor de detección de Discover.
Para enumerar la recopilación de URL del sitio
1 Abra Windows PowerShell y escriba el siguiente comando, donde
"http://MyWebApp" es la URL de su aplicación web (se agregó un salto de
línea para la legibilidad):
Get-SPWebApplication http://MyWebApp| Get-SPSite | Select Url |

Out-File -FilePath "C:\spSites.txt"
2 Use el archivo spSites.txt para incorporar sus recopilaciones del sitio al

configurar su destino de Discover.
Cómo configurar los análisis de SharePoint para usar la autenticación de Kerberos
Cómo configurar los análisis de SharePoint para usar

la autenticación de Kerberos
Un análisis de SharePoint puede usar opcionalmente la autenticación de Kerberos.
SharePoint debe estar configurado para funcionar con la autenticación de Kerberos.
El servidor de detección debe ser configurado para comunicarse con el centro de
distribución de claves (KDC) y el servidor de SharePoint.
Para configurar el servidor de detección para la autenticación de Kerberos
1 Cree un archivo con el nombre krb5.conf que contenga el dominio y la
información de KDC. En Windows, este archivo, generalmente, se denomina
krb5.ini. Un archivo de muestra está en la carpeta
C:\SymantecDLP\Protect\config (en una instalación predeterminada de
Symantec Data Loss Prevention de Windows).
2 Copie este archivo en el servidor de detección en la carpeta
C:/SymantecDLP/jre/lib/security/ (en una instalación predeterminada de
Solución de problemas de análisis de SharePoint
3 Actualice el dominio y los parámetros del servidor de directorio (reinos)

predeterminados en este archivo.
[libdefaults]
default_realm = ENG.COMPANY.COM
[realms]
ENG.COMPANY.COM = {
kdc = engADserver.emg.company.com
}
kdc = markADserver.emg.company.com
}

4 En el servidor de detección, actualice el archivo Protect.properties en la
carpeta C:\SymantecDLP\Protect\config (en una instalación predeterminada
de Symantec Data Loss Prevention de Windows). Actualice la propiedad que
hace referencia al archivo krb5.ini actualizado.
# Kerberos Configuration Information

java.security.krb5.conf=C:/SymantecDLP/jre/lib/security/krb5.ini

Tabla 65-3 proporciona sugerencias para solucionar problemas de los análisis de
SharePoint.
Tabla 65-3 Solución de problemas de análisis de SharePoint
Problema Pasos recomendados
Si se especifica la URL Especifique la URL pública para el sitio de SharePoint. Se analizan

interna de SharePoint, todas las recopilaciones de sitios.
solamente se analiza
la recopilación
predeterminada de
sitios.
No se analizan las Especifique la recopilación de sitios, el sitio o la URL de la aplicación

recopilaciones de con un nombre de dominio completo.
sitios, o se analizan
Para validar el acceso desde el servidor de detección, intente
solamente la
acceder a la URL de SharePoint desde un navegador. Si un nombre
recopilación
corto no funciona, intente usar el nombre de dominio completo.
predeterminada de
sitios, cuando el sitio Solamente se analiza la recopilación predeterminada de sitios si la
del servidor de URL de la aplicación no contiene el nombre de dominio completo.
detección y de
SharePoint están en
diversos dominios.
Los bytes informados Para mejorar rendimiento, la estadística del análisis no incluye los
como analizados no elementos de las carpetas que se omiten (filtrado).
coinciden con el
El contenido dinámico, como los archivos .aspx, puede cambiar
número de bytes en el
de tamaño.
contenido.
Es posible configurar la opción del servidor avanzado
Discover.countAllFilteredItems para obtener una
estadística más exacta del análisis.
Los análisis no están Si está teniendo problemas con la autenticación de Kerberos,

funcionando compruebe los elementos siguientes:
correctamente
■ Asegúrese de que la resolución de DNS para el controlador de
configurados con
dominio y los servidores SharePoint sea correcta del servidor
Kerberos.
de detección.
■ Asegúrese que la integración con el cliente esté habilitada para
la zona en la cual la aplicación web se ejecuta.
■ Considere agregar los dominios al archivo
C:/SymantecDLP/jre/lib/security/krb5.ini. Por
ejemplo:
[domain_realms]
.MYDOMAIN.COM=MYDOMAIN.COM
Los análisis usando la Confirme que el Nombre del servicio de federación esté escrito
autenticación basada correctamente. El Nombre del servicio de federación es la URL
en notificaciones fallan del servidor de ADFS. Es posible encontrar el nombre correcto en
por un error de la sección Propiedades de los servicios de federación de la consola
conexión de ADFS. ADFS.
Solución de problemas Symantec Data Loss Prevention registra errores en el análisis en

general el registro de análisis y los registros del programa de lectura del
archivo.
Capítulo 66
los servidores de Exchange
■ Cómo configurar análisis de servidores de repositorios de Exchange
■ Acerca de los análisis de servidores Exchange
■ Destinos admitidos del servidor de Exchange
■ Configurar los análisis de Exchange Server
■ Configuración de análisis de Exchange para usar la autenticación de Kerberos
■ Configuración y casos de uso de ejemplo para análisis de Exchange
■ Cómo solucionar problemas en los análisis de Exchange
Cómo configurar análisis de servidores de

repositorios de Exchange
Es posible rastrear servidores de Exchange 2007 SP2 (y versiones posteriores),
2010, 2013 y 2016 (en las instalaciones).
Tabla 66-1 Cómo configurar un análisis del servidor de Exchange
1 Verifique que los servicios web de Exchange y el Para obtener información sobre los servicios web de
servicio de detección automática estén habilitados en Exchange y el servicio de detección automática,
su Exchange Server y sean accesibles para el servidor consulte la documentación de Microsoft Exchange.
de Network Discover.
Cómo configurar análisis de los servidores de Exchange 1926
Acerca de los análisis de servidores Exchange
2 Si necesita acceso seguro entre el servidor de De forma predeterminada, Symantec Data Loss
detección y los servicios web de Exchange o su Prevention permite solamente las conexiones HTTPS
servidor de Active Directory, configure el HTTPS y al servidor de Active Directory y a los servicios web de
LDAPS. Exchange. Para permitir las conexiones HTTP,
configure la opción
Discover.Exchange.UseSecureHttpConnections
en Detalles del servidor > Configuración avanzada
del servidor como false.
Ver "Configuración avanzada del servidor"

en la página 293.
3 Asegúrese de que sus credenciales de usuario de Para obtener información sobre cómo habilitar la
Exchange puedan imitar a cualquier buzón que desee imitación para sus credenciales de usuario, consulte
analizar. la documentación de Microsoft Exchange.
4 Vaya a Administrar > Análisis de detección > Ver "Configurar los análisis de Exchange Server "
Destinos de Discover para crear un destino de en la página 1928.
Exchange y para configurar el análisis de los servidores
de Exchange.
5 Configure cualquier opción adicional de análisis para Ver "Opciones de configuración de destino de análisis
el destino de Exchange. de Network Discover/Cloud Storage Discover"
en la página 1790.
6 Inicie el análisis de Exchange Server. Vaya a Administrar > Análisis de detección >
Seleccione el destino del análisis de la lista de destinos

y después haga clic en el icono de inicio.
7 Verifique que el análisis se esté ejecutando Ver "Administrar análisis de destinos de Network
correctamente. Discover/Cloud Storage Discover" en la página 1815.
Acerca de los análisis de servidores Exchange

Es posible analizar servidores Exchange 2007 SP2 (y versiones posteriores), 2010,
2013 y 2016 (en las instalaciones). El análisis de Exchange no requiere un agente
en Exchange Server y no busca cada Exchange Server. Al usar la función Detección
automática de Exchange, se recopila información de Exchange Server y del buzón
de Active Directory y se extraen los datos directamente de los servidores apropiados
de Exchange con el protocolo simple de acceso a objetos (SOAP). Para obtener
más información sobre la función Detección automática de Exchange, consulte
http://technet.microsoft.com/es-mx/library/bb124251.aspx.
Destinos admitidos del servidor de Exchange
El servidor Network Discover localiza un intervalo de datos confidenciales expuestos

en los servidores Exchange, incluidos mensajes de correo electrónico, elementos
del calendario, contactos, el diario y elementos marcados. Network Discover no
analiza los equipos ni el espacio disponibles de los buzones.
La comunicación es segura cuando se configura Exchange Server para usar SSL
(HTTPS). La comunicación con el servidor de Active Directory es segura cuando
se configura para usar LDAPS.
Para HTTPS, la validación del certificado SSL del servidor no es la predeterminada.
Para habilitar la validación del certificado SSL del servidor, active la opción avanzada
Discover.ValidateSSLCertificates. A continuación, importe el certificado SSL
del servidor al servidor de detección.
De forma predeterminada, Network Discover usa conexiones seguras a los
servidores de Exchange y de Active Directory. Es posible deshabilitar el acceso
seguro a Exchange y a Active Directory configurando la opción
Discover.Exchange.UseSecureHttpConnections en Detalles del servidor >
Configuración avanzada del servidor como false.
en la página 283.
Nota: Network Discover no admite los análisis de los destinos de Exchange usando
los grupos dinámicos de distribución.
Destinos admitidos del servidor de Exchange

Symantec Data Loss Prevention admite los destinos siguientes de Exchange Server:
■ Microsoft Exchange Server 2013
■ Microsoft Exchange Server 2016 (en las instalaciones)
Para usar el conector de servicios web de Exchange, los servicios web de Exchange
y el servicio de detección automática se deben habilitar en Exchange Server y son
accesibles para el servidor de Network Discover.
Es posible analizar los objetos de datos que se almacenan dentro de las carpetas
públicas, por ejemplo:
■ Mensajes de correo electrónico
■ Archivos adjuntos del mensaje
■ Documentos de Microsoft Word
Configurar los análisis de Exchange Server
■ Hojas de cálculo de Excel

El análisis de Exchange además apunta al correo almacenado en los archivos de
almacenamiento personales de Exchange 2013 y 2016.

siguiente.
Para configurar un nuevo destino para el análisis de un servidor de Exchange
1 Vaya a Administrar > Análisis de detección > Destinos de Discover >
Nuevo destino > Servidor > Exchange.
2 En la ficha General, escriba el nombre de este destino del análisis.
3 Seleccione los grupos de políticas que contengan las políticas para este análisis
de destino.
4 Seleccione las opciones de programación.
de destino.
Ver "Programar los análisis de Network Discover/Cloud Storage Discover"
en la página 1793.
5 En la ficha Destino, seleccione los servidores de Network Discover donde
este análisis de destino puede ejecutarse.
6 En la ficha Contenido analizado, escriba las credenciales para este análisis.

Todos los nombres de usuario de Exchange deben incluir el nombre de dominio,
por ejemplo:
DOMAIN_NAME\user_name
Asegúrese de que las credenciales del usuario que usted proporcione puedan
imitar a todos los buzones que desea analizar. Para obtener información sobre
cómo configurar la imitación de Exchange, consulte
http://msdn.microsoft.com/en-us/library/bb204095.aspx.
Ver "Cómo proporcionar la autenticación de contraseña para el contenido
analizado de Network Discover" en la página 1796.
7 Escriba una dirección URL de destino para el servidor de Microsoft Active
Directory. Por ejemplo, ldaps://dc.domain.com:636.
Nota: Solamente un servidor de Active Directory se puede especificar por

destino de Discover.
8 Seleccione Carpetas públicas para analizar todas las carpetas públicas en

Exchange Server. El usuario de las credenciales que se especifican debe tener
acceso a estas carpetas públicas.
Nota: En entornos Exchange mixtos donde se implementan los servidores

Exchange 2007, 2010 y 2013, Network Discover analiza solamente las carpetas
públicas de la versión especificada por las credenciales que usted escribió el
destino de Exchange Network Discover. Para analizar las carpetas públicas
de ambas versiones 2007, 2010 y 2013 en entornos mixtos, cree un destino
de Network Discover independiente para cada versión.
Es posible seleccionar esta opción además de Todos los usuarios en un

servidor de directorio o de Grupos y usuarios del directorio.
9 Seleccione Buzones para analizar los buzones de usuario en sus Exchange
Servers. Seleccione uno de los siguientes métodos para escribir los elementos
al análisis en el servidor de Exchange:
■ Todos los usuarios del servidor de directorio
Si un servidor de directorio está disponible, después seleccione Servidor
de directorio de la lista desplegable.
Para usar esta opción, seleccione la conexión del servidor de directorio
que se ha especificado ya o haga clic en el vínculo Crear nueva conexión
al directorio para configurar otra conexión al directorio.
Ver "Cómo configurar las conexiones al servidor de directorio"

en la página 168.
■ Grupos y usuarios del directorio
Si los grupos de usuarios del directorio están disponibles, seleccione los
grupos para incluir en este destino.
Para usar esta opción, los grupos del directorio se deben establecer. Si no
se configura ningún grupo del directorio, haga clic en el vínculo Crear un
grupo de usuarios nuevo a fin de ir a la página para configurar los grupos
de usuarios del directorio.
■ Especificar los buzones de usuario que se incluirán en este destino
Especifique los buzones específicos. Los caracteres alfanuméricos y los
caracteres especiales siguientes están permitidos en nombres de buzón:
! # $ ' - ^ _ ` { }
Es posible combinar esta opción con los grupos y los usuarios del directorio.
Los grupos del directorio no son necesarios para la opción de buzones del
usuario.
■ Archivos personales
Seleccione esta opción para analizar los buzones de Exchange 2010 y
2013 Personal Archive para los usuarios que se han especificado.

Use Filtros de inclusión y Filtros de exclusión para especificar los elementos
que Symantec Data Loss Prevention debe procesar u omitir. Si el campo está
vacío, Symantec Data Loss Prevention hace coincidir todos los elementos. Si
escribe cualquier valor para el filtro de inclusión, Symantec Data Loss
Prevention analiza solamente esos elementos que coinciden con su filtro.
Delimite las entradas con una coma, pero no use espacios.
relacionadas con la ubicación del sitio de Exchange. Los filtros pueden incluir
un nombre de carpeta o un nombre de archivo. Todos los filtros de ruta
distinguen entre mayúsculas y minúsculas.
Exchange puede añadir un identificador de correo electrónico al final de la
ruta. Para hacer coincidir el filtro, agregue un comodín al extremo. Por ejemplo,
para filtrar por “elemento de la carpeta pública de muestra”, use el filtro
siguiente:
*/folder/*/*sample public folder item*

relacionadas con la ubicación del sitio de Exchange. Los filtros pueden incluir
una recopilación del sitio, un sitio, un subsitio, una carpeta, un nombre de
archivo o una extensión de archivo. Todos los filtros de ruta distinguen entre
mayúsculas y minúsculas.
Para los Filtros de inclusión, la coincidencia de expresiones regulares se
aplica a los archivos, pero no a las carpetas.
Para los Filtros de exclusión, la coincidencia de expresiones regulares se
aplica a los archivos y a las carpetas.
Solamente la ruta hasta el primer "?" o "*" se considera cuando una carpeta
o un archivo coinciden.
Cuando todos los filtros de ruta especificados son pertinentes, se omite la
carpeta coincidente, y la estadística del análisis no incluye los elementos en
las carpetas omitidas.
11 En la ficha Filtros, seleccione filtros de tamaño.

Los filtros de tamaño le permiten excluir elementos del proceso de búsqueda
solamente los elementos que coinciden con los filtros especificados de tamaño.
Si deja este campo vacío, Symantec Data Loss Prevention realiza la búsqueda
de coincidencias de elementos de todos los tamaños.
en la página 1805.
12 En la ficha Filtros, seleccione un análisis diferencial (opcional).
Seleccione Analizar únicamente los archivos agregados o modificados
desde el último análisis completo para que Symantec Data Loss Prevention
analice solamente los elementos o los documentos que se hayan agregado o
modificado desde el último análisis completo. El primer análisis tiene que ser
un análisis completo (base inicial). Un análisis completo ocurre si se selecciona
esta opción antes de que Symantec Data Loss Prevention analice este destino
por primera vez.
13 Seleccione Filtros de fecha.
Los filtros de fecha le permiten incluir elementos del proceso coincidente según
sus fechas. Se analiza cualquier elemento que coincida con los filtros de fecha
especificados.
En la ficha Avanzado, se pueden configurar opciones de restricción y el modo
de inventario para analizar.
Es posible usar la restricción para limitar el ancho de banda consumido
por su análisis o para limitar la carga en su Exchange Server. Especifique
el número máximo de elementos que se procesarán por minuto por servidor
de detección o especifique el número máximo de bytes que se procesarán
por minuto por servidor de detección. Para los bytes, especifique la unidad
de medida de la lista desplegable. Las opciones son bytes, KB (kilobytes)
o MB (megabytes).
Escriba el número de incidentes para producir antes de completar este
análisis. Para auditar si existen datos confidenciales en un destino sin
analizarlo todo, configure el modo de inventario para analizar.
Configuración de análisis de Exchange para usar la autenticación de Kerberos
Una vez que el umbral del incidente se ha alcanzado, el análisis se detiene.

Como el proceso es asincrónico, se pueden crear más incidentes que los
especificados en el umbral de incidentes.
Configuración de análisis de Exchange para usar la

autenticación de Kerberos
Un análisis de Exchange puede usar opcionalmente la autenticación de Kerberos.
Exchange ya debe estar configurado para funcionar con la autenticación de
Kerberos.
El servidor de Discover se debe configurar para comunicarse con el centro de
distribución de claves (KDC) y el servidor de Exchange.
Para configurar el servidor de Discover para la autenticación de Kerberos
1 Cree un archivo con el nombre krb5.conf que contenga el dominio y la
información de KDC. En Windows, este archivo, generalmente, se denomina
krb5.ini. Un archivo de muestra está en la carpeta
C:\SymantecDLP\Protect\config (en una instalación predeterminada de
2 Copie este archivo en el servidor de Discover en la carpeta
C:/SymantecDLP/jre/lib/security/ (en una instalación predeterminada de
Configuración y casos de uso de ejemplo para análisis de Exchange
3 Actualice el dominio y los parámetros del servidor de directorio (reinos)

predeterminados en este archivo.
[libdefaults]
default_realm = ENG.COMPANY.COM
[realms]
ENG.COMPANY.COM = {
kdc = engADserver.emg.company.com
}
kdc = markADserver.emg.company.com
}

4 En el servidor de Discover, actualice el archivo Protect.properties en la
carpeta C:\SymantecDLP\Protect\config (en una instalación predeterminada
de Symantec Data Loss Prevention de Windows). Actualice la propiedad que
hace referencia al archivo krb5.ini actualizado.
# Kerberos Configuration Information

java.security.krb5.conf=C:/SymantecDLP/jre/lib/security/krb5.ini
Configuración y casos de uso de ejemplo para análisis

de Exchange
Tabla 66-2 enumera las opciones para seleccionar en la ficha Contenido analizado
durante la configuración de un destino de Exchange.
Asegúrese de que las credenciales del usuario que usted proporcione puedan
imitar a todos los buzones que desea analizar. Para obtener información sobre
cómo configurar la imitación de Exchange, consulte
http://msdn.microsoft.com/en-us/library/bb204095.aspx.
Cómo solucionar problemas en los análisis de Exchange
Tabla 66-2 Casos de uso del análisis de Exchange
Caso de uso Descripción
Analice todos los buzones y Seleccione las siguientes opciones en la interfaz de usuario:
las carpetas públicas del
■ Carpetas públicas
usuario.
■ Buzones > Todos los usuarios del servidor de directorio
Las credenciales deben tener permiso para imitar a todos los buzones que desee
analizar.
Analice todos los buzones Seleccione Buzones > Todos los usuarios del servidor de directorio en la interfaz
de los usuarios (pero no de usuario.
carpetas públicas).
analizar.
Analice todas las carpetas Seleccione Carpetas públicas en la interfaz de usuario.

públicas.
Analice grupos o usuarios Seleccione Buzones > Grupos y usuarios del directorio en la interfaz de usuario.
específicos.
Para analizar un grupo de directorios, seleccione Grupo de directorios de los grupos
en la lista. Todos los buzones del usuario en el grupo se analizan. Es posible hacer clic
en Crear un nuevo grupo de usuarios para crear nuevo grupo de directorios.
Para realizar un análisis en busca de usuarios específicos, escriba una lista de nombres
de buzón de usuarios separados por comas.
analizar.
Analice un archivo de Seleccione Buzones > Todos los usuarios del servidor de directorio > Archivos
almacenamiento de personales o Buzones > Grupos y usuarios del directorio > Archivos personales
personal de Exchange 2010. en la interfaz de usuario. Si es necesario, especifique qué buzones analizar. Network
Discover analiza los archivos de almacenamiento personales asociados a los buzones
especificados.
Cómo solucionar problemas en los análisis de

Exchange
Si experimenta problemas con los análisis de Exchange, puede buscar más
información aquí:
■ FileReader0.log: este archivo registra todas las respuestas y solicitudes SOAP
entre el servidor de Network Discover y los servicios web de Exchange.
Cómo solucionar problemas en los análisis de Exchange
Para configurar el registro del programa de lectura de archivos para enumerar

las solicitudes SOAP, edite el archivo FileReaderLogging.properties de la
siguiente manera:
java.util.logging.FileHandler.level = FINEST
org.apache.cxf.interceptor.LoggingInInterceptor.level = FINEST
org.apache.commons.beanutils.converters.level = WARNING
Ver "Archivos de registro operativos" en la página 352.
Nota: Solamente la línea java.util.logging.FileHandler.level = FINEST está

presente. Es necesario agregar las otras como se especifica en el ejemplo
anterior.
■ Registros de Exchange: es posible que encuentre información sobre solución

de problemas útil en los registros creados por su Microsoft Exchange Server.
Capítulo 67
Acerca de analizadores de
Network Discover
■ Cómo configurar el análisis de los servidores de Microsoft Exchange
■ Cómo funcionan los analizadores de Network Discover
■ Solución de problemas de analizadores
■ Procesos del analizador
■ Estructura del directorio de instalación del analizador
■ Archivos de configuración del analizador
■ Opciones de configuración del controlador del analizador
Cómo configurar el análisis de los servidores de

Microsoft Exchange
El analizador de Exchange es una utilidad independiente que le permite extraer
datos de Microsoft Exchange y enviarlos a Network Discover para procesar el
contenido.
El analizador de Exchange accede a los buzones de los clientes en Exchange
Server utilizando un cliente conectado de Outlook.
El analizador de Exchange le permite especificar qué perfil de MAPI debe usarse
para extraer datos de la estructura de Exchange. El analizador de Exchange utiliza
perfiles para conectarse a Exchange Server a través de la interfaz de MAPI. A
continuación, fija los archivos para descubrir.
Acerca de analizadores de Network Discover 1938
Cómo configurar el análisis de los servidores de Microsoft Exchange
Es posible usar el analizador de Exchange para realizar las siguientes tareas:

■ Analizar las carpetas públicas usando una cuenta específica para encontrar los
■ Analizar todos los buzones usando una cuenta de administrador que pueda
acceder a todos los buzones.
■ Analizar un buzón del usuario determinado usando la cuenta de administrador.
■ Analizar el buzón de un único usuario, con el nombre de usuario y la contraseña
conocidos.
Para configurar el análisis de los servidores Microsoft Exchange, complete el
proceso siguiente:
Tabla 67-1 Cómo configurar un analizador de Exchange
1 Verifique que su Exchange Server sea versión

2003 o 2007.
2 Instale el analizador de Exchange en cualquier

equipo que tenga Microsoft Outlook 2003 o 2007
instalados y un perfil válido de Outlook
configurado.
3 Configure ProfileName y la configuración para

DNMailbox.
4 Realice cualquier configuración manual editando

los archivos de configuración y los archivos de
propiedades.
5 En Enforce Server, agregue un nuevo destino de Ver "Agregar un nuevo destino

Exchange. de Network Discover/Cloud
Storage Discover"
en la página 1785.
6 Inicie el análisis de Exchange. Ver "Cómo iniciar el análisis del

sistema de archivos"
Inicie el analizador en el equipo del analizador y,
en la página 1952.
además, inicie el análisis en Enforce Server.
7 Verifique que el análisis se esté ejecutando Ver "Solución de problemas de

correctamente. analizadores" en la página 1939.
Cómo funcionan los analizadores de Network Discover
Cómo funcionan los analizadores de Network Discover

Los analizadores son las aplicaciones independientes que recopilan el contenido
y los metadatos de un repositorio, y los envían a Network Discover para su proceso.
Por ejemplo, en una configuración de dos niveles, es posible que tenga Enforce
Server y un servidor de Network Discover que está conectado a un servidor de
Documentum con un analizador instalado.
Es posible realizar las siguientes tareas en los equipos con esta configuración:
■ En Enforce Server, defina el destino del análisis (en este ejemplo, Documentum).
■ En el servidor de Documentum, instale el analizador de Documentum, configure
el analizador para publicar el contenido en el servidor de Network Discover e
inicie (o detenga) un analizador.
■ En Enforce Server, inicie o detenga un análisis de destino (con el icono de
inicio) y consulte los informes de incidente.
El sistema del analizador se comunica con el servidor Network Discover mediante
el protocolo de HTTP.
Cuando el analizador se ejecuta, realiza las siguientes tareas:
■ Realiza una conexión nativa con el repositorio y arrastra el repositorio para leer
el contenido y los metadatos.
■ Extrae el texto y algunos metadatos.
■ Publica esta información extraída en el servidor Network Discover.
■ Network Discover consume el texto y los metadatos. y aplica la detección.
Solución de problemas de analizadores

Una vez que un análisis se inicia, extrae el contenido y los metadatos del repositorio.
A continuación, pasa este contenido al controlador del análisis y al servidor Network
Discover.
Ver "Cómo funcionan los analizadores de Network Discover" en la página 1939.
Si un analizador no parece procesar elementos, use las sugerencias siguientes:
Solución de problemas de analizadores
Tabla 67-2 Sugerencias para la solución de problemas del analizador
El analizador no parece Verifique que el analizador esté instalado correctamente.

estar en ejecución.
En el sistema donde el analizador está instalado, asegúrese de que los procesos del
analizador estén en ejecución.
Ver "Procesos del analizador" en la página 1941.
Los incidentes no aparecen Verifique que el destino del análisis esté configurado correctamente. Los analizadores
en los informes. pueden enviar solamente el contenido a un destino del mismo tipo. Varios analizadores
del mismo tipo pueden agregar contenido a un análisis de Network Discover de ese
tipo.
Compruebe que el análisis no esté detenido.
El análisis no parece Busque en la carpeta saliente.

iniciarse.
Si un analizador dado no puede enviar el contenido a Network Discover, ese contenido

se coloca en cola, en la carpeta outgoing.
Los elementos que aparecen y desaparecen de esta carpeta indican progreso normal.
Procesos del analizador
El análisis aparece detenido. Si un analizador no puede enviar el contenido a Network Discover, el contenido del
analizador se coloca en cola, en el sistema del analizador. El sistema del analizador
debe tener acceso al servidor Network Discover. Las advertencias de sistema, como
que no hay suficiente espacio en el disco o que servicios inactivos deben existir en
ambos sistemas antes de la instalación.
Para verificar si recibió el contenido en el servidor Network Discover, vaya a la página

de las estadísticas del análisis. Para ver la estadística del análisis, haga clic en el análisis
en ejecución en la lista de análisis de destino.
Verifique que la información del análisis se mueva mediante el proceso del análisis
comprobando los registros y los directorios temporales.

Si el análisis aparece detenido, compruebe las ubicaciones siguientes en el equipo del
analizador para diagnosticar el problema:
■ La carpeta /logs
La carpeta /tipo_analizadorScanner/logs tiene el estado de inicio, detención
y conexión del analizador de Network Discover. La información similar está en la
ventana Consola.
Compruebe los archivos de registro para verificar que un analizador se esté
ejecutando correctamente.
■ La carpeta /failed
Los elementos que aparecen en la carpeta /failed indican una discordancia entre
los tipos del analizador, entre Nuevo destino y el analizador. Por ejemplo, si un
analizador de Exchange se especifica en Nuevo destino, pero el analizador es
SharePoint, los elementos aparecen en la carpeta /failed.
■ La carpeta /outgoing
Los elementos que aparecen y desaparecen de esta carpeta indican progreso normal.
Si los elementos se retrasan en esta carpeta y no se consumen (no desaparecen),
se indica un problema en la extracción del texto y los metadatos.
Si un analizador dado no puede enviar el contenido a Network Discover, ese
contenido se coloca en cola, en la carpeta /outgoing.
■ El directorio /tipo_escánerScanner/scanner tiene el estado de conexión del
analizador al repositorio, la información de arrastre del repositorio y a los datos
traídos.
Procesos del analizador

Tabla 67-3 proporciona la información sobre procesos del analizador Network
Discoveren un sistema operativo Windows.
Estructura del directorio de instalación del analizador
Tabla 67-3 Procesos de descubrimiento
Procesos Archivo ejecutable Descripción
ScannerController scanner_typeScanner_Console.exe Proceso que configura

y controla el conector,
o
envía el contenido al
scanner_typeScanner_Service.exe servidor Network
Discover y envía el
mensaje de finalización
del análisis a Network
Discover.
Conector scanner_typeScanner.exe Proceso que extrae

documentos y
metadatos del
repositorio.
ImportModule ImportSlave.exe Proceso que extrae

texto y metadatos de
los documentos que el
conector descargó.
KeyView KVoop.exe El proceso KeyView

hace la extracción del
texto y la extracción de
los metadatos de tipos
de documento
conocidos.
Binslave BinSlave.exe Proceso que intenta

extraer el texto de tipos
de documento
desconocidos.

Tabla 67-4 describe la estructura del directorio para los archivos de configuración
del analizador Network Discover.
Tabla 67-4 Estructura del directorio de instalación
Ruta Descripción
/scanner_typeScanner
Ruta Descripción
..../bin Archivos para ejecutar el analizador,

iniciarlo y detenerlo.
......../Clean.exe Limpia todos los archivos y registros

temporales del directorio /scanner.
......../EncryptPassword.exe

Symantec DLP 15.0 Admin Guide

Caricato da

Informazioni sul documento

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Symantec DLP 15.0 Admin Guide

Caricato da

Copyright:

Formati disponibili

Guía de administración de

Symantec™ Data Loss

Última actualización: 22 Septiembre

Symantec, el logotipo de Symantec y el logotipo de la marca de comprobación son marcas

ESTA DOCUMENTACIÓN SE PROPORCIONA “TAL CUAL” Y TODAS LAS CONDICIONES,

El Software y la Documentación otorgados bajo licencia se consideran “software informático

Sección 1 Introducción ................................................................... 68

Capítulo 1 Presentación de Symantec Data Loss

Acerca de las actualizaciones de la Guía de administración de

Capítulo 2 Guía de inicio de administración de Symantec Data

Capítulo 3 Utilización de idiomas y configuración

Acerca de la compatibilidad con los juegos de caracteres, los idiomas

Utilización de caracteres internacionales ........................................... 93

Sección 2 Cómo administrar la plataforma de

Capítulo 5 Cómo administrar roles y usuarios ................................ 111

Administrar y agregar roles ........................................................... 132

Capítulo 6 Cómo conectarse a los directorios del grupo .............. 167

Capítulo 7 Cómo administrar credenciales almacenadas ............ 173

Capítulo 8 Cómo administrar eventos y mensajes del

Acerca de los eventos del sistema ................................................. 178

Capítulo 9 Administrar la base de datos de Symantec Data

Ejecución de la herramienta Preparación de la actualización para

Capítulo 10 Utilización de Symantec Information Centric

Capítulo 11 Cómo agregar un nuevo módulo del producto ............ 244

Sección 3 Cómo administrar los servidores de

Cómo eliminar un servidor ............................................................ 282

Capítulo 13 Cómo administrar los archivos de registro .................. 351

Capítulo 14 Cómo usar las utilidades de Symantec Data Loss

Sintaxis de DBPasswordChanger ............................................. 386

Sección 4 Creación de políticas ............................................... 388

Capítulo 16 Descripción general de la detección de

Condiciones de coincidencia de contenido ................................. 418

Capítulo 17 Cómo crear las políticas de las plantillas ..................... 430

Capítulo 18 Configuración de políticas ............................................... 447

Límite de caracteres de entrada para la configuración de

Capítulo 19 Administración de políticas ............................................. 469

Capítulo 20 Prácticas recomendadas para crear políticas ............. 489

Creación de políticas para limitar el efecto potencial de detección de

Capítulo 21 Detección de contenido usando Coincidencia de

Programación de la indización de Perfil de datos

Aumentar la memoria para el servidor de detección (lector de

Incluya los encabezados de columna como la primera fila del

Capítulo 22 Detección de contenido usando Coincidencia de

Configuración de los perfiles de IDM y las condiciones de

Cree perfiles aparte para indizar orígenes de documentos

Capítulo 23 Detección de contenido usando Apr. de máq.

Cómo cambiar nombres y descripciones para perfiles de

Capítulo 24 Detección de contenido usando Reconocimiento

Capítulo 25 Detección de contenido usando OCR -

Capítulo 26 Cómo detectar el contenido usando los

Usar las amplitudes del identificador de datos ............................ 747

Utilice el identificador de datos SSN de los EE. UU. calculado de

Capítulo 27 Cómo detectar el contenido usando coincidencia

Capítulo 28 Cómo detectar el contenido usando expresiones

Presentación de la coincidencia de la expresión regular ..................... 828

Capítulo 29 Detectar el contenido en idiomas

Detectar contenido en un idioma que no sea inglés ........................... 834

Capítulo 30 Cómo detectar propiedades de archivo ........................ 840

Acerca de la coincidencia de nombres de archivo ....................... 844

Capítulo 31 Cómo detectar incidentes de red ................................... 854

Capítulo 32 Cómo detectar eventos de endpoint ............................. 858

Acerca de la detección de ubicación de endpoint ........................ 860

Capítulo 33 Cómo detectar identidades descritas ........................... 869

Capítulo 34 Cómo detectar identidades sincronizadas ................... 881