10.0.0 mcafee data loss prevention endpoint · intel et le logo intel sont des marques commerciales...

Guide produitRévision A

McAfee Data Loss Prevention Endpoint10.0.0Pour une utilisation avec McAfee ePolicy Orchestrator

COPYRIGHT

© 2016 Intel Corporation

DROITS DE MARQUESIntel et le logo Intel sont des marques commerciales déposées d'Intel Corporation aux États-Unis et/ou dans d'autres pays. McAfee et le logo McAfee,McAfee Active Protection, McAfee DeepSAFE, ePolicy Orchestrator, McAfee ePO, McAfee EMM, McAfee Evader, Foundscore, Foundstone, Global ThreatIntelligence, McAfee LiveSafe, Policy Lab, McAfee QuickClean, Safe Eyes, McAfee SECURE, McAfee Shredder, SiteAdvisor, McAfee Stinger, McAfeeTechMaster, McAfee Total Protection, TrustedSource, VirusScan sont des marques commerciales ou des marques commerciales déposées de McAfee, Inc.ou de ses filiales aux États-Unis et dans d'autres pays. Les autres noms et marques sont la propriété de leurs détenteurs respectifs.

INFORMATIONS DE LICENCE

Accord de licenceÀ L'ATTENTION DE TOUS LES UTILISATEURS : VEUILLEZ LIRE ATTENTIVEMENT L'ACCORD LÉGAL APPROPRIÉ CORRESPONDANT À LA LICENCE QUEVOUS AVEZ ACHETÉE, QUI DÉFINIT LES CONDITIONS GÉNÉRALES D'UTILISATION DU LOGICIEL SOUS LICENCE. SI VOUS NE CONNAISSEZ PAS LETYPE DE LICENCE QUE VOUS AVEZ ACQUIS, CONSULTEZ LES DOCUMENTS DE VENTE, D'ATTRIBUTION DE LICENCE OU LE BON DE COMMANDE QUIACCOMPAGNENT LE LOGICIEL OU QUE VOUS AVEZ REÇUS SÉPARÉMENT LORS DE L'ACHAT (SOUS LA FORME D'UN LIVRET, D'UN FICHIER SUR LECD-ROM DU PRODUIT OU D'UN FICHIER DISPONIBLE SUR LE SITE WEB À PARTIR DUQUEL VOUS AVEZ TÉLÉCHARGÉ LE PACKAGE LOGICIEL). SI VOUSN'ACCEPTEZ PAS TOUTES LES DISPOSITIONS DE CET ACCORD, NE PROCÉDEZ PAS À L'INSTALLATION DU LOGICIEL. LE CAS ÉCHÉANT, VOUS POUVEZRETOURNER LE PRODUIT À MCAFEE OU À VOTRE REVENDEUR AFIN D'EN OBTENIR LE REMBOURSEMENT INTÉGRAL

2 McAfee Data Loss Prevention Endpoint 10.0.0 Guide produit

Sommaire

Préface 9Présentation de ce guide . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9

Public visé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9Conventions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9

Accès à la documentation sur le produit . . . . . . . . . . . . . . . . . . . . . . . . . 10

1 Introduction à McAfee DLP Endpoint 11McAfee DLP Endpoint et Device Control - Contrôle du contenu des terminaux et des supports amovibles. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12

Classification . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13Localisation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14Protection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15Surveillance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16

Présentation des modules du produit et de leurs interactions . . . . . . . . . . . . . . . . 16Fonctionnement du logiciel client . . . . . . . . . . . . . . . . . . . . . . . . . . . 19

McAfee DLP Endpoint sur la plate-forme Microsoft Windows . . . . . . . . . . . . . . 20McAfee DLP Endpoint sur la plate-forme OS X . . . . . . . . . . . . . . . . . . . 21

Déploiement et installation2 Options et scénarios de déploiement 25

Planification de votre déploiement . . . . . . . . . . . . . . . . . . . . . . . . . . . 25Options McAfee DLP Endpoint et Device Control . . . . . . . . . . . . . . . . . . 26Déploiement de McAfee DLP Endpoint dans des environnements Citrix . . . . . . . . . 27

Configuration système requise . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27

3 Installation du logiciel McAfee DLP Endpoint ou Device Control 29Installation et gestion de licences de l'extension McAfee DLP . . . . . . . . . . . . . . . . 29

Application de la compatibilité avec les versions antérieures . . . . . . . . . . . . . 31Conversion des stratégies et migration de données . . . . . . . . . . . . . . . . . 32

Installation de McAfee DLP Endpoint et du logiciel clientDevice Control . . . . . . . . . . . . 33

4 Déploiement des stratégies et du logiciel client 35Déploiement du client McAfee DLP Endpoint avec McAfee ePO . . . . . . . . . . . . . . . . 35Vérification de l'installation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37Déploiement de stratégies avec McAfee ePO . . . . . . . . . . . . . . . . . . . . . . . 37

Affectation d'une stratégie ou d'une configuration client . . . . . . . . . . . . . . . 37Actualisation de la stratégie . . . . . . . . . . . . . . . . . . . . . . . . . . 38

Configuration et utilisation5 Configuration des composants système 41

Catalogue de stratégies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41Configuration de McAfee DLP dans le catalogue de stratégies . . . . . . . . . . . . . . . . 41

Importer ou exporter la configuration McAfee DLP Endpoint . . . . . . . . . . . . . . 42

McAfee Data Loss Prevention Endpoint 10.0.0 Guide produit 3

Configuration client . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42Prise en charge des paramètres de configuration du client . . . . . . . . . . . . . . 44

Protection des fichiers avec la gestion des droits . . . . . . . . . . . . . . . . . . . . . 45Fonctionnement de McAfee DLP avec la gestion des droits . . . . . . . . . . . . . . 45Serveurs de gestion des droits pris en charge . . . . . . . . . . . . . . . . . . . 46Définition d'un serveur de gestion des droits . . . . . . . . . . . . . . . . . . . . 47

Création de rapports sur des événements avec preuve . . . . . . . . . . . . . . . . . . . 48Utilisation de preuves et du stockage de preuves . . . . . . . . . . . . . . . . . . 48Création de dossiers de preuves . . . . . . . . . . . . . . . . . . . . . . . . . 49

Contrôle des affectations avec des utilisateurs et des ensembles d'autorisations . . . . . . . . 50Création de définitions d'utilisateur final . . . . . . . . . . . . . . . . . . . . . 51Affectation d'ensembles d'autorisation McAfee DLP . . . . . . . . . . . . . . . . . 52Création d'un ensemble d'autorisations McAfee DLP . . . . . . . . . . . . . . . . . 53

Configuration de la classification manuelle . . . . . . . . . . . . . . . . . . . . . . . . 56

6 Protection des supports amovibles 57Protection des équipements . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58Gestion des équipements avec des classes d'équipement . . . . . . . . . . . . . . . . . . 59Définition d'une classe d'équipement . . . . . . . . . . . . . . . . . . . . . . . . . . 60

Obtention d'un GUID . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60Création d'une classe d'équipement . . . . . . . . . . . . . . . . . . . . . . . 61

Organisation d'équipements avec des définitions d'équipement . . . . . . . . . . . . . . . 61Utilisation des définitions d'équipements . . . . . . . . . . . . . . . . . . . . . 62Propriétés d'équipements . . . . . . . . . . . . . . . . . . . . . . . . . . . 65

Règles de contrôle des équipements . . . . . . . . . . . . . . . . . . . . . . . . . . 68Création d'une règle pour équipements de stockage amovibles . . . . . . . . . . . . 69Créer une règle d'équipement Plug-and-Play . . . . . . . . . . . . . . . . . . . . 70Créer une règle de périphérique d'accès aux fichiers de stockage amovible . . . . . . . 71Création d'une règle d'équipement de type disque dur fixe . . . . . . . . . . . . . . 72Création d'une règle d'équipement Citrix . . . . . . . . . . . . . . . . . . . . . 73Création d'une règle d'équipement TrueCrypt . . . . . . . . . . . . . . . . . . . 73

Règles d'accès aux fichiers de stockage amovibles . . . . . . . . . . . . . . . . . . . . 74

7 Classification de contenu confidentiel 77Composants du module Classification . . . . . . . . . . . . . . . . . . . . . . . . . 77Utilisation des classifications . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78

Classification en fonction de la destination des fichiers . . . . . . . . . . . . . . . . 79Classification en fonction de l'emplacement des fichiers . . . . . . . . . . . . . . . 80Extraction de texte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81Catégorisation des applications dans McAfee DLP Endpoint . . . . . . . . . . . . . . 81

Définitions et critères de classification . . . . . . . . . . . . . . . . . . . . . . . . . 82Définitions de dictionnaire . . . . . . . . . . . . . . . . . . . . . . . . . . . 84Définitions de modèle avancé . . . . . . . . . . . . . . . . . . . . . . . . . . 85Classification du contenu en fonction des propriétés de document ou des informations de fichier. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86Modèles d'application . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86

Classification manuelle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87Marqueurs intégrés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88

Documents enregistrés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89Texte inclus dans la liste blanche . . . . . . . . . . . . . . . . . . . . . . . . . . . 90Création et configuration de classifications . . . . . . . . . . . . . . . . . . . . . . . 91

Création d'une classification . . . . . . . . . . . . . . . . . . . . . . . . . . 91Création de critères de classification . . . . . . . . . . . . . . . . . . . . . . . 91Téléchargement de documents enregistrés . . . . . . . . . . . . . . . . . . . . 92Chargement des fichiers vers le texte inclus dans la liste blanche . . . . . . . . . . . 92

Configuration de composants de classification pour McAfee DLP Endpoint . . . . . . . . . . . 93

Sommaire


Création de critères d'empreintes de contenu . . . . . . . . . . . . . . . . . . . 93Scénario d'utilisation : empreintes basées sur l'application . . . . . . . . . . . . . . 94Affectation d'autorisations de classification manuelle . . . . . . . . . . . . . . . . 95Scénario d'utilisation : classification manuelle . . . . . . . . . . . . . . . . . . . 95

Création de définitions de classification . . . . . . . . . . . . . . . . . . . . . . . . . 98Création d'une définition de classification générale . . . . . . . . . . . . . . . . . 98Création ou importation d'une définition de dictionnaire . . . . . . . . . . . . . . . 99Création d'un modèle avancé . . . . . . . . . . . . . . . . . . . . . . . . . . 99Création d'un intervalle de ports réseau . . . . . . . . . . . . . . . . . . . . . 100Création d'un intervalle d'adresses réseau . . . . . . . . . . . . . . . . . . . . 101Création d'une définition d'adresse e-mail . . . . . . . . . . . . . . . . . . . . 101Création d'une définition d'imprimante réseau . . . . . . . . . . . . . . . . . . 102Création d'une définition de liste d'URL . . . . . . . . . . . . . . . . . . . . . 102

Scénario d'utilisation : intégration du client Titus avec des marqueurs tiers . . . . . . . . . . 103Scénario d'utilisation : intégration de Boldon James Email Classifier avec des critères de classification. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104

8 Utilisation des stratégies 107Création et affectation de stratégies . . . . . . . . . . . . . . . . . . . . . . . . . . 108Utilisation de plusieurs stratégies . . . . . . . . . . . . . . . . . . . . . . . . . . . 109Fonctionnement des définitions . . . . . . . . . . . . . . . . . . . . . . . . . . . 109Modification d'une stratégie DLP . . . . . . . . . . . . . . . . . . . . . . . . . . . 110Validation de stratégie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111

9 Protection de contenu confidentiel 113Jeux de règles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113Règles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114Règles de protection des données . . . . . . . . . . . . . . . . . . . . . . . . . . 114

Règles Protection de l'accès aux fichiers d'application . . . . . . . . . . . . . . . . 115Règles de protection du cloud . . . . . . . . . . . . . . . . . . . . . . . . . 115Règles de protection de la messagerie . . . . . . . . . . . . . . . . . . . . . . 116Règles de protection des communications réseau . . . . . . . . . . . . . . . . . 117Règles de protection du partage réseau . . . . . . . . . . . . . . . . . . . . . 117Règles de protection de l'imprimante . . . . . . . . . . . . . . . . . . . . . . 118Règles de protection des périphériques de stockage amovibles . . . . . . . . . . . . 118Règles de protection contre les captures d'écran . . . . . . . . . . . . . . . . . . 120Règles de protection de la publication web . . . . . . . . . . . . . . . . . . . . 121

Règles de contrôle des équipements . . . . . . . . . . . . . . . . . . . . . . . . . 122Règles de découverte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122Listes blanches . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122Personnalisation des messages aux utilisateurs finaux . . . . . . . . . . . . . . . . . . 124Réactions disponibles pour les types de règle . . . . . . . . . . . . . . . . . . . . . . 125Création et configuration de règles et de jeux de règles . . . . . . . . . . . . . . . . . . 128

Création d'un jeu de règles . . . . . . . . . . . . . . . . . . . . . . . . . . 128Création d'une règle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128Affectation de jeux de règles à des stratégies . . . . . . . . . . . . . . . . . . . 129Activation, désactivation ou suppression de règles . . . . . . . . . . . . . . . . . 130Importation et exportation des règles et des classifications . . . . . . . . . . . . . 130Configuration de colonnes de règles ou de jeux de règles . . . . . . . . . . . . . . 131Création d'une définition de justification . . . . . . . . . . . . . . . . . . . . . 131Création d'une définition de notification . . . . . . . . . . . . . . . . . . . . . 132

Scénarios d'utilisation pour les règles . . . . . . . . . . . . . . . . . . . . . . . . . 133Scénario d'utilisation : règle pour équipements de stockage amovibles avec processus inclusdans la liste blanche . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134Scénario d'utilisation : configurer un équipement amovible en lecture seule . . . . . . . 135Cas d'utilisation : bloquer et recharger un iPhone avec une règle d'équipement Plug-and-Play. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136

Sommaire


Cas d'utilisation : empêcher de graver des informations confidentielles sur le disque . . . 136Scénario d'utilisation - Bloquer les messages sortants qui comportent du contenu confidentiel,sauf s'ils sont envoyés à un domaine spécifié . . . . . . . . . . . . . . . . . . . 138Scénario d'utilisation - Autoriser un groupe d'utilisateurs donné à envoyer des informationsbancaires . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139Scénario d'utilisation : classification des pièces jointes dans la catégorie PARTAGE-REQUIS enfonction de leur destination . . . . . . . . . . . . . . . . . . . . . . . . . . 141

10 Analyse de données avec la découverte McAfee DLP Endpoint 145Protection des fichiers avec des règles de découverte . . . . . . . . . . . . . . . . . . . 145Comment l'analyse de découverte fonctionne-t-elle ? . . . . . . . . . . . . . . . . . . . 146Recherche de contenu avec le robot de découverte de terminaux . . . . . . . . . . . . . . 147

Création et définition d'une règle de découverte . . . . . . . . . . . . . . . . . . 147Création d'une définition de planificateur . . . . . . . . . . . . . . . . . . . . . 148Configuration d'une analyse . . . . . . . . . . . . . . . . . . . . . . . . . . 148Scénario d'utilisation : restauration des fichiers ou des e-mails mis en quarantaine . . . . 149

Surveillance et génération de rapports11 Incidents et événements opérationnels 155

Surveillance et rapports d'événements . . . . . . . . . . . . . . . . . . . . . . . . 155Gestionnaire d'incidents DLP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 156

Fonctionnement du gestionnaire d'incidents . . . . . . . . . . . . . . . . . . . 156Traitement des incidents . . . . . . . . . . . . . . . . . . . . . . . . . . . 158

Affichage des incidents . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 159Tri et filtrage des incidents . . . . . . . . . . . . . . . . . . . . . . . . . . 159Configuration de l'affichage des colonnes . . . . . . . . . . . . . . . . . . . . 160Configuration de filtres d'incidents . . . . . . . . . . . . . . . . . . . . . . . 161Affichage des détails relatifs à un incident . . . . . . . . . . . . . . . . . . . . 162

Gestion des incidents . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163Mise à jour d'un incident unique . . . . . . . . . . . . . . . . . . . . . . . . 163Mise à jour de plusieurs incidents . . . . . . . . . . . . . . . . . . . . . . . . 164Gérer les étiquettes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 165

Utilisation des cas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 166Gérer les cas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 166

Créer des cas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 166Afficher les informations sur les cas . . . . . . . . . . . . . . . . . . . . . . . 167Affecter des incidents à un cas . . . . . . . . . . . . . . . . . . . . . . . . . 167Déplacement ou suppression d'incidents d'un cas . . . . . . . . . . . . . . . . . 168Mettre à jour les cas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 168Ajouter ou supprimer des étiquettes dans un cas . . . . . . . . . . . . . . . . . 169Supprimer des cas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 170

12 Collecte et gestion des données 171Modification des tâches serveur . . . . . . . . . . . . . . . . . . . . . . . . . . . 171

Création d'une tâche Purge des événements . . . . . . . . . . . . . . . . . . . 172Création d'une tâche Notification par e-mail automatique . . . . . . . . . . . . . . 173Création d'une nouvelle tâche de définition du réviseur . . . . . . . . . . . . . . . 174

Surveillance des résultats des tâches . . . . . . . . . . . . . . . . . . . . . . . . . 175Création de rapports . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 175

Types de rapports . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 175Options de rapport . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 175Tableaux de bord prédéfinis . . . . . . . . . . . . . . . . . . . . . . . . . . 176Création d'une tâche serveur Données cumulées . . . . . . . . . . . . . . . . . 178

Sommaire


Maintenance et dépannage13 Diagnostics McAfee DLP Endpoint 181

Outil de diagnostic . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 181Vérification de l'état de l'agent . . . . . . . . . . . . . . . . . . . . . . . . . 182Exécution de l'outil de diagnostic . . . . . . . . . . . . . . . . . . . . . . . . 183Configuration des stratégies . . . . . . . . . . . . . . . . . . . . . . . . . . 183

Index 185

Sommaire


Sommaire


Préface

Ce guide fournit les informations dont vous avez besoin pour utiliser votre produit McAfee.

Sommaire Présentation de ce guide Accès à la documentation sur le produit

Présentation de ce guideCette section présente le public ciblé par ce guide, les conventions typographiques et les icônesutilisées ainsi que la structure du guide.

Public viséLa documentation McAfee a fait l'objet de recherches attentives et a été rédigée en fonction du publicvisé.

Les informations présentées dans ce guide sont principalement destinées aux personnes suivantes :

• Administrateurs : personnes qui mettent en œuvre et appliquent le programme de sécurité del'entreprise.

• Gestionnaires de la sécurité : personnes chargées d'identifier les données confidentielles et dedéfinir une stratégie d'entreprise destinée à protéger la propriété intellectuelle de l'entreprise.

ConventionsLes conventions typographiques et icônes suivantes sont respectées dans le présent guide.

Italique Titre d'un manuel, d'un chapitre, ou d'une rubrique, ou nouveau terme mis ensurbrillance

Gras Texte mis en surbrillance

Monospace Commandes et autres données devant être saisies par l'utilisateur, exemple decode ou message affiché

Narrow Bold Contenu apparaissant dans l'interface du produit, options, menus, boutons, etboîtes de dialogue

Liens hypertextebleus

Liens menant vers une rubrique ou vers un site web externe

Remarque : informations supplémentaires fournies pour étayer un propos, àtitre de rappel, ou pour indiquer une méthode alternative

Conseil : meilleure pratique


Attention : conseil important fourni afin de garantir la protection de votresystème informatique, de votre installation logicielle, de votre réseau, de votreentreprise, ou de vos données

Avertissement : conseil essentiel destiné à empêcher toute lésion corporellelors de l'utilisation d'un produit matériel

Accès à la documentation sur le produitSur le ServicePortal, vous pouvez trouver des informations relatives au produit mis sur le marché, dontde la documentation, des articles techniques, etc.

Procédure1 Accédez au ServicePortal à l'adresse https://support.mcafee.com et cliquez sur l'onglet Centre de

connaissances.

2 Dans le volet Base de connaissances sous Type de contenu, cliquez sur Documentation relative aux produits.

3 Sélectionnez un produit et une version, puis cliquez sur Rechercher pour afficher une liste dedocuments.

PréfaceAccès à la documentation sur le produit


https://support.mcafee.com

1 Introduction à McAfee DLP Endpoint

L'expression « fuite de données » implique la diffusion au-delà des frontières de l'entreprised'informations de nature confidentielle ou privée, à la suite d'une communication non autorisée viadivers canaux de transfert, notamment des applications, des équipements physiques ou des protocolesréseau. Le logiciel Data Loss Prevention met en œuvre des stratégies de sécurité des informationsprédéfinies pour éviter de telles fuites.

Les données à protéger peuvent être classées selon trois vecteurs : les données en cours d'utilisation,les données mobiles et les données stockées passivement.

Tableau 1-1 Descriptions des vecteurs de données

Vecteur dedonnées

Description Produits associés

Données en coursd'utilisation

Les données en cours d'utilisation s'appliquentaux actions des utilisateurs sur les terminaux. Ilpeut s'agir par exemple de la copie de données etde fichiers sur un support amovible, del'impression de fichiers sur une imprimante localeet de la prise de captures d'écran.

McAfee® Data LossPrevention Endpoint (McAfeeDLP Endpoint)

Données mobiles Les données mobiles s'appliquent au trafic entemps réel sur votre réseau. Le trafic est analysé,classé et stocké dans la base de données McAfee®

Data Loss Prevention (McAfee DLP) (McAfee DLP).

• McAfee® Data LossPrevention Monitor(McAfee DLP Monitor)

• McAfee® Data LossPrevention Prevent(McAfee DLP Prevent)

Données stockéespassivement

Les données stockées passivement s'appliquentaux données résidant dans des bases de données,des partages de fichiers et des référentiels.McAfee DLP peut exécuter des mesurescorrectives sur des données stockéespassivement, ainsi que les analyser et les suivre.

• McAfee® Data LossPrevention Discover(McAfee DLP Discover)

• Découverte McAfee DLPEndpoint

Sommaire McAfee DLP Endpoint et Device Control - Contrôle du contenu des terminaux et des supportsamovibles Présentation des modules du produit et de leurs interactions Fonctionnement du logiciel client

1


McAfee DLP Endpoint et Device Control - Contrôle du contenudes terminaux et des supports amovibles

McAfee DLP Endpoint inspecte les actions des utilisateurs de l'entreprise sur le contenu confidentiel surleurs ordinateurs.

McAfee Device Control empêche toute utilisation non autorisée d'équipements de supports amovibles.McAfee DLP Endpoint comprend toutes les fonctionnalités Device Control et protège, en outre, contrela perte de données grâce à de nombreux canaux de fuite de données potentiels.

Fonctions principales

McAfee Device Control :

• Contrôle les données qui peuvent être copiées sur des équipements amovibles ou contrôle leséquipements eux-mêmes. Peut bloquer complètement les équipements, les définir en lecture seuleou bloquer l'exécution des applications sur des disques amovibles.

• Fournit une protection pour les lecteurs USB, les smartphones, les équipements et autres supportsamovibles

McAfee DLP Endpoint protège contre la fuite de données dans les éléments suivants :

• Applications cloud • Logiciel de presse-papiers

• E-mails • Publications web

• Imprimantes • Partages réseau

• Captures d'écran

Le moteur de classification McAfee DLP (également utilisé par McAfee DLP Discover) applique desdéfinitions et des critères de classification qui définissent le contenu à protéger, et l'endroit et lemoment où la protection est appliquée.

Le robot de découverte McAfee DLP Endpoint s'exécute sur le terminal local. Il effectue une recherchedans le système de fichiers local et les fichiers de stockage des e-mails et applique des stratégies pourprotéger le contenu confidentiel.

Fonctionnement

McAfee DLP Endpoint protège les informations d'entreprise confidentielles :

• Applique des stratégies constituées de définitions, classifications, ensembles de règles etconfigurations du client Endpoint

• Surveille les stratégies et bloque les actions sur le contenu confidentiel, le cas échéant

1 Introduction à McAfee DLP EndpointMcAfee DLP Endpoint et Device Control - Contrôle du contenu des terminaux et des supports amovibles


• Chiffre le contenu confidentiel avant d'autoriser l'action

• Crée des rapports permettant de contrôler le processus, et peut stocker du contenu confidentielcomme justification

Figure 1-1 Processus de protection de McAfee DLP

ClassificationPour protéger le contenu confidentiel, commencez par définir et par classer des informations sensiblesà protéger.

Le contenu est classé sur la base de classifications et de critères de classification que vous définissez.Les critères de classification définissent les conditions de classification des données. Les méthodespour définir les critères sont les suivantes :

• Modèles avancés : expressions régulières combinées avec des algorithmes de validation, utiliséespour rechercher des modèles, par exemple pour détecter les numéros de carte de crédit.

• Dictionnaires : listes de mots ou de termes spécifiques ; par exemple, termes médicaux pourdétecter d'éventuelles violations HIPAA.

• Types de fichiers vrai : propriétés du document, informations sur le fichier ou application ayantcréé le fichier.

• Emplacement source ou de destination : URL, partages réseau ou application/utilisateur ayantcréé ou reçu le contenu.

McAfee DLP Endpoint prend en charge des logiciels de classification tiers. Vous pouvez classer lese-mails à l'aide de Boldon James Email Classifier. Vous pouvez classer les e-mails ou d'autres fichiers àl'aide des clients de classification Titus : Titus Message Classification, Titus Classification for Desktopet Titus Classification Suite. Pour implémenter l'assistance Titus, le SDK Titus doit être installé sur lesordinateurs clients.

Introduction à McAfee DLP EndpointMcAfee DLP Endpoint et Device Control - Contrôle du contenu des terminaux et des supports amovibles 1


LocalisationMcAfee DLP Endpoint peut utiliser deux techniques pour localiser du contenu en fonction de sonorigine : les documents enregistrés et les critères de marquage.

Grâce à ces techniques, vous pouvez, par exemple, spécifier que tous les fichiers téléchargés à partirde votre site SharePoint d'ingénierie doivent être suivis et classés comme relevant de la catégoriePropriété intellectuelle.

Documents enregistrés

La technique des documents enregistrés consiste à pré-analyser l'ensemble des fichiers se trouvantdans des référentiels spécifiés (tels que le site SharePoint d'ingénierie) et à créer des signatures defragments de chacun de ces fichiers dans ces référentiels. Ces signatures sont ensuite distribuées surtous les terminaux managés. Le client McAfee DLP Endpoint est alors en mesure de localiser n'importequel paragraphe copié à partir d'un de ces documents et de le classer en fonction de la classificationassociée à la signature du document enregistré.

Les documents enregistrés utilisent une grande quantité de mémoire, ce qui peut réduire lesperformances du système. En effet, le client McAfee DLP Endpoint compare chaque document inspectéà l'ensemble des signatures des documents enregistrés afin d'identifier son origine.

Meilleure pratique : pour réduire le nombre de signatures et les répercussions de cette technique surles performances du système, n'utilisez les documents enregistrés que pour localiser les documents lesplus sensibles.

Identification du contenu par empreinte

L'identification du contenu par empreinte est une technique de localisation de contenu uniquementutilisée dans McAfee DLP Endpoint. L'administrateur crée un ensemble de critères d'identification ducontenu par empreinte permettant de définir l'emplacement du fichier et la classification à attribueraux fichiers issus de cet emplacement. Le client McAfee DLP Endpoint localise tous les fichiers ouvertsà partir des emplacements définis dans les critères d'identification du contenu par empreinte et créedes signatures d'empreinte de ces fichiers en temps réel dès que des utilisateurs y accèdent. Il utiliseensuite ces signatures pour localiser les fichiers ou des fragments de ceux-ci. Vous pouvez définir lescritères d'identification du contenu par empreinte sur la base de l'emplacement des fichiers (cheminUNC ou URL) ou de l'application utilisée pour y accéder.

Prise en charge de la conservation des informations d'empreinte

Les signatures d'empreinte de contenu sont stockées dans les attributs étendus (EA) du fichier oudans d'autres flux de données (ADS). Lorsqu'un utilisateur accède à ces fichiers, le logiciel McAfee DLPEndpoint localise les transformations de données et maintient la classification comme contenuconfidentiel, quelle que soit l'utilisation qui est faite des données. Par exemple, si un utilisateur ouvreun document Word auquel une empreinte a été appliquée, en copie quelques paragraphes dans unfichier texte et joint ce dernier à un e-mail, le message sortant possède la même signature que ledocument d'origine.

Pour les systèmes de fichiers qui ne prennent pas en charge les attributs étendus (EA) de fichier ou lesautres flux de données (ADS), le logiciel McAfee DLP Endpoint stocke les informations des signaturessous la forme d'un métafichier sur le disque. Les métafichiers sont stockés dans un dossier masquénommé ODB$ qui est créé automatiquement par le logiciel client McAfee DLP Endpoint.

Les signatures et les critères d'identification de contenu par empreinte ne sont pas pris en charge dansMcAfee Device Control.

1 Introduction à McAfee DLP EndpointMcAfee DLP Endpoint et Device Control - Contrôle du contenu des terminaux et des supports amovibles


ProtectionCréez des règles afin de détecter les données confidentielles et de prendre les mesures appropriées.

Les règles sont constituées de conditions, d'exceptions et d'actions. Les conditions comportentplusieurs paramètres (tels que les classifications) qui permettent de définir les données ou les actionsde l'utilisateur à rechercher. Les exceptions spécifient des paramètres pour lesquels la règle n'est pasdéclenchée. Les actions définissent le comportement de la règle lorsqu'elle est déclenchée, parexemple, si elle bloque l'accès des utilisateurs, si elle chiffre un fichier ou si elle crée un incident.

Règles de protection des données

Les règles de protection des données sont utilisées par McAfee DLP Endpoint et Device Control pourempêcher la distribution non autorisée de données confidentielles. Lorsqu'un utilisateur tente decopier ou de joindre des données confidentielles, McAfee DLP intercepte la tentative et utilise lesrègles de protection des données afin de déterminer les mesures à prendre. Par exemple, McAfee DLPEndpoint peut interrompre la tentative et afficher une boîte de dialogue à l'utilisateur final. Ce dernierdoit alors indiquer la justification de la tentative et le traitement continue.

McAfee Device Control utilise uniquement des règles de protection des données des équipements destockage amovibles.

Règles de contrôle des équipements

Les règles de contrôle des équipements surveillent le système et l'empêchent éventuellement decharger des périphériques physiques, notamment des équipements de stockage amovibles, Bluetooth,Wi-Fi et autres périphériques Plug-and-Play. Les règles de contrôle des équipements sont constituéesde définitions d'équipements et de spécifications de réactions. Vous pouvez les affecter à des groupesd'utilisateurs finaux spécifiques en les filtrant à l'aide de définitions de groupes d'utilisateurs finaux.

Règles de découverte

Les règles de découverte sont utilisées par McAfee DLP Endpoint et McAfee DLP Discover pour analyserdes fichiers et des données.

Découverte Endpoint est un robot qui s'exécute sur des ordinateurs managés. Il analyse le système defichiers Endpoint local, ainsi que la boîte de réception des e-mails (en cache) et les fichiers PST locaux.Les règles de découverte du système de fichiers local et du stockage des e-mails précisent si lecontenu doit être mis en quarantaine, marqué ou chiffré. Elles permettent également d'indiquer si lefichier ou l'e-mail classé doit être signalé comme un incident et si le fichier ou l'e-mail doit être stockédans l'incident comme preuve.

Les analyses du système de fichiers ne sont pas prises en charge sur les systèmes d'exploitation deserveur.

McAfee DLP Discover analyse les référentiels et peut déplacer ou copier des fichiers, appliquer desstratégies de gestion des droits aux fichiers et créer des incidents.

Jeux de règles

Les règles sont regroupées en jeux de règles. Un jeu de règles peut contenir n'importe quellecombinaison de types de règles.

Stratégies

Les stratégies contiennent des jeux de règles actifs et sont déployées de McAfee ePO vers le serveurde découverte ou le logiciel client McAfee DLP Endpoint. Les stratégies McAfee DLP Endpointcontiennent également des définitions et des informations d'affectation de stratégie.

Introduction à McAfee DLP EndpointMcAfee DLP Endpoint et Device Control - Contrôle du contenu des terminaux et des supports amovibles 1


SurveillancePassez en revue les incidents afin de détecter les violations de stratégie.

Les fonctions de surveillance sont les suivantes :

• Gestionnaire d'incidents : les incidents sont envoyés à l'analyseur d'événements McAfee ePO etstockés dans une base de données. Les incidents contiennent les détails concernant la violation etpeuvent éventuellement inclure des informations de preuve. Vous pouvez afficher les preuves et lesincidents dès leur réception dans la console Gestionnaire d'incidents DLP.

• Gestion des cas : permet de regrouper des incidents liés dans des dossiers (cas) pour êtreanalysés dans la console Gestion de cas DLP.

• Evénements opérationnels : permet d'afficher les erreurs et les événements administratifs dansla console Opérations DLP.

• Collecte des preuves : pour les règles qui sont configurées de manière à collecter des preuves,une copie des données ou du fichier est enregistrée et associée à l'incident en question. Cesinformations permettent de déterminer la gravité de l'événement ou le degré d'exposition associé.Les preuves sont chiffrées à l'aide de l'algorithme AES avant d'être enregistrées.

• Surlignage de correspondances : les preuves peuvent être enregistrées avec mise ensurbrillance du texte responsable de l'incident. Les preuves mises en surbrillance sont stockéesdans un fichier HTML chiffré distinct.

• Rapports : McAfee DLP Endpoint peut créer des rapports, des graphiques et des diagrammes detendance qui sont affichés dans les tableaux de bord McAfee ePO.

Présentation des modules du produit et de leurs interactionsMcAfee DLP Endpoint comporte cinq modules. En outre, cela utilise les éléments suivants : Cataloguede stratégies McAfee ePO, Tâches serveur, Paramètres serveur et Ensembles d'autorisation.

Le workflow de la version 10.0 de McAfee DLP a été réorganisé et dispose d'un contrôle plus fin.

Catalogue de stratégies

Le catalogue de stratégies McAfee ePO stocke les stratégies qui sont déployées sur les ordinateursclients. Les stratégies Data Loss Prevention 10.0 s'affichent lorsque vous sélectionnez cette option dans laliste déroulante Produit.

Les stratégies McAfee DLP ont les composants suivants :

• Stratégie DLP : contient les onglets pour les jeux de règles actifs, les analyses de découverte determinaux, les paramètres et la validation de stratégie. Les règles de découverte des jeux de règlespeuvent être appliquées aux analyses de découverte de terminaux ou du réseau lorsque McAfeeDLP Endpoint et McAfee DLP Discover sont tous les deux installés dans McAfee ePO.

• Configuration du client Windows : contient des informations pour les ordinateurs Microsoft Windowsdes utilisateurs finaux.

• Configuration du client Mac OS X : contient des informations pour les ordinateurs OS X desutilisateurs finaux.

• Configuration du serveur : contient les paramètres des serveurs McAfee DLP Discover.

1 Introduction à McAfee DLP EndpointPrésentation des modules du produit et de leurs interactions


Tableau 1-2 Configuration client

Paramètre Remarques

Configuration avancée • Client Windows : paramètres de protection des terminaux et del'accès.

• Client OS X : arrêtez le contournement de l'agent lors des mises àjour.

Protection duPresse-papiers

Permet d'activer le Presse-papiers de Microsoft Office et d'ajouter desprocessus inclus dans la liste blanche.

Suivi du contenu Paramètres de l'extracteur de texte et processus inclus dans la listeblanche pour les règles de protection de l'accès aux fichiers d'application.

Connectivité d'entreprise Permet de configurer des serveurs VPN et d'entreprise pour les optionsde protection des données

Débogage etjournalisation

• Client Windows : permet de configurer la journalisation et les vidagesde mémoire pour la résolution des problèmes, case à cocherd'impression des journaux.

• Client OS X : case à cocher d'impression des journaux.

Découverte (Endpoint) Permet de définir des paramètres de performances d'analyse et despréfixes pour les e-mails mis en quarantaine.

Protection de lamessagerie

Paramètres des règles de protection de la messagerie et de l'intégrationde logiciels tiers.

Service de copie depreuve

Paramètres du partage du stockage de preuves, de taille de fichier etd'âge de preuves.

Mode de fonctionnementet modules

• Client Windows : permet de définir le mode de fonctionnement deDevice Control ou de McAfee DLP Endpoint, ainsi que d'activer lescompléments et les gestionnaires.

• Client OS X : permet de définir le mode de fonctionnement de DeviceControl ou de McAfee DLP Endpoint for Mac ; les modules pris encharge sont ceux correspondant aux services de blocaged'équipements et de génération de rapports.

Protection contrel'impression

Permet d'ajouter des processus inclus dans la liste blanche.

Quarantaine Paramètres du dossier de quarantaine.

Protection despériphériques de stockageamovibles

Permet de définir le mode de suppression des équipements de stockageamovibles.

Protection contre lescaptures d'écran

Permet d'ajouter la prise en charge de l'application de capture d'écran.

Composants de l'interfaceutilisateur

Permet de définir l'interface utilisateur des terminaux.

Protection de lapublication web

Permet de définir le comportement des demandes HTTP GET, la prise encharge de la version de Google Chrome, la stratégie de délai d'expirationet les URL incluses dans la liste blanche.

Classifications

Le module Classification stocke les critères de classification du contenu, les critères d'identification ducontenu par empreinte et les définitions utilisées pour les configurer. Ce module permet également deconfigurer des référentiels de documents enregistrés, l'autorisation utilisateur pour le marquagemanuel et du texte inclus dans la liste blanche.

Introduction à McAfee DLP EndpointPrésentation des modules du produit et de leurs interactions 1


Les classifications sont nécessaires pour configurer la protection des données et les règles dedécouverte des terminaux, ainsi que pour les analyses de correction et de classification de McAfee DLPDiscover.

Gestionnaire de stratégies DLP

Le module Gestionnaire de stratégies DLP définit les jeux de règles, les affectations de stratégie et lesdéfinitions qui composent une stratégie DLP.

Les jeux de règles DLP définissent les règles de protection des données, de contrôle des équipementset de découverte. Un jeu de règles peut inclure n'importe lequel des trois types de règle ou tous lestypes. Vous pouvez inclure plusieurs règles dans un jeu de règles et affecter plusieurs jeux de règles àune stratégie DLP.

Gestionnaire d'incidents et opérations

Le module Gestionnaire d'incidents DLP affiche les événements de sécurité générés par des violationsde stratégie. Pour chaque entrée, une page Détails affiche les preuves indiquées dans la configurationclient, les règles et les classifications appliquées, ainsi que d'autres détails. Le module Opérations DLPaffiche les événements d'administration, tels que les déploiements ou les mises à jour de stratégie.

Gestion des cas

Le module Gestion des cas DLP permet aux administrateurs de collaborer à la résolution des incidentsliés.

Dans de nombreux cas, un incident n'est pas un événement isolé. Le gestionnaire d'incidents DLP peutcontenir plusieurs incidents qui partagent des propriétés communes ou sont liés les uns aux autres.Vous pouvez affecter les incidents associés à un même dossier ou cas. Plusieurs administrateurspeuvent surveiller et gérer un dossier en fonction de leur rôle dans l'organisation.

Workflow

Utilisez le workflow suivant pour créer des stratégies et de les déployer sur des ordinateurs clients.

1 Créez des critères de classification et de marquage, ainsi que les définitions correspondantes.(Vous pouvez créer des définitions pour les critères, le cas échéant.)

2 Créez des règles de découverte, d'équipement et de protection des données, ainsi que lesdéfinitions correspondantes.

Les règles de découverte et de protection des données comprennent l'affectation d'une classificationdans le cadre de la définition de la règle.

1 Introduction à McAfee DLP EndpointPrésentation des modules du produit et de leurs interactions


3 Affectez des jeux de règles aux stratégies DLP. Créez des définitions d'analyse de découverte dansles stratégies DLP.

4 Affectez et déployez les stratégies dans l'arborescence des systèmes.

Figure 1-2 Workflow

Fonctionnement du logiciel clientLe logiciel client McAfee DLP Endpoint est déployé sous forme de plug-in McAfee Agent et applique lesstratégies définies dans la stratégie McAfee DLP. Le logiciel client McAfee DLP Endpoint contrôle lesactivités utilisateur ; il effectue des opérations de surveillance et de vérification, et empêche lesutilisateurs non autorisés de copier ou transférer des données confidentielles. Il génère ensuite desévénements enregistrés par l'analyseur d'événements McAfee ePO.

Analyseur d'événements

Les événements générés par le logiciel client McAfee DLP Endpoint sont envoyés à l'analyseurd'événements McAfee ePO et enregistrés dans des tables de la base de données McAfee ePO. Ils sontstockés dans la base de données en vue d'analyses complémentaires et utilisés par d'autrescomposants du système.

Utilisation en ligne/hors ligne

Vous pouvez appliquer différentes règles d'équipement et de protection, selon que l'ordinateur géréest en ligne (connecté au réseau de l'entreprise) ou hors ligne (déconnecté du réseau). Quelquesrègles permettent également de différencier les ordinateurs situés à l'intérieur du réseau de ceuxconnectés au réseau par VPN.

Introduction à McAfee DLP EndpointFonctionnement du logiciel client 1


McAfee DLP Endpoint sur la plate-forme Microsoft WindowsLes ordinateurs Windows peuvent être protégés avec McAfee Device Control ou McAfee DLP Endpoint.Le logiciel client McAfee DLP Endpoint utilise une technologie de découverte avancée, lareconnaissance de modèles de texte et des dictionnaires prédéfinis. Il identifie le contenu confidentiel,et intègre la gestion et le chiffrement des équipements pour garantir des niveaux de contrôlesupplémentaires.

Le logiciel IRM (Information Rights Management) protège les fichiers confidentiels à l'aide duchiffrement et de la gestion des autorisations d'accès. McAfee DLP Endpoint prend en chargeMicrosoft Rights Management Service (RMS) et Seclore FileSecure en tant que méthodessupplémentaires de protection des données. Généralement, ces méthodes permettent d'empêcher lacopie de fichiers non protégés par le logiciel IRM.

Le logiciel de classification vérifie que les e-mails et autres fichiers sont systématiquement classés etque leur étiquetage est sécurisé. McAfee DLP Endpoint s'intègre avec Titus Message Classification etBoldon James Email Classifier pour Microsoft Outlook afin de créer des règles de protection de lamessagerie en fonction des classifications appliquées. Il s'intègre avec d'autres clients de classificationTitus grâce au SDK Titus pour créer d'autres règles de protection en fonction des classifications Titusappliquées.

Prise en charge des lecteurs d'écran

Job Access With Sound (JAWS), un logiciel de lecture d'écran pour malvoyants très répandu, est prisen charge sur les ordinateurs clients. Les fonctionnalités de McAfee DLP Endpoint suivantes sont prisesen charge :

• Fenêtre pop-up de notification de l'utilisateur final : si la boîte de dialogue contextuelle estconfigurée pour être fermée manuellement (dans le Gestionnaire de stratégies DLP), elle est lue àhaute voix afin de permettre aux malvoyants de naviguer entre les boutons et les liens.

• Boîte de dialogue de justification de l'utilisateur final : la liste déroulante est accessible avecla touche de tabulation, et la justification peut être sélectionnée avec les touches fléchées.

• Onglet Historique des notifications de la console de l'utilisateur final : lorsque cet ongletest sélectionné, JAWS lit « Notification history tab selected » (Onglet Historique des notificationssélectionné). Aucune action liée au contenu n'est disponible. Toutes les informations du volet droitsont lues à voix haute.

• Onglet Découverte de la console de l'utilisateur final : lorsque cet onglet est sélectionné,JAWS lit « Discovery tab selected » (Onglet Découverte sélectionné). Aucune action liée au contenun'est disponible. Toutes les informations du volet droit sont lues à voix haute.

• Onglet Tâches de la console de l'utilisateur final : lorsque cet onglet est sélectionné, JAWS lit« Tasks tab selected » (Onglet Tâches sélectionné). Toutes les étapes sont accessibles via la touchede tabulation et les instructions correspondantes sont lues à voix haute.

• Onglet A propos de la console de l'utilisateur final : lorsque cet onglet est sélectionné, JAWSlit « About tab selected » (Onglet A propos sélectionné). Aucune action liée au contenu n'estdisponible. Toutes les informations du volet droit sont lues à voix haute.

Plusieurs sessions utilisateur

Le logiciel client McAfee DLP Endpoint prend en charge le changement rapide d'utilisateur avec dessessions utilisateur multiples sur les versions du système d'exploitation Windows qui prennent encharge cette fonctionnalité. La prise en charge du bureau virtuel peut aussi conduire à des sessionsutilisateur multiples sur un seul ordinateur hôte.

1 Introduction à McAfee DLP EndpointFonctionnement du logiciel client


Console Endpoint

La console Endpoint permet de partager des informations avec l'utilisateur et de faciliterl'auto-correction des problèmes. Pour la configurer, accédez à l'onglet Configuration client | Serviced'interface utilisateur.

Pour activer la console sur les ordinateurs Windows, cliquez sur l'icône dans la barre d'état système etsélectionnez Gérer les fonctions | Console DLP Endpoint. Lorsqu'elle est entièrement configurée, ellecomporte quatre onglets :

• Historique des notifications : permet d'afficher les événements, y compris les détails desévénements agrégés.

• Découverte : permet d'afficher les détails des analyses de découverte.

• Tâches : permet de générer des codes d'identification et d'entrer des codes d'autorisation pour lecontournement de l'agent et la quarantaine.

• A propos : affiche des informations sur l'état de l'agent, la stratégie active, la configuration et legroupe d'affectation d'ordinateurs, y compris les numéros d'ID de révision.

McAfee DLP Endpoint sur la plate-forme OS XMcAfee DLP Endpoint for Mac empêche toute utilisation non autorisée d'équipements amovibles etoffre une protection pour le contenu confidentiel sur les postes client et les partages réseau.

McAfee DLP Endpoint for Mac prend en charge les règles pour les équipements de stockage amovibleset les équipements Plug-and-Play. Il prend également en charge les règles de protection des donnéessuivantes :

• Règles de protection du partage réseau

• Règles de protection des périphériques de stockage amovibles

• Règle de protection de l'accès aux fichiers d'application

Vous pouvez détecter le contenu confidentiel avec des classifications, comme sur les ordinateursWindows, mais les documents enregistrés et le marquage ne sont pas pris en charge. Lesclassifications manuelles sont reconnues, mais il n'existe aucune option pour les définir ou les afficherdans l'interface utilisateur. L'extraction de texte est prise en charge, tout comme le chiffrement depreuve et les définitions de justification métier.

Introduction à McAfee DLP EndpointFonctionnement du logiciel client 1


Console Endpoint

Sur les terminaux Mac, la console est activée à partir du menu McAfee de la barre d'état. Le tableaude bord est intégré à d'autres logiciels McAfee installés, tels que McAfee

®

VirusScan®

for Mac, et afficheun aperçu de l'état de tous les logiciels McAfee installés. La page Journal des événements affiche lesévénements récents relatifs aux logiciels McAfee. Cliquez sur une entrée pour en afficher les détails.

Figure 1-3 Affichage sur un terminal McAfee DLP Endpoint for Mac

Pour activer l'écran de contournement de l'agent, sélectionnez Préférences dans le menu.

1 Introduction à McAfee DLP EndpointFonctionnement du logiciel client


Déploiement et installationDéterminez l'option de déploiement qui convient le mieux à votreenvironnement, puis installez le logiciel et déployez les clients McAfee DLPEndpoint sur les ordinateurs d'entreprise.

Chapitre 2 Options et scénarios de déploiementChapitre 3 Installation du logiciel McAfee DLP Endpoint ou Device ControlChapitre 4 Déploiement des stratégies et du logiciel client


Déploiement et installation


2 Options et scénarios de déploiement

La classification des informations d'entreprise en différentes catégories Data Loss Prevention constitueune étape primordiale dans le déploiement et l'administration du logiciel McAfee Data Loss PreventionEndpoint.

Sommaire Planification de votre déploiement Configuration système requise

Planification de votre déploiementLe schéma idéal dépend des objectifs et des besoins de votre entreprise, et est unique pour chaqueinstallation.

La première étape pour déterminer comment répondre à ces besoins consiste à choisir entre les deuxoptions DLP : McAfee Device Control et version complète de McAfee DLP Endpoint.

Meilleures pratiques : déploiement vers un groupe échantillon

Comme il peut être difficile de déterminer à l'avance et avec précision vos besoins uniques, effectuezun déploiement initial vers un groupe échantillon de 15 à 20 utilisateurs sur une période d'essaid'environ un mois. Au cours de cette période, aucune donnée n'est classée et une stratégie est crééepour surveiller les transactions sans pour autant les bloquer. Les données de surveillance recueilliesdoivent permettre aux responsables de la sécurité de prendre les bonnes décisions quant à laclassification des données de l'entreprise et à leur stockage. Les stratégies créées à l'aide de cesinformations sont ensuite évaluées sur un groupe de test plus important (ou, dans le cas d'entreprisesde grande taille, sur une série de groupes de plus en plus grands), avant d'être déployées dans toutel'entreprise.

Installation

Le logiciel de surveillance et de conception de stratégie McAfee DLP est installé dans McAfee ePO.Dans une installation simple, un seul serveur McAfee ePO avec Microsoft SQL Server est utilisé, maispour les entreprises plus grandes, des environnements de cluster ou des installations sur plusieursserveurs sont possibles.

Le logiciel client McAfee DLP Endpoint peut être déployé vers des ordinateurs portables, des postes detravail et des serveurs Microsoft Windows en version Device Control ou McAfee DLP Endpointcomplète.

2


Options McAfee DLP Endpoint et Device ControlPour une simple implémentation de McAfee DLP Endpoint, il est recommandé de l'installer sur unserveur McAfee ePO unique.

Pour obtenir des recommandations sur l'utilisation d'un serveur distinct pour la base de donnéesMcAfee ePO dans des installations plus complexes, reportez-vous au Hardware Sizing and BandwidthUsage Guide (Guide de dimensionnement du matériel et d'utilisation de la bande passante) de McAfeeePolicy Orchestrator.

Figure 2-1 Composants McAfee DLP Endpoint et relations

L'architecture recommandée contient :

• Serveur McAfee ePO : héberge les consoles intégrées McAfee DLP Endpoint, Gestionnaired'incidents et Opérations, et communique avec le logiciel McAfee Agent sur les ordinateurs clients.

• Analyseur d'événements McAfee ePO : communique avec McAfee Agent et stocke lesinformations relatives aux événements dans une base de données.

• Analyseur d'événements DLP : collecte les événements McAfee DLP Endpoint à partir del'analyseur d'événements McAfee ePO et les stocke dans des tables DLP, dans la base dedonnées SQL.

• Base de données ePO : communique avec le distributeur de stratégies McAfee ePO afin dedistribuer des stratégies, ainsi qu'avec l'analyseur d'événements DLP afin de collecter desévénements et des preuves.

• Poste de travail de l'administrateur : accède à McAfee ePO et à la console de stratégies McAfeeDLP Endpoint dans un navigateur.

• Poste de travail managé : applique les stratégies de sécurité à l'aide des logiciels suivants :

• Client McAfee DLP Endpoint : plug-in McAfee Agent qui fournit les processus et les stratégiesMcAfee DLP Endpoint.

• McAfee Agent : permet la communication entre le serveur McAfee ePO et le logiciel clientMcAfee DLP Endpoint.

2 Options et scénarios de déploiementPlanification de votre déploiement


Déploiement de McAfee DLP Endpoint dans des environnementsCitrixMcAfee DLP Endpoint pour Windows peut être installé sur des contrôleurs Citrix pour XenApp etXenDesktop.

Si vous souhaitez utiliser McAfee DLP Endpoint pour Windows dans des environnements Citrix, laconfiguration requise est la suivante :

• Citrix XenApp 6.5 FP2 ou 7.8

• Citrix XenDesktop 7.0, 7.5 ou 7.8

Déployez McAfee Agent et le client McAfee DLP Endpoint sur les contrôleurs Citrix, comme pourn'importe quel client. Déployez une stratégie client McAfee DLP Endpoint pour Windows sur lescontrôleurs Citrix.

Il n'est pas nécessaire de déployer le client McAfee DLP Endpoint sur les postes clients pour qu'ilfonctionne avec Citrix. Vous avez uniquement besoin de Citrix Receiver 4.4.1000. Lorsque le terminalWindows se connecte au contrôleur Citrix et ouvre des fichiers ou des e-mails, les règles sontappliquées.

Principe de fonctionnement

Dans Citrix, les règles de protection présentent les différences suivantes par rapport à une installationde McAfee DLP Endpoint sur un ordinateur d'entreprise :

• Les règles d'équipement Citrix ne sont pas prises en charge lors de l'utilisation d'un serveur decontrôleur distinct avec XenApp 7.8.

• Les règles de protection contre les captures d'écran ne sont pas prises en charge. En effet, lacapture d'écran est activée à partir de l'ordinateur client, sur lequel la règle ne s'applique pas. Pourassurer la protection contre les captures d'écran, installez le client McAfee DLP Endpoint surl'ordinateur client.

• Les règles de protection du Presse-papiers sont prises en charge, mais sans les événements ou lesnotifications pop-up. En effet, la tentative de copie est effectuée au niveau du contrôleur Citrix, oùles règles sont prises en charge, mais la tentative de collage a lieu sur le terminal et ne peut doncpas activer de fenêtre pop-up ou générer d'événement.

Ces limitations ne s'appliquent pas si vous utilisez RDP pour vous connecter au contrôleur Citrix.

Configuration système requiseChaque produit McAfee DLP requiert une configuration système particulière.

Pour connaître la configuration système requise pour McAfee DLP Endpoint, reportez-vous aux notesde publication McAfee Data Loss Prevention Endpoint.

Options et scénarios de déploiementConfiguration système requise 2


2 Options et scénarios de déploiementConfiguration système requise


3 Installation du logiciel McAfee DLPEndpoint ou Device Control

La console McAfee DLP Endpoint est entièrement intégrée dans McAfee ePO. Les clients McAfee DLPEndpoint sont déployés par McAfee ePO vers les ordinateurs d'entreprise.

Sommaire Installation et gestion de licences de l'extension McAfee DLP Installation de McAfee DLP Endpoint et du logiciel clientDevice Control

Installation et gestion de licences de l'extension McAfee DLPL'extension fournit l'interface utilisateur permettant de configurer McAfee DLP dans McAfee ePO.

Avant de commencer• Téléchargez l'extension McAfee DLP depuis le site de téléchargement McAfee.

Vous pouvez également accéder à Menu | Logiciel | Gestionnaire de logiciels dans McAfee ePOpour afficher, télécharger et installer le logiciel.

• Vérifiez dans les paramètres de sécurité d'Internet Explorer que le nom du serveurMcAfee ePO figure dans la liste des sites de confiance.

Vous devez saisir au moins une clé de licence (plusieurs si vous avez plusieurs produits McAfee DLP).Les licences que vous saisissez déterminent les options de configuration dans McAfee ePO que vouspouvez utiliser.

Vous pouvez saisir une licence pour McAfee DLP Endpoint ou Device Control dans le champ McAfee DLPEndpoint. Le remplacement d'un type de licence par un autre type modifie la configuration.

Vous pouvez saisir les clés des produits suivants :

• McAfee DLP Endpoint ou Device Control

Vous pouvez saisir une licence pour McAfee DLP Endpoint ou Device Control dans le champ McAfeeDLP Endpoint. Le remplacement d'un type de licence par un autre type modifie la configuration.

• McAfee DLP Discover

• McAfee DLP (Réseau) version 9.3.4

3


ProcédurePour davantage d'informations au sujet des fonctionnalités du produit, de son utilisation et desmeilleures pratiques, cliquez sur ? ou sur Aide.

1 Dans McAfee ePO, sélectionnez Menu | Logiciel | Extensions, puis cliquez sur Installer une extension.

2 Recherchez le fichier .zip de l'extension, puis cliquez sur OK.

La boîte de dialogue d'installation affiche les paramètres du fichier afin que vous puissiez vérifiers'il s'agit bien de l'extension appropriée.

3 Cliquez sur OK. L'extension est installée.

4 Installez des licences et des composants pour personnaliser l'installation.

L'installation de la licence active les composants McAfee ePO et les stratégies du catalogue destratégies McAfee ePO connexes. La licence de produit dont vous disposez détermine lesfonctionnalités McAfee DLP que vous pouvez utiliser.

a Sélectionnez Menu | Protection des données | Paramètres DLP.

b Pour chaque licence que vous souhaitez ajouter, procédez comme suit : dans le champ Clés delicence | Clé, saisissez la licence, puis cliquez sur Ajouter.

5 Dans le champ Stockage de preuves par défaut, entrez le chemin d'accès.

Ce doit être un chemin réseau, c'est-à-dire de type \\[serveur]\[partage]. Cette étape estnécessaire pour enregistrer les paramètres et activer le logiciel.

6 (Facultatif) Modifiez les paramètres restants sur la page.

Les paramètres restants ont des valeurs par défaut. Vous pouvez accepter les valeurs par défaut etenregistrer la page, ou les modifier selon vos besoins.

a Définissez le mot de passe partagé.

Meilleure pratique : pour une meilleure sécurité, changez le mot de passe.

b Définissez la rétrocompatibilité.

Pour la compatibilité avec les anciens clients, sélectionnez 9.4.0.0 ou la compatibilité 9.4.200.0. Ceparamètre limite la possibilité d'utiliser de nouvelles fonctionnalités.

Deux modes de compatibilité sont disponibles : strict et non strict. Mode strict : les stratégiesqui présentent des erreurs de rétrocompatibilité ne peuvent pas être appliquées. Mode nonstrict : le propriétaire de la stratégie ou un utilisateur disposant d'autorisations d'administrateurpeut choisir d'appliquer des stratégies avec des erreurs de rétrocompatibilité.

c Définissez la longueur de la clé de demande d'authentification/réponse.

Les options sont des clés de 8 caractères et de 16 caractères.

d Définissez les autorisations de l'arborescence des systèmes.

L'autorisation d'accès à l'arborescence des systèmes peut être utilisée pour filtrer desinformations pour les incidents, les événements, les requêtes et les tableaux de bord.

e Sélectionnez l'option d'affichage du produit de l'événementGestion des incidents.

3 Installation du logiciel McAfee DLP Endpoint ou Device ControlInstallation et gestion de licences de l'extension McAfee DLP


f Sélectionnez les options de messagerie Gestion des cas.

g Définissez le fuseau horaire de l'événement personnalisé.

Le fuseau horaire de l'événement personnalisé permet à un administrateur de trier lesévénements en fonction de son fuseau horaire local. Le paramètre est le décalage par rapport àl'heure UTC.

7 Cliquez sur Enregistrer.

8 Pour sauvegarder la configuration, cliquez sur l'onglet Sauvegarde et restauration, puis cliquez surSauvegarde sur fichier.

Les modules McAfee DLP apparaissent dans Menu | Protection des données en fonction de la licence.

Procédures

• Application de la compatibilité avec les versions antérieures, page 31Vous pouvez créer des stratégies compatibles avec les versions antérieures à déployer surles ordinateurs exécutant des clients plus anciens. Cela vous permet d'utiliser la nouvelleextension avec les anciennes versions du client, ce qui offre un chemin de mise à niveauclair aux grandes entreprises.

• Conversion des stratégies et migration de données, page 32Pour effectuer une mise à niveau vers McAfee DLP 10.0 à partir de versions antérieures à9.4.100, vous devez migrer ou convertir des incidents, des événements opérationnels oudes stratégies. Les tâches serveur McAfee ePO sont utilisées pour la conversion/migration.

Voir aussi Application de la compatibilité avec les versions antérieures, page 31Création de dossiers de preuves, page 49

Application de la compatibilité avec les versions antérieuresVous pouvez créer des stratégies compatibles avec les versions antérieures à déployer sur lesordinateurs exécutant des clients plus anciens. Cela vous permet d'utiliser la nouvelle extension avecles anciennes versions du client, ce qui offre un chemin de mise à niveau clair aux grandesentreprises.

La compatibilité avec les versions antérieures est prise en charge pour les stratégies McAfee DLP 9.4.0et des versions ultérieures. Les options apparaissent sur la page Paramètres DLP (Menu | Protection desdonnées | Paramètres DLP). La compatibilité avec les versions antérieures n'est pas prise en charge pourles stratégies McAfee DLP 9.3. Les stratégies de versions antérieures à 9.4.0 doivent être migrées versle schéma 9.4.

L'option de compatibilité avec la version 9.4.0.0 en mode non strict peut entraîner des erreurs dans lastratégie si l'utilisateur sélectionne des options de règles qui ne sont pas prises en charge dans cetteversion. Si le mode strict est utilisé, ces stratégies rencontrent une erreur lorsque vous tentez de lesappliquer à la base de données McAfee ePO. Si le mode non strict est sélectionné et qu'il existe deserreurs de compatibilité dans la stratégie, une fenêtre d'avertissement s'affiche lorsque vous essayezd'appliquer cette dernière.

Installation du logiciel McAfee DLP Endpoint ou Device ControlInstallation et gestion de licences de l'extension McAfee DLP 3


Si vous sélectionnez la case à cocher, la stratégie est appliquée avec des erreurs. Ces erreurs sontaffichées dans le Catalogue de stratégies sur la page Stratégie DLP | Validation de la stratégie active.La colonne Détails sur la page inclut une description de ce qui peut se produire si vous appliquez larègle qui présente l'erreur sur les terminaux qui ne prennent pas en charge la fonctionnalité. Vouspouvez modifier la règle à partir de cette page pour corriger l'erreur.

Exemple : Description de l'équipementLes définitions d'équipements dans les versions 9.4.200 et 10.0 McAfee DLP ont unparamètre facultatif nommé Description de l'équipement qui n'était pas disponible dans lesversions antérieures. Si vous utilisez une description d'équipement pour définir unedéfinition d'équipements, puis que vous incluez cette définition dans une règle DeviceControl, le jeu de règles créé ne peut pas être mise en œuvre sur les clients 9.4.0. Si vousacceptez la stratégie malgré le message d'avertissement, l'erreur s'affiche sur la pageValidation de stratégie. Le champ Détails explique que l'erreur « recherchera et appliquera desréponses à des équipements que vous ne souhaitiez pas détecter ». Vous pouvez cliquersur Modifier pour réparer l'erreur.

Voir aussi Conversion des stratégies et migration de données, page 32

Conversion des stratégies et migration de donnéesPour effectuer une mise à niveau vers McAfee DLP 10.0 à partir de versions antérieures à 9.4.100,vous devez migrer ou convertir des incidents, des événements opérationnels ou des stratégies. Lestâches serveur McAfee ePO sont utilisées pour la conversion/migration.

Avant de commencerCette tâche décrit la mise à niveau à partir de McAfee DLP Endpoint 9.3.x.

Vous pouvez effectuer une mise à niveau à partir de McAfee DLP Endpoint 9.4.0directement. Vous pouvez définir la compatibilité avec les versions précédentes de manièreà activer la prise en charge des clients 9.4.0, mais vous devez exécuter la tâche serveurConversion des événements d'incident DLP de 9.4 vers 9.4.1 et versions ultérieures si vous souhaitez afficherdes incidents et des événements opérationnels plus anciens dans la version 10.0 desconsoles Gestionnaire d'incidents DLP ou Opérations DLP.

Mettez à niveau l'extension McAfee DLP Endpoint vers la version 9.3.600 (9.3 Patch 6) ouune version ultérieure, puis installez l'extension McAfee DLP 9.4.100 ou ultérieure dansMcAfee ePO.

La tâche de conversion de stratégie ne convertit que les règles qui sont activées etappliquées à la base de données. Pour vérifier l'état de règles que vous voulez convertir,passez en revue votre stratégie McAfee DLP Endpoint 9.3 avant la conversion.

3 Installation du logiciel McAfee DLP Endpoint ou Device ControlInstallation et gestion de licences de l'extension McAfee DLP



1 Dans McAfee ePO, sélectionnez Menu | Automatisation | Tâches serveur.

2 Sélectionnez Conversion de stratégie DLP, puis cliquez sur Actions | Exécuter.

La page Journal des tâches serveur s'ouvre, ce qui vous permet de vérifier que la tâche est encours d'exécution. La stratégie convertie est compatible avec les stratégies de version 9.4.100 etultérieures.

La tâche échoue si elle a été précédemment exécutée. Si vous apportez des modifications à lastratégie McAfee DLP 9.3 et que vous voulez réexécuter la conversion, modifiez la tâche serveur endésactivant l'option Ne pas exécuter la conversion de stratégies si le jeu de règles '[9.3] Jeu de règles de conversion destratégies' existe sur la page Actions. Le jeu de règles précédent est supprimé et remplacé.

3 Retournez à la page Tâches serveur, sélectionnez Migrer des incidents DLP, puis cliquez sur Actions | Modifier.

La tâche Migrer des événements opérationnels DLP est effectuée de la même manière.

4 Sélectionnez Etat de planification | Activé, puis cliquez deux fois sur Suivant.

La migration est préprogrammée, de sorte que vous pouvez sauter la page Actions.

5 Sélectionnez un type de planification et la fréquence.

Meilleure pratique : planifiez les tâches de migration pendant le week-end ou en dehors desheures de travail en raison de la charge appliquée au processeur.

a Définissez la date de début et la date de fin pour définir une période, et programmez la tâchepour qu'elle soit exécutée toutes les heures.

b Planifiez la répétition de la tâche en fonction de la taille de la base de données d'incidents quevous devez migrer.

Les incidents sont migrés par segments de 200 000.

6 Cliquez sur Suivant pour passer en revue les paramètres, puis cliquez sur Enregistrer.

Installation de McAfee DLP Endpoint et du logiciel clientDeviceControl

Utilisez McAfee ePO pour déployer le logiciel client sur des ordinateurs clients.L'installation propre du logiciel client McAfee DLP Endpoint 10.0 n'exige pas le redémarrage del'ordinateur client. Toutefois, si vous mettez à niveau le client à partir d'une version antérieure, vousdevez redémarrer l'ordinateur client après l'installation.


1 Dans McAfee ePO, sélectionnez Menu | Logiciels | Référentiel maître.

2 Dans le référentiel maître, cliquez sur Archiver un package.

Installation du logiciel McAfee DLP Endpoint ou Device ControlInstallation de McAfee DLP Endpoint et du logiciel clientDevice Control 3


3 Sélectionnez le type de package suivant : Produit ou mise à jour (.ZIP). Cliquez sur Parcourir.

Pour le client Microsoft Windows, accédez à ...\HDLP_Agent_10_0_0_xxx.zip. Pour le client Mac,accédez à ...\DlpAgentInstaller.zip.

4 Cliquez sur Suivant.

5 Contrôlez les informations affichées sur la page Archiver un package, puis cliquez sur Enregistrer.

Le package est ajouté au référentiel maître.

3 Installation du logiciel McAfee DLP Endpoint ou Device ControlInstallation de McAfee DLP Endpoint et du logiciel clientDevice Control


4 Déploiement des stratégies et du logicielclient

Les stratégies McAfee DLP sont mises en œuvre par McAfee Agent sur les ordinateurs clients.

La première étape consiste à déployer le logiciel client McAfee DLP Endpoint, un plug-in McAfee Agent,sur les terminaux.

Meilleure pratique : utilisez McAfee ePO pour le déploiement sur le client. Vous pouvez effectuer undéploiement manuel si le déploiement par McAfee ePO n'est pas possible.

Sommaire Déploiement du client McAfee DLP Endpoint avec McAfee ePO Vérification de l'installation Déploiement de stratégies avec McAfee ePO

Déploiement du client McAfee DLP Endpoint avec McAfee ePOAvant de pouvoir appliquer des stratégies, McAfee ePO doit déployer le client McAfee DLP Endpoint surles ordinateurs clients.

Avant de commencerUne version actuelle de McAfee Agent doit être installée dans McAfee ePO et déployée surles ordinateurs cibles pour que vous puissiez déployer McAfee DLP Endpoint. Reportez-vousaux notes de publication McAfee Data Loss Prevention Endpoint pour connaître les versionsde McAfee Agent prises en charge pour les ordinateurs clients Microsoft Windows etMac OS X.

Reportez-vous à la documentation McAfee ePO pour savoir comment vérifier la version etpour l'installer le cas échéant.

4



1 Dans McAfee ePO, sélectionnez Menu | Arborescence des systèmes.

2 Dans l'arborescence des systèmes, sélectionnez le niveau de déploiement de McAfee DLP Endpoint.

Si vous conservez le niveau Mon organisation, le déploiement s'effectue sur tous les postes de travailmanagés par McAfee ePO.

Si vous sélectionnez un niveau inférieur à Mon organisation, le volet droit affiche les postes de travaildisponibles. Vous pouvez également déployer McAfee DLP Endpoint sur des postes de travailindividuels.

3 Ouvrez l'assistant Générateur de tâches client, puis cliquez sur l'onglet Tâches client affectées. SélectionnezActions | Nouvelle affectation de tâche client.

L'assistant Générateur de tâches client s'ouvre.

4 Remplissez les champs du générateur de tâches :

• Dans le champ Produit, sélectionnez McAfee Agent.

• Dans le champ Type de tâche, sélectionnez Déploiement de produit.

5 Cliquez sur Créer une tâche.

6 Dans le champ Produits et composants, sélectionnez Data Loss Prevention 9.4. Le champ Action se réinitialiseautomatiquement sur Installer. Cliquez sur Enregistrer.

7 Définissez le type de planification sur Exécuter immédiatement. Cliquez sur Suivant.

8 Vérifiez le récapitulatif de la tâche. Dès que vous êtes satisfait, cliquez sur Enregistrer. La tâche estplanifiée et s'exécutera lors de la prochaine mise à jour de la stratégie par McAfee Agent. Pourlancer immédiatement l'installation, envoyez un appel de réactivation de l'agent.

9 Une fois McAfee DLP Endpoint déployé, redémarrez les ordinateurs managés.

4 Déploiement des stratégies et du logiciel clientDéploiement du client McAfee DLP Endpoint avec McAfee ePO


Vérification de l'installationAprès avoir installé le logiciel McAfee DLP Endpoint, vérifiez l'installation dans la console Opérations DLP.

Procédure1 Dans McAfee ePO, sélectionnez Menu | Protection des données | Opérations DLP. Cliquez sur un événement

pour en afficher les détails.

Figure 4-1 Volet de détails de la console Opérations DLP

2 Vérifiez l'installation du logiciel client McAfee DLP Endpoint grâce à l'icône de la barre d'étatsystème McAfee Agent sur l'ordinateur client en sélectionnant A propos de. Parcourez les informationspour McAfee DLP Endpoint.

Déploiement de stratégies avec McAfee ePOLes stratégies McAfee DLP Endpoint contiennent des jeux de règles, des classifications, des définitions,ainsi que des configurations client et du serveur.

McAfee DLP Endpoint fonctionne avec les stratégies suivantes :

• Stratégie DLP

• Configuration client

Le numéro de révision 1 est affecté à chacune de ces stratégies lors de leur création et le numéro estincrémenté à chaque modification de la stratégie. Le numéro de révision est important pour lesprocessus de dépannage. Il permet d'assurer que les modifications de stratégie sont appliquées àchaque ordinateur client. Il est également utile lors de la demande d'un contournement de client oud'une clé de désinstallation. La console DLP Endpoint de l'ordinateur client affiche les numéros derévision de la stratégie en cours.

Avant d'appliquer une stratégie, vérifiez les points suivants :

• Tous les paramètres sont correctement configurés.

• Toutes les règles sont activées.

• Des groupes d'utilisateurs finaux (le cas échéant) sont affectés à chaque règle.

Affectation d'une stratégie ou d'une configuration clientLes stratégies appliquées à McAfee ePO doivent être affectées et déployées sur les ordinateursmanagés afin de pouvoir être utilisées.

Déploiement des stratégies et du logiciel clientVérification de l'installation 4



1 Dans McAfee ePO, sélectionnez Menu | Arborescence des systèmes.

2 Accédez au répertoire contenant les ordinateurs auxquels la stratégie doit être affectée, puissélectionnez ces ordinateurs.

3 Sélectionnez Actions | Agent | Réactiver les agents.

4 Sélectionnez Appel de réactivation de l'agent, puis définissez le champ Exécution aléatoire sur 0 minute.Cliquez sur OK.

5 Dès que l'appel de réactivation de l'agent est terminé, l'arborescence des systèmes s'affiche denouveau. Sélectionnez à nouveau les ordinateurs auxquels une stratégie sera affectée, puis cliquezsur Actions | Agent | Définir la stratégie et l'héritage.

6 Sur la page Affecter une stratégie :

a Dans la liste déroulante Produit, sélectionnez Data Loss Prevention [version].

b Dans la liste déroulante Catégorie, sélectionnez la stratégie que vous souhaitez affecter : StratégieDLP, Configuration du client Windows, ou Configuration du client Mac OS X.

c Dans la liste déroulante Stratégie, sélectionnez la stratégie à affecter.

7 Cliquez sur l'option Bloquer l'héritage, puis cliquez sur Enregistrer.

Actualisation de la stratégieLe déploiement de la stratégie système s'appuie sur le serveur McAfee ePO et l'actualisation de lastratégie sur l'ordinateur managé est effectuée conformément aux paramètres de McAfee Agent.Cependant, vous pouvez actualiser une stratégie dans McAfee ePO sans attendre l'actualisationplanifiée.


1 Dans McAfee ePO, sélectionnez Menu | Arborescence des systèmes, puis sélectionnez au moins unordinateur à actualiser.

2 Cliquez sur Autres actions | Réactiver les agents.

3 Sélectionnez le type d'appel de réactivation, puis définissez le champ Exécution aléatoire sur 0 minute.Cliquez sur OK.

Les stratégies sont mises à jour de façon planifiée par le serveur McAfee ePO. Les utilisateursd'ordinateurs managés ne doivent pas actualiser les stratégies manuellement, à moins d'avoir reçuune instruction spécifique en ce sens.

4 Déploiement des stratégies et du logiciel clientDéploiement de stratégies avec McAfee ePO


Configuration et utilisationConfigurez le logiciel pour bénéficier d'une utilisation optimisée dansl'environnement d'entreprise en fonction des décisions de gestion concernantles contenus à protéger et la meilleure façon de les protéger.

Chapitre 5 Configuration des composants systèmeChapitre 6 Protection des supports amoviblesChapitre 7 Classification de contenu confidentielChapitre 8 Utilisation des stratégiesChapitre 9 Protection de contenu confidentielChapitre 10 Analyse de données avec la découverte McAfee DLP Endpoint


Configuration et utilisation


5 Configuration des composants système

Les composants système peuvent être personnalisés de manière à répondre parfaitement aux besoinsde votre entreprise. La configuration des options de l'agent et du système permet d'optimiser laprotection des informations confidentielles de l'entreprise.

Sommaire Catalogue de stratégies Configuration de McAfee DLP dans le catalogue de stratégies Protection des fichiers avec la gestion des droits Création de rapports sur des événements avec preuve Contrôle des affectations avec des utilisateurs et des ensembles d'autorisations Configuration de la classification manuelle

Catalogue de stratégiesLe Catalogue de stratégies de McAfee ePO présente les configurations de stratégie McAfee DLP suivantes :

• Stratégie DLP : contient les jeux de règles actives affectés à la stratégie, les analyses dedécouverte Endpoint planifiées, les paramètres pour la stratégie d'application, les remplacements declasse d'équipement et les utilisateurs avec privilèges, ainsi que la validation de stratégie.

• Configuration du serveur : contient la configuration McAfee DLP Discover. Permet de définir lesoptions du service de copie de preuve et de journalisation, les paramètres de SharePoint et degestion des droits, ainsi que les options d'extracteur de texte.

La configuration du serveur s'affiche uniquement si une licence McAfee DLP Discover est enregistrée.

• Configurations client : des configurations distinctes pour les ordinateurs Windows et OS Xcontiennent les paramètres de configuration pour les clients McAfee DLP Endpoint. Les paramètresdéterminent la façon dont les clients appliquent des stratégies McAfee DLP sur les ordinateursclients.

Configuration de McAfee DLP dans le catalogue de stratégiesMcAfee DLP utilise le catalogue de stratégies McAfee ePO pour stocker les stratégies et lesconfigurations client.

McAfee DLP crée des stratégies dans le catalogue de stratégies McAfee ePO :

• Stratégie DLP

• Configuration du serveur

• Configuration client

5


La stratégie DLP comprend des jeux de règles actives, la configuration Endpoint Discovery, des paramètres et lavalidation de stratégie.

La stratégie de configuration du serveur est l'endroit où vous activez le service de copie de preuve pour McAfeeData Loss Prevention Discover et où vous saisissez le chemin d'accès vers le partage de stockage depreuves. C'est également là que vous définissez les paramètres de journalisation, à savoir le type desortie des journaux et le niveau de journalisation.

Les stratégies de configuration client contiennent des paramètres qui déterminent le fonctionnementdes ordinateurs clients avec les stratégies.

Importer ou exporter la configuration McAfee DLP EndpointLes configurations de stratégie Endpoint peuvent être enregistrées au format HTML pour la sauvegardeou pour le transfert de stratégies vers d'autres serveurs McAfee ePO.

N'utilisez pas cette procédure pour enregistrer des configurations de stratégie DLP. Bien que l'optionExporter enregistre le fichier, l'option Importer ne parvient pas à l'importer. Pour enregistrer des stratégiesDLP, utilisez la page Sauvegarde et restauration dans Paramètres DLP.


1 Dans McAfee ePO, sélectionnez Catalogue de stratégies | Produit | Data Loss Prevention.

2 Effectuez l'une des actions suivantes :

• Pour exporter, cliquez sur Exporter. Dans la fenêtre Exporter, cliquez avec le bouton droit de lasouris sur le lien du fichier et sélectionnez Enregistrer le lien sous pour enregistrer la stratégie entant que fichier XML.

Le bouton Exporter permet d'exporter toutes les stratégies. Vous pouvez exporter une stratégieindividuelle en sélectionnant Exporter dans la colonne Actions de la ligne du nom de la stratégie.

• Pour importer une stratégie enregistrée, cliquez sur Importer. Dans la fenêtre Importer des stratégies,accédez à une stratégie enregistrée, cliquez sur Ouvrir, puis sur OK.

La fenêtre d'importation s'ouvre, indiquant les stratégies que vous êtes sur le point d'importeret la présence de conflit de noms, le cas échéant. Vous pouvez désélectionner toutes lesstratégies en conflit et ne pas les importer. Si vous choisissez d'importer une stratégie quiprésente un conflit de noms, elle remplace la stratégie actuelle et prend ses affectations.

Configuration clientLe logiciel client McAfee DLP Endpoint pour McAfee Agent réside sur des ordinateurs d'entreprise etexécute la stratégie définie. Le logiciel surveille également les activités utilisateur impliquant ducontenu confidentiel. La configuration client est stockée dans la stratégie, qui est elle-même déployéesur les ordinateurs managés.

Le catalogue de stratégies comprend les stratégies par défaut de McAfee pour la configuration desterminaux Windows et OS X, ainsi que la stratégie DLP. Cliquez sur Dupliquer (dans la colonne Actions)pour créer une copie modifiable qui servira de base pour votre stratégie.

La configuration cliente est stockée dans la stratégie, qui est elle-même déployée sur les ordinateursmanagés par McAfee ePO. Si la configuration est mise à jour, vous devez redéployer la stratégie.

5 Configuration des composants systèmeConfiguration de McAfee DLP dans le catalogue de stratégies


Surveillance du service client

Pour maintenir un fonctionnement normal du logiciel McAfee DLP Endpoint même en cas d'interférencemalveillante, McAfee DLP Endpoint exécute un service de protection appelé Surveillance du serviceclient. Ce service surveille le logiciel McAfee DLP Endpoint et le redémarre s'il est arrêté pour uneraison quelconque. Le service est activé par défaut. Pour vérifier que le service est en coursd'exécution, recherchez le service fcagswd.exe parmi les processus du Gestionnaire des tâchesMicrosoft Windows.

La surveillance du service client n'est pas prise en charge sur McAfee DLP Endpoint for Mac.

Paramètres de configuration client

Les paramètres de configuration du client déterminent le mode de fonctionnement du logicielEndpoint. La plupart des paramètres de configuration client ont des valeurs par défaut raisonnablesqui peuvent être utilisées pour le test et la configuration initiale sans modification.

Meilleure pratique : pour vérifier que les paramètres de configuration client continuent de répondre àvos exigences, contrôlez-les régulièrement.

Le tableau suivant répertorie les paramètres les plus importants à vérifier.

Tableau 5-1 Configuration du terminal

Paramètre Détails Description

Configuration avancée Client MicrosoftWindows : exécuter leclient DLP en mode sanséchec

Option désactivée par défaut. Lorsque ce paramètre estactivé, McAfee DLP Endpoint est entièrement fonctionnellorsque l'ordinateur est démarré en mode sans échec.Un mécanisme de récupération existe si le client McAfeeDLP Endpoint provoque une panne au démarrage.

Suivi du contenu Utilisez la page de codeANSI de la fonction desecours suivante

Si aucun langage n'est défini, l'option de secours utiliséeest le langage par défaut de l'ordinateur client.

Processus inclus dans laliste blanche

Ajoute des processus et des extensions à la listeblanche.

Connectivité d'entreprise Détection de réseaud'entreprise

Détection VPN d'entreprise

Vous pouvez appliquer différentes mesures préventivessur les ordinateurs clients dans le réseau de l'entrepriseou en dehors. Pour certaines règles, vous pouvezappliquer différentes mesures préventives en cas deconnexion par VPN. Pour utiliser l'option VPN ou pourdéterminer la connectivité réseau par serveurd'entreprise plutôt que par la connexion à McAfee ePO,définissez l'adresse IP du serveur dans la sectioncorrespondante.

Protection de lamessagerie

Mise en cache des e-mails Permet de stocker les signatures de marqueurs dese-mails sur le disque pour éviter de les analyserplusieurs fois.

API de gestion d'e-mail Les messages sortants sont pris en charge par OOM(Outlook Object Model) ou MAPI (Messaging ApplicationProgramming Interface). OOM est l'API par défaut, maiscertaines configurations nécessitent MAPI.

Intégration du complémentOutlook de tierce partie

Deux applications de classification tierces sont prises encharge : Titus et Boldon James.

Stratégie de délaid'expiration d'e-mail

Définit le délai maximal pour l'analyse d'un e-mail et lamesure à entreprendre en cas de dépassement du délai.

Service de copie depreuve

Partage du stockage depreuves UNC

Remplacez l'exemple de texte par le partage destockage de preuves.

Configuration des composants systèmeConfiguration de McAfee DLP dans le catalogue de stratégies 5


Tableau 5-1 Configuration du terminal (suite)

Paramètre Détails Description

Paramètres client Vous pouvez modifier l'affichage de l'option de mise ensurbrillance en définissant les correspondances declassification sur toutes les correspondances ou tous lesrésultats abrégés.

Mode de fonctionnementet modules

Mode de fonctionnement Définissez le mode Device Control ou le mode McAfeeDLP Endpoint complet. Redéfinissez ce paramètre sivous effectuez une mise à niveau ou un déclassement delicence.

Modules de protection desdonnées

Activent les modules requis

Meilleure pratique : pour améliorer lesperformances, désélectionnez les modules que vousn'utilisez pas.

Protection de lapublication web (clientWindowsuniquement)

Evaluation de la protectionweb

Sélectionnez des paramètres pour l'évaluation de lademande web lorsque des règles de protection web sontdéclenchées. Ces paramètres permettent de bloquer lesdemandes envoyées par AJAX vers une URL différentede celle indiquée dans la barre d'adresse. Vous devezsélectionner au moins une option.

Traiter les demandes HTTPGET

Les demandes GET sont désactivées par défaut, car ellesconsomment beaucoup de ressources. Utilisez cetteoption avec discernement.

Versions de Chrome prisesen charge

Si vous utilisez Google Chrome, cliquez sur Parcourir pourajouter la liste actuelle des versions prises en charge. Laliste est un fichier XML que vous téléchargez à partir dusupport technique McAfee.

Stratégie de délaid'expiration web

Permet de définir le délai d'expiration de l'analyse de lapublication web, l'action à appliquer en cas dedépassement du délai d'expiration et éventuellement unmessage destiné aux utilisateurs.

URL incluses dans la listeblanche

Fournit la liste des URL exclues des règles de protectionde la publication web.

Prise en charge des paramètres de configuration du clientMcAfee DLP Endpoint pour Windows et McAfee DLP Endpoint for Mac sont configurés dans desstratégies client distinctes.

Tableau 5-2 Page Débogage et journalisation

Paramètre Prise en charge du système d'exploitation

Evénements d'administrationsignalés par les clients

Les paramètres de filtre qui s'appliquent à la fois à McAfee DLP Endpointpour Windows et à McAfee DLP Endpoint for Mac sont les suivants :• Le client passe en mode de contournement

• Le client quitte le mode de contournement

• Client installé

Tous les autres paramètres s'appliquent à McAfee DLP Endpoint pourWindows uniquement.

Journalisation Pris en charge sur McAfee DLP Endpoint pour Windows et sur McAfee DLPEndpoint for Mac.

5 Configuration des composants systèmeConfiguration de McAfee DLP dans le catalogue de stratégies


Tableau 5-3 Page Composants de l'interface utilisateur

Section Paramètre Prise en charge du systèmed'exploitation

Interface utilisateur du client Afficher la console DLP (toutesles options)

McAfee DLP Endpoint pour Windowsuniquement

Activer la fenêtre pop-up denotification de l'utilisateur final

McAfee DLP Endpoint pour Windows etMcAfee DLP Endpoint for Mac

Afficher la boîte de dialogueJustification de la demande

McAfee DLP Endpoint pour Windows etMcAfee DLP Endpoint for Mac

Demande d'authentification etréponse

Toutes les options McAfee DLP Endpoint pour Windows etMcAfee DLP Endpoint for Mac

Stratégie de déverrouillage du coded'autorisation

Toutes les options McAfee DLP Endpoint pour Windows etMcAfee DLP Endpoint for Mac

Image de la bannière du client Toutes les options McAfee DLP Endpoint pour Windowsuniquement

Protection des fichiers avec la gestion des droitsMcAfee DLP Endpoint et McAfee DLP Discover peuvent s'intégrer avec des serveurs de gestion desdroits, afin de protéger les fichiers qui entrent dans des classifications de règles.

Avec McAfee DLP Endpoint version 10.0, vous devez installer Active Directory Rights ManagementServices Client 2.1 build 1.0.2004.0 sur chaque ordinateur client à l'aide des services de gestion desdroits. La commande Appliquer la gestion des droits ne fonctionne pas sans cette version du client RM.

Vous pouvez appliquer une réaction de stratégie de gestion des droits aux règles de protection desdonnées et de découverte suivantes :

• Protection du cloud

• Système de fichiers Endpoint

Les stratégies de gestion des droits ne peuvent pas être utilisées avec des règles Device Control.

McAfee DLP peut reconnaître des fichiers protégés par la gestion des droits en ajoutant une propriétéde chiffrement aux critères de classification ou d'empreintes de contenu. Ces fichiers peuvent êtreinclus dans la classification ou en être exclus.

Fonctionnement de McAfee DLP avec la gestion des droitsMcAfee DLP suit un workflow particulier pour appliquer des stratégies de gestion des droits auxfichiers.

Workflow de gestion des droits

1 Créez et appliquez une règle de protection des données ou de découverte avec une réactionindiquant d'appliquer une stratégie de gestion des droits. Cette réaction requiert un serveur degestion des droits et une entrée de stratégie de gestion des droits.

2 Quand un fichier déclenche la règle, McAfee DLP l'envoie sur le serveur de gestion des droits.

3 Ce dernier applique les protections basées sur la stratégie spécifiée : chiffrement du fichier,limitation des utilisateurs autorisés à accéder au fichier ou à le déchiffrer, ou limitation desconditions dans lesquelles le fichier est accessible.

Configuration des composants systèmeProtection des fichiers avec la gestion des droits 5


4 Le serveur de gestion des droits renvoie le fichier à la source avec les protections appliquées.

5 Si vous avez configuré une classification pour le fichier, McAfee DLP peut le surveiller.

Lorsque le logiciel McAfee DLP appliquant la règle de découverte du système de fichiers détecte unfichier à protéger, il utilise le modèle de GUID comme identifiant unique afin de localiser le modèle etd'appliquer la protection.

Limitations

Le logiciel McAfee DLP Endpoint ne contrôle pas le contenu des fichiers protégés par la gestion desdroits. Lorsqu'une classification est appliquée à un fichier qui est protégé par la gestion des droits,seuls les critères d'empreintes de contenu (emplacement, application ou application web) sontconservés. Si un utilisateur modifie le fichier, toutes les signatures d'empreinte sont perdues lors deson enregistrement.

Serveurs de gestion des droits pris en chargeMcAfee DLP Endpoint prend en charge Microsoft RMS (Windows Rights Management Services) et lesservices de gestion des droits d'information (IRM) de Seclore FileSecure™. McAfee DLP Discover prenden charge Microsoft RMS.

Microsoft RMS

McAfee DLP prend en charge Microsoft RMS sur Windows Server 2003 et Active Directory RMS(AD-RMS) sur Windows Server 2008 et 2012. Vous pouvez appliquer la protection Windows RMS auxdocuments suivants :

Type de document Version

Microsoft Word 2010, 2013 et 2016

Microsoft Excel

Microsoft PowerPoint

SharePoint 2007

Serveur Exchange

Avec Microsoft RMS, McAfee DLP peut contrôler le contenu des fichiers protégés si l'utilisateurconnecté possède des autorisations de consultation.

Pour plus d'informations sur Microsoft RMS, consultez la page http://technet.microsoft.com/fr-fr/library/cc772403.aspx.

Seclore IRM

McAfee DLP Endpoint prend en charge Seclore FileSecure RM, qui gère 140 formats de fichiers ycompris les formats de document les plus courants :

• Documents Microsoft Office

• Documents Open Office

• PDF

• Textes et formats texte, y compris CSV, XML et HTML

• Formats image, y compris JPEG, BMP, GIF, etc.

• Formats de conception ingénierie, y compris DWG, DXF et DWF

5 Configuration des composants systèmeProtection des fichiers avec la gestion des droits


http://technet.microsoft.com/en-us/library/cc772403.aspx

http://technet.microsoft.com/en-us/library/cc772403.aspx

Le client McAfee DLP Endpoint peut être associé au client de bureau FileSecure pour bénéficier d'uneintégration en ligne et hors ligne.

Pour plus d'informations sur Seclore IRM, consultez la page http://seclore.com/seclorefilesecure_overview.html.

Définition d'un serveur de gestion des droitsMcAfee DLP Endpoint prend en charge deux systèmes de gestion des droits : Microsoft Windows RightsManagement Services (RMS) et Seclore FileSecure™. Pour utiliser ces systèmes, configurez le serveurfournissant les stratégies de gestion des droits dans McAfee ePO.

Avant de commencer• Configurez les serveurs de gestion des droits et créez des stratégies et des utilisateurs.

Obtenez l'URL et le mot de passe de tous les serveurs : modèle de stratégie,certification et licence. Pour Seclore, vous devez disposer de l'ID de fichier CAB HotFolder et de la phrase secrète, ainsi que des informations sur les éventuelles licencesavancées.

• Vérifiez que vous disposez des autorisations nécessaires pour afficher, créer et modifierdes serveurs Microsoft RMS et Seclore. Dans McAfee ePO, sélectionnez Menu | Gestion desutilisateurs | Ensembles d'autorisations, et vérifiez que vous appartenez à un groupe disposantdes autorisations requises dans Serveurs enregistrés.


1 Dans McAfee ePO, sélectionnez Menu | Serveurs enregistrés.

2 Cliquez sur Nouveau serveur.

La page de description Serveurs enregistrés s'ouvre.

3 Dans la liste déroulante Type de serveur, sélectionnez le type de serveur à configurer : Serveur MicrosoftRMS ou Serveur Seclore.

4 Attribuez un nom à la configuration du serveur, puis cliquez sur Suivant.

5 Saisissez les détails requis. Une fois que vous avez renseigné les champs requis, cliquez sur Tester laconnectivité pour vérifier les données saisies.

• Les paramètres RMS comprennent aussi une section Paramètres de mise en œuvre DLP. Le champChemin d'accès local vers le modèle RMS est facultatif, mais les champs d'URL pour la certification et leslicences sont obligatoires, sauf si vous choisissez l'option de découverte de service automatiqueAD.

• Pour Seclore, les informations du fichier CAB Hot Folder sont obligatoires, mais les autresinformations de licence sont facultatives.

6 Cliquez sur Enregistrer lorsque vous avez terminé la configuration.

Configuration des composants systèmeProtection des fichiers avec la gestion des droits 5


http://seclore.com/seclorefilesecure_overview.html

http://seclore.com/seclorefilesecure_overview.html

Création de rapports sur des événements avec preuveUne preuve est une copie du fichier ou de l'e-mail ayant provoqué la publication d'un événement desécurité dans le Gestionnaire d'incidents DLP.

Utilisation de preuves et du stockage de preuvesLa plupart des règles permettent d'enregistrer des preuves. Lorsque cette option est sélectionnée, unecopie chiffrée du contenu bloqué ou surveillé est enregistrée dans le dossier de preuves prédéfini surl'ordinateur client.

Lorsque McAfee DLP transmet les informations au serveur, le dossier est purgé et les preuves sontenregistrées dans le dossier de preuves du serveur. Vous pouvez spécifier la taille et l'âge maximumdu stockage de preuves locales lorsque l'ordinateur est hors ligne.

Prérequis relatifs au stockage des preuves

L'activation du stockage de preuves est la condition par défaut pour McAfee DLP. Si vous ne souhaitezpas enregistrer les preuves, vous pouvez améliorer les performances en désactivant le service depreuve. Les éléments suivants sont requis ou définis comme valeurs par défaut lors de la configurationdu logiciel.

• Dossier de stockage de preuves : pour appliquer une stratégie à McAfee ePO, vous devez créerun dossier de stockage de preuves et indiquer le chemin UNC vers le dossier. Indiquez le chemindans le catalogue de stratégies à la page Service de copie de preuve de la stratégie de configuration.

• Service de copie de preuve : le service de copie de preuve pour McAfee DLP est activé à la pageMode de fonctionnement et modules de la stratégie de configuration client. Il s'agit d'une sous-entrée duservice de notification, qui doit également être activée pour la collecte des preuves. Pour McAfee DLPDiscover, le service est activé dans la stratégie de configuration du serveur.

Stockage de preuves et mémoire

Le nombre de fichiers de preuve stockés pour chaque événement a des répercussions sur le volume destockage, les performances de l'analyseur d'événements et l'affichage à l'écran (et donc surl'expérience utilisateur) des pages Gestionnaire d'incidents DLP et Opérations DLP. Pour gérer les différentesexigences en matière de preuve, le logiciel McAfee DLP fonctionne comme suit :

• Le nombre maximal de fichiers de preuve à stocker par événement est défini sur la page Service decopie de preuve de la stratégie de configuration client. La valeur par défaut est 1 000.

• Si un grand nombre de fichiers de preuve est lié à un événement, seuls les 100 premiers noms defichier sont enregistrés dans la base de données et affichés dans la page des détails du gestionnaired'incidents DLP. Les fichiers de preuves restants (jusqu'à la valeur maximale définie) sont stockésdans le stockage de preuves partagé, mais ils ne sont pas associés à l'événement. Les rapports etles requêtes qui filtrent les preuves par nom de fichier n'ont accès qu'à ces 100 premiers noms defichier.

• Dans Gestionnaire d'incidents DLP, le champ Nombre total de correspondances affiche le nombre total depreuves.

Surlignage de correspondances

L'option de mise en surbrillance des résultats aide les administrateurs à identifier le contenuconfidentiel à l'origine d'un événement. Lorsqu'elle est sélectionnée, elle enregistre un fichier depreuve HTML chiffré avec du texte extrait.

Le fichier de preuves est constitué d'extraits, où un extrait pour des classifications ou des empreintesde contenu contient généralement le texte confidentiel, avec 100 caractères qui le précèdent et100 caractères qui le suivent (pour le contexte). Il est organisé par la classification ou l'empreinte de

5 Configuration des composants systèmeCréation de rapports sur des événements avec preuve


contenu qui a déclenché l'événement, et comprend un décompte du nombre d'événements parclassification ou empreinte de contenu. S'il existe plusieurs occurrences dans les 100 caractères del'occurrence précédente, ces occurrences sont mises en surbrillance. Le texte en surbrillance et les100 caractères suivants sont ajoutés à l'extrait. Si l'occurrence est dans l'en-tête ou le pied de paged'un document, l'extrait contient le texte en surbrillance sans le préfixe ou le suffixe de100 caractères.

Les options d'affichage sont définies sur la page Service de copie de preuve de la stratégie de configurationclient dans le champ La classification correspond au fichier :

• Créer des résultats abrégés (option par défaut)

• Créer toutes les correspondances

• Désactivé : désactive la fonctionnalité de mise en surbrillance des occurrences.

Les résultats abrégés peuvent contenir jusqu'à 20 extraits. Un fichier d'occurrence de toutes lescorrespondances mis en surbrillance peut contenir un nombre illimité d'extraits, mais le nombred'occurrences par classification est limité. Pour les classifications Modèle avancé et Mot clé, la limite est de100 occurrences. Pour les classifications Dictionnaire, la limite est de 250 occurrences par entrée dedictionnaire. S'il y a plusieurs classifications dans un fichier d'occurrence mis en surbrillance, les nomsde classification et les nombres de correspondances sont affichés au début du fichier, avant lesextraits.

Règles permettant le stockage de preuves

Ces règles possèdent une option de stockage de preuves.

Tableau 5-4 Preuves enregistrées par des règles

Règle Ce qui est enregistré Produit

Règle de protection de l'accès aux fichiers d'application Copie du fichier McAfee DLP Endpoint

Règle de protection du Presse-papiers Copie du Presse-papiers

Règle de protection du cloud Copie du fichier

Règle de protection de la messagerie Copie de l'e-mail McAfee DLP Endpoint

Règles de protection du partage réseau Copie du fichier McAfee DLP Endpoint

Règle de protection contre l'impression Copie du fichier

Règle de protection des périphériques de stockage amovibles Copie du fichier

Règle de protection contre les captures d'écran JPEG de l'écran

Règle de protection de la publication web Copie de la publication web

Règle de découverte du système de fichiers Copie du fichier

Règle de découverte du stockage des e-mails Copie du fichier .msg

Règle de protection de Box Copie du fichier McAfee DLP Discover

Règle de protection des serveurs de fichiers (CIFS) Copie du fichier

Règle de protection de SharePoint Copie du fichier

Création de dossiers de preuvesLes dossiers de preuves contiennent des informations utilisées par tous les produits logiciels McAfeeDLP pour créer des stratégies et pour générer des rapports. En fonction de votre installation McAfee

Configuration des composants systèmeCréation de rapports sur des événements avec preuve 5


DLP, vous devez créer des dossiers et des partages réseau, puis configurer les propriétés et lesparamètres de sécurité correspondants.

Les chemins d'accès des dossiers de preuves se trouvent à des endroits différents dans les différentsproduits McAfee DLP. Lorsque plusieurs produits McAfee DLP sont installés dans McAfee ePO, leschemins d'accès UNC pour les dossiers de preuves sont synchronisés. Il est généralement préférable(mais non obligatoire) de placer les dossiers sur le même ordinateur que le serveur de base dedonnées McAfee DLP.

Le chemin d'accès de stockage de preuves doit être un chemin de partage réseau, c'est-à-dire qu'il doitinclure le nom du serveur.

• Dossier de preuves : certaines règles permettent de stocker des preuves. Vous devez doncdésigner à l'avance un emplacement où les stocker. Si, par exemple, un fichier est bloqué, unecopie de celui-ci est placée dans le dossier de preuves.

• Copier et déplacer des dossiers : utilisé par McAfee DLP Discover pour appliquer des mesurescorrectives à des fichiers.

Nous vous suggérons d'utiliser les chemins d'accès aux dossiers, les noms de dossiers et les noms departages suivants. Vous pouvez toutefois en créer d'autres, selon les besoins de votre environnement.

• c:\dlp_resources\

• c:\dlp_resources\evidence

• c:\dlp_resources\copy

• c:\dlp_resources\move

Contrôle des affectations avec des utilisateurs et desensembles d'autorisations

McAfee DLP utilise les options Utilisateurs et Ensembles d'autorisations de McAfee ePO pour affecterdifférentes parties de l'administration McAfee DLP à des utilisateurs ou à des groupes distincts.

Meilleures pratique : créez des ensembles d'autorisations, des utilisateurs et des groupes McAfee DLPspécifiques.

Créez divers rôles en affectant des autorisations d'administrateur et de réviseur spécifiques pour lesdifférents modules McAfee DLP de McAfee ePO.

Prise en charge des autorisations de filtrage de l'Arborescence des systèmes

McAfee DLP Endpoint prend en charge les autorisations de filtrage de l'Arborescence des systèmes deMcAfee ePO dans les consoles Gestionnaire d'incidents DLP et Opérations DLP. Lorsque le filtrage del'Arborescence des systèmes est activé, les opérateurs McAfee ePO peuvent uniquement voir lesincidents des ordinateurs figurant dans la partie de l'Arborescence des systèmes pour laquelle ilsdisposent d'autorisations. Par défaut, les administrateurs de groupes ne disposent d'aucuneautorisation dans l'Arborescence des systèmes de McAfee ePO. Quelles que soient les autorisations

5 Configuration des composants systèmeContrôle des affectations avec des utilisateurs et des ensembles d'autorisations


affectées dans l'ensemble d'autorisations Data Loss Prevention, ils ne peuvent voir aucun incident dans lesconsoles Gestionnaire d'incidents DLP et Opérations DLP. Le filtrage de l'Arborescence des systèmesest désactivé par défaut, mais peut être activé dans les paramètres DLP.

Meilleure pratique : pour les clients qui utilisent Administrateurs de groupe dans l'ensembled'autorisations Data Loss Prevention attribuez les autorisations suivantes aux administrateurs degroupe :

·Afficher l'onglet "Arborescence des systèmes" (sous Systèmes)·Accès à l'arborescence des systèmes au niveau approprié

Rédaction de données confidentielles et ensembles d'autorisations de McAfee ePO

Pour répondre à l'exigence légale de protection en toutes circonstances des données confidentielles,en vigueur sur certains marchés, le logiciel McAfee DLP Endpoint propose une fonctionnalité derédaction de données. Les champs des consoles Gestionnaire d'incidents et Opérations DLP quicontiennent des informations confidentielles peuvent être rédigés de manière à empêcher touteconsultation non autorisée. Les liens vers les preuves confidentielles sont masqués. La fonctionnalitéest conçue avec une libération « double clé ». Ainsi, pour l'utiliser, vous devez créer deux ensemblesd'autorisations : un pour afficher les incidents et les événements, et un autre pour afficher les champsrédigés (autorisation du superviseur). Les deux rôles peuvent être affectés au même utilisateur.

Voir aussi Installation et gestion de licences de l'extension McAfee DLP, page 29

Création de définitions d'utilisateur finalMcAfee DLP accède aux serveurs Active Directory (AD) ou Lightweight Directory Access Protocol(LDAP) pour créer des définitions d'utilisateur final.

Les groupes d'utilisateurs finaux sont utilisés pour les affectations et les autorisations d'administrateur,ainsi que dans les règles d'équipement et de protection. Ils peuvent être constitués d'utilisateurs, degroupes d'utilisateurs ou d'unités organisationnelles (Organizational Unit - OU), permettant ainsi àl'administrateur de choisir un modèle approprié. Les entreprises organisées sur un modèle OU peuventcontinuer à utiliser ce modèle, et les autres peuvent utiliser des groupes ou des utilisateursindividuels, si nécessaire.

Les objets LDAP peuvent être identifiés par leur nom ou ID de sécurité (SID). Les SID sont plus sûrset les autorisations peuvent être maintenues, même si les comptes sont renommés. D'autre part, ilssont stockés au format hexadécimal et doivent être décodés pour les convertir en un format lisible.


1 Dans McAfee ePO, sélectionnez Menu | Protection des données | Gestionnaire de stratégies DLP.

2 Cliquez sur l'onglet Définitions.

3 Sélectionnez Source/Destination | Groupe d'utilisateurs finaux, puis Actions | Nouveau.

4 Sur la page Nouveau groupe d'utilisateurs, saisissez un nom unique et une description (facultatif).

5 Sélectionnez la méthode d'identification des objets (SID ou nom).

Configuration des composants systèmeContrôle des affectations avec des utilisateurs et des ensembles d'autorisations 5


6 Cliquez sur l'un des boutons Ajouter... (Ajouter des utilisateurs, Ajouter des groupes, Ajouter une OU).

La fenêtre de sélection s'ouvre et affiche le type d'informations sélectionné.

L'affichage peut prendre quelques secondes si la liste est longue. Si aucune information n'apparaît,sélectionnez Conteneur et enfants dans le menu déroulant Prédéfinir.

7 Sélectionnez les noms et cliquez sur OK pour les ajouter à la définition.

Répétez l'opération en fonction des besoins pour ajouter des utilisateurs, des groupes ou desutilisateurs organisationnels supplémentaires.


Affectation d'ensembles d'autorisation McAfee DLPLes ensembles d'autorisations McAfee DLP affectent les autorisations de consultation et de sauvegardedes stratégies et les autorisations d'affichage des champs rédigés. Ils servent aussi à affecter lecontrôle d'accès basé sur les rôles (RBAC).

Lors de l'installation du logiciel du serveur McAfee DLP, l'ensemble d'autorisations McAfee ePO estajouté : prévention contre la fuite de données. Si une version précédente de McAfee DLP est installéesur le même serveur McAfee ePO, cet ensemble d'autorisations apparaît également.

L'ensemble d'autorisations couvre toutes les sections de la console de gestion. Il existe trois niveauxd'autorisation :

• Utilisation : l'utilisateur peut uniquement consulter les noms des objets (définitions,classifications, etc.), mais pas les détails.

Pour les stratégies, l'autorisation minimale est aucune autorisation.

• Affichage et utilisation : l'utilisateur peut consulter les détails des objets, mais ne peut pas lesmodifier.

• Autorisations complètes : l'utilisateur peut créer et modifier des objets.

Vous pouvez définir des autorisations pour différentes sections de la console de gestion, et donner desautorisations différentes aux administrateurs et aux réviseurs selon les besoins. Les sections sontregroupées par hiérarchie logique, par exemple, si vous sélectionnez Classifications, Définitions estautomatiquement sélectionné car des définitions doivent être utilisées lors de la configuration decritères de classification.

• Catalogue de stratégies

• Gestionnaire de stratégies DLP

• Classifications

• Définitions

• Gestionnaire de stratégies DLP

• Classifications

• Définitions

• Classifications

• Définitions

Les options Gestion des incidents, Evénements opérationnels et Gestion des cas peuvent êtresélectionnées séparément.

Les autorisations pour Actions Data Loss Prevention ont été déplacées vers l'ensemble d'autorisationsActions Help Desk. Ces autorisations permettent aux administrateurs de générer des clés dedésinstallation et de contournement du client, des clés de libération de quarantaine et des clés maîtres.

En plus de l'autorisation par défaut pour la section, vous pouvez définir un contrôle prioritaire pourchaque objet. Le contrôle prioritaire peut augmenter ou diminuer le niveau d'autorisation. Parexemple, dans les autorisations Gestionnaire de stratégies DLP, tous les jeux de règles existants lors



de la création de l'ensemble d'autorisations sont répertoriés. Vous pouvez définir un contrôleprioritaire différent pour chacune. Lorsque des jeux de règles sont créés, le niveau d'autorisation pardéfaut leur est affecté.

Figure 5-1 Ensembles d'autorisations McAfee DLP

Création d'un ensemble d'autorisations McAfee DLPLes ensembles d'autorisations permettent de définir plusieurs rôles de réviseur et d'administrationdans le logiciel McAfee DLP.


1 Dans McAfee ePO, sélectionnez Menu | Gestion des utilisateurs | Ensembles d'autorisations.

2 Sélectionnez un ensemble d'autorisations prédéfini ou cliquez sur Nouveau pour créer un ensembled'autorisations.

a Entrez un nom pour l'ensemble et sélectionnez les utilisateurs.

b Cliquez sur Enregistrer.

3 Sélectionnez un ensemble d'autorisations, puis cliquez sur Modifier dans la section Data Loss Prevention.

a Dans le volet gauche, sélectionnez un module de protection des données.

Gestion des incidents, Evénements opérationnels et Gestion des cas peuvent être sélectionnés séparément.D'autres options permettent de créer automatiquement des groupes prédéfinis.

b Modifiez les options et remplacez des autorisations selon vos besoins.

Le Catalogue de stratégies n'a pas d'options à modifier. Si vous affectez le Catalogue destratégies à un ensemble d'autorisations, vous pouvez modifier les sous-modules dans le groupeCatalogue de stratégies.

c Cliquez sur Enregistrer.



Procédures• Scénario d'utilisation : autorisations d'administrateur DLP, page 54

Vous pouvez séparer les tâches d'administrateur au besoin - par exemple, pour créer unadministrateur de stratégie sans responsabilités de révision des événements.

• Scénario d'utilisation : limiter l'affichage du Gestionnaire d'incidents DLP avec desautorisations de rédaction, page 54Pour protéger les informations confidentielles, et pour répondre aux exigences juridiquessur certains marchés, McAfee DLP Endpoint propose une fonctionnalité de rédaction desdonnées.

Scénario d'utilisation : autorisations d'administrateur DLPVous pouvez séparer les tâches d'administrateur au besoin - par exemple, pour créer unadministrateur de stratégie sans responsabilités de révision des événements.


1 Dans McAfee ePO, sélectionnez Menu | Ensembles d'autorisations.

2 Cliquez sur Nouveau pour créer un ensemble d'autorisations.

a Entrez un nom pour l'ensemble et sélectionnez les utilisateurs.

Pour modifier une stratégie, l'utilisateur doit être le propriétaire de la stratégie ou membre del'ensemble d'autorisations d'administrateur global.

b Cliquez sur Enregistrer.

3 Dans l'ensemble d'autorisations Prévention contre la fuite de données, sélectionnez Catalogue de stratégies.

Les options Gestionnaire de stratégies DLP, Classifications et Définitions sont sélectionnées automatiquement.

4 Dans chacun des trois sous-modules, vérifiez que l'utilisateur dispose des autorisations complèteset de l'accès complet.

Les autorisations complètes sont le paramètre par défaut.

L'administrateur peut maintenant créer et modifier des stratégies, des règles, des classifications et desdéfinitions.

Scénario d'utilisation : limiter l'affichage du Gestionnaire d'incidents DLPavec des autorisations de rédactionPour protéger les informations confidentielles, et pour répondre aux exigences juridiques sur certainsmarchés, McAfee DLP Endpoint propose une fonctionnalité de rédaction des données.

Lors de l'utilisation de la rédaction des données, des champs spécifiques dans les affichagesGestionnaire d'incidents DLP et Opérations DLP contenant des informations confidentielles sont chiffréspour empêcher l'affichage non autorisé, et des liens vers des preuves sont masqués.

Les champs Nom de l'ordinateur et Nom d'utilisateur sont prédéfinis comme privés.

Cet exemple montre comment configurer les autorisations Gestionnaire d'incidents DLP pour unréviseur de rédaction, un administrateur unique qui ne peut pas afficher les incidents réels, mais quipeut révéler les champs cryptés si nécessaire pour qu'un autre réviseur visualise l'incident.




1 Dans McAfee ePO, sélectionnez Menu | Gestion des utilisateurs | Ensembles d'autorisations

2 Créez des ensembles d'autorisations pour des réviseurs réguliers et pour le réviseur de rédaction.

a Cliquez sur Nouveau (ou Actions | Nouveau).

b Saisissez un nom du groupe, par exemple Réviseur d'incidents DLPE ou Réviseur derédaction.

Vous pouvez affecter différents types d'incidents à différents groupes de réviseurs. Vous devezcréer les groupes dans Ensembles d'autorisations avant de pouvoir leur affecter les incidents.

c Affectez des utilisateurs au groupe, depuis les utilisateurs McAfee ePO disponibles ou enmappant les utilisateurs ou les groupes Active Directory avec l'ensemble d'autorisations. Cliquezsur Enregistrer.

Le groupe apparaît dans la liste Ensembles d'autorisations du volet gauche.

3 Sélectionnez un ensemble d'autorisations de réviseur standard, puis cliquez sur Modifier dans lasection Prévention contre la fuite de données.

a Dans le volet gauche, sélectionnez Gestion des incidents.

b Dans la section Réviseur d'incidents, sélectionnez L'utilisateur peut consulter les incidents affectés aux ensemblesd'autorisations suivants, cliquez sur l'icône choisie et sélectionnez le ou les ensembles d'autorisationspertinents.

c Dans la section Rédaction des données relatives aux incidents, désélectionnez Autorisation du superviseur pardéfaut, et sélectionnez l'option Masquer des données d'incidents sensibles.

La sélection de cette option active la fonction de rédaction. Si cette option est désélectionnée,tous les champs de données s'affichent en texte clair.

d Dans la section Tâches relatives aux incidents, sélectionnez ou désélectionnez les tâches si nécessaire.

e Cliquez sur Enregistrer.

4 Sélectionnez l'ensemble d'autorisations de réviseur de rédaction, puis cliquez sur Modifier dans lasection Prévention contre la fuite de données.

a Dans le volet gauche, sélectionnez Gestion des incidents.

b Dans la section Réviseur d'incidents, sélectionnez L'utilisateur peut consulter tous les incidents.

Dans cet exemple, nous supposons un seul réviseur de rédaction pour tous les incidents. Vouspouvez également affecter différents réviseurs de rédaction pour différents ensemblesd'incidents.

c Dans la section Rédaction des données relatives aux incidents, sélectionnez les options Autorisation dusuperviseur et Masquer des données d'incidents sensibles.

d Dans la section Tâches relatives aux incidents, désélectionnez toutes les tâches.

Les réviseurs de rédaction ne doivent normalement pas avoir d'autres tâches de réviseur. Ceciest facultatif en fonction de vos besoins spécifiques.




Configuration de la classification manuelleIl existe plusieurs options de classification manuelle qui déterminent le mode de fonctionnement de lafonctionnalité et les messages affichés.

La classification manuelle permet aux utilisateurs finaux d'ajouter des classifications aux fichiers àpartir du menu contextuel de l'Explorateur Windows. Pour les applications Microsoft Office et Outlook,les classifications manuelles peuvent être appliquées lors de l'enregistrement de fichiers ou de l'envoid'e-mails.


1 Dans McAfee ePO, sélectionnez Menu | Protection des données | Classification.

2 Cliquez sur Classification manuelle.

3 Dans la liste déroulante Afficher, sélectionnez Paramètres généraux.

4 Sélectionnez ou désélectionnez des options pour optimiser la classification en fonction des besoinsde votre entreprise.

5 (Facultatif) Sélectionnez des informations complémentaires à ajouter à l'e-mail en cliquant sur et en sélectionnant une définition de notification, ou en en créant une.

Les notifications prennent en charge la fonctionnalité Paramètres locaux pour toutes les langues prisesen charge.

Voir aussi Classification manuelle, page 87Personnalisation des messages aux utilisateurs finaux, page 124Marqueurs intégrés, page 88

5 Configuration des composants systèmeConfiguration de la classification manuelle


6 Protection des supports amovibles

McAfee®

Device Control protège les entreprises contre les risques associés au transfert non autorisé decontenu confidentiel lors de l'utilisation d'équipements de stockage.

Device Control peut surveiller ou bloquer des équipements connectés à des ordinateurs managés parl'entreprise, ce qui vous permet de surveiller et de contrôler leur utilisation dans la distribution desinformations confidentielles. Les équipements tels que les smartphones, les équipements de stockageamovibles, les équipements Bluetooth, les lecteurs MP3 ou les équipements Plug-and-Play peuventtous être contrôlés.

McAfee Device Control est un composant de McAfee DLP Endpoint qui est vendu séparément. Bien quele terme Device Control soit utilisé dans toute cette section, l'ensemble des fonctionnalités et desdescriptions s'appliquent également à McAfee DLP Endpoint. La mise en œuvre des règles DeviceControl sur des ordinateurs Microsoft Windows et OS X est similaire, mais pas identique. Le tableauci-dessous identifie certaines des différences.

Tableau 6-1 Terminologie Device Control

Terme Applicable auxsystèmesd'exploitation :

Définition

Classe depériphériques

Windows Ensemble d'équipements partageant descaractéristiques similaires et dont la gestion peutêtre identique. Les classes de périphériques affichentl'état Géré, Non géré ou Liste blanche.

Définitiond'équipement

Windows, OS X Liste des propriétés d'équipement utilisées pouridentifier ou regrouper des équipements.

Propriétéd'équipement

Windows, OS X Une propriété telle que le type de bus, l'IDfournisseur ou l'ID produit qui peut être utilisée pourdéfinir un équipement.

Règle d'équipement Windows, OS X Définit les mesures prises lorsqu'un utilisateur tented'utiliser un équipement qui a une définitiond'équipement correspondante dans la stratégie. Larègle est appliquée au matériel, au niveau du piloted'équipement ou au niveau du système de fichiers.Des règles d'équipement peuvent être attribuées àdes utilisateurs finaux spécifiques.

Périphérique géré Windows Etat de classe de périphériques indiquant que lespériphériques de cette classe sont gérés par DeviceControl.

Règle pouréquipements destockage amovibles

Windows, OS X Permet de bloquer ou de surveiller un équipement,ou de le définir en lecture seule.

Règle de protectiondes équipements destockage amovibles

Windows, OS X Définit les mesures prises lorsqu'un utilisateur tentede copier un contenu marqué comme confidentiel surun équipement managé.

6


Tableau 6-1 Terminologie Device Control (suite)

Terme Applicable auxsystèmesd'exploitation :

Définition

Périphérique nongéré

Windows Etat de classe de périphériques indiquant que lespériphériques de cette classe ne sont pas gérés parDevice Control.

Périphérique inclusdans la liste blanche

Windows Etat de classe de périphériques indiquant que lespériphériques de cette classe ne peuvent pas êtregérés par Device Control parce que leurs tentativesde gestion peuvent affecter l'ordinateur géré,l'intégrité du système ou son efficacité.

Sommaire Protection des équipements Gestion des équipements avec des classes d'équipement Définition d'une classe d'équipement Organisation d'équipements avec des définitions d'équipement Règles de contrôle des équipements Règles d'accès aux fichiers de stockage amovibles

Protection des équipementsLes lecteurs USB, petits disques durs externes, smartphones et autres équipements amoviblespeuvent être utilisés pour supprimer des données confidentielles de l'entreprise.

Les lecteurs USB sont une méthode simple, économique et pratiquement intraçable de télécharger degrandes quantités de données. Elles sont souvent considérées comme « l'arme de choix » pour letransfert non autorisé de données. Le logiciel Device Control surveille et contrôle les lecteurs USB etd'autres équipements externes, tels que les smartphones, les équipements Bluetooth, les équipementsPlug-and-Play, les lecteurs audio et les disques durs qui ne sont pas dédiés au système. Device Controlfonctionne sur la plupart des systèmes d'exploitation Microsoft Windows et OS X, y compris lesserveurs. Reportez-vous à la page relative à la configuration système requise de ce guide pour plus dedétails.

La protection McAfee Device Control repose sur trois couches :

• Classes d'équipement : ensembles d'équipements partageant des caractéristiques similaires etdont la gestion peut être identique. Les classes d'équipement s'appliquent uniquement aux règleset définitions d'équipement Plug-and-Play, et ne sont pas applicables aux systèmes d'exploitationOS X.

• Définitions d'équipement : permettent d'identifier et de regrouper les équipements en fonctionde leurs propriétés communes.

• Règles des équipements : permettent de contrôler le comportement des équipements.

Une règle d'équipement comprend la liste des définitions d'équipements incluses ou exclues de larègle, et les mesures prises lorsque l'utilisation de l'équipement déclenche la règle. Elle peut aussiindiquer des utilisateurs finaux inclus ou exclus de la règle. Elles peuvent éventuellement contenir unedéfinition d'applications pour filtrer la règle en fonction de la source du contenu confidentiel.

6 Protection des supports amoviblesProtection des équipements


Règles de protection des périphériques de stockage amovibles

En plus des règles des équipements, Device Control comprend un type de règle de protection desdonnées. Les règles de protection des périphériques de stockage amovibles comprennent une ouplusieurs classifications permettant de définir le contenu confidentiel qui déclenche la règle. Ellespeuvent éventuellement inclure une définition d'applications ou une URL de navigateur web, etpeuvent inclure ou exclure des utilisateurs finaux.

Les URL du navigateur web ne sont pas prises en charge sur McAfee DLP Endpoint for Mac.

Gestion des équipements avec des classes d'équipementUne classe d'équipement est un ensemble d'équipements qui partagent des caractéristiques similaireset dont la gestion peut être identique.

Les classes de périphériques permettent de nommer et d'identifier les périphériques utilisés par lesystème. Chaque définition de classe d'équipement inclut un nom et un ou plusieurs identificateursglobaux uniques (GUID). Par exemple, les périphériques Intel® PRO/1000 PL Network Connection etDell wireless 1490 Dual Band WLAN Mini-Card appartiennent à la classe de périphériques Adaptateurde réseau.

Les classes d'équipement ne sont pas applicables aux équipements OS X.

Organisation des classes de périphériques

Le gestionnaire de stratégies DLP répertorie les classes d'équipement prédéfinies (intégrées) sousl'onglet Définitions sous Contrôle des équipements. Les équipements sont classés en fonction de leurstatut :

• Les équipements managés sont des équipements Plug-and-Play ou de stockage amovibles qui sontmanagés par McAfee DLP Endpoint.

• Les périphériques Non gérés ne sont pas gérés par Device Control dans la configuration par défaut.

• Les périphériques Inclus dans la liste blanche sont des périphériques que Device Control n'essaiepas de contrôler, comme les périphériques batteries ou les processeurs.

Pour éviter d'éventuels dysfonctionnements du système ou du système d'exploitation, les classes depériphériques ne peuvent pas être modifiées, mais elles peuvent être dupliquées et modifiées pourajouter des classes définies par l'utilisateur à la liste.

Meilleure pratique : n'ajoutez pas de classe d'équipement à la liste sans tester d' abord lesconséquences. Dans le catalogue de stratégies, utilisez l'onglet Stratégie DLP | Classes d'équipement |Paramètres pour créer des remplacements de classe d'équipement temporaires de l'état de classe, ainsique des paramètres de type de filtre.

Les remplacements peuvent être utilisés pour tester des modifications définies par l'utilisateur avantde créer une classe permanente, ainsi que pour résoudre des problèmes de contrôle d'équipement.

Device Control utilise des définitions d'équipement et des règles de contrôle d'équipementPlug-and-Play pour contrôler le comportement de classes d'équipement managées et d'équipementsspécifiques appartenant à une classe d'équipement managée. En revanche, les règles pouréquipements de stockage amovibles ne requièrent pas de classe d'équipement managée. En effet, lesdeux types de règles d'équipement utilisent les classes d'équipement différemment :

Protection des supports amoviblesGestion des équipements avec des classes d'équipement 6


• Les règles d'équipement Plug-and-Play sont déclenchées lorsque l'équipement matériel estconnecté à l'ordinateur. Comme il s'agit d'une réaction à un pilote d'équipement, la classed'équipement doit être managée pour que l'équipement soit reconnu.

• Les règles pour périphériques de stockage amovibles sont déclenchées lors du montage d'unnouveau système de fichiers. Lorsque cela se produit, le client Device Control associe la lettre dudisque au périphérique matériel spécifique et vérifie les propriétés de périphérique. Etant donnéque la réaction concerne une opération de système de fichiers (lorsque le système de fichiers estmonté), il n'est pas nécessaire de gérer la classe de périphériques.

Voir aussi Création d'une classe d'équipement, page 61

Définition d'une classe d'équipementSi aucune classe d'équipement appropriée ne figure dans la liste prédéfinie ou n'est crééeautomatiquement lors de l'installation de nouveau matériel, vous pouvez créer une nouvelle classed'équipement dans la console Gestionnaire de stratégies McAfee DLP Endpoint.

Obtention d'un GUIDLes définitions de classe d'équipement nécessitent un nom et un ou plusieurs identificateurs globauxuniques (GUID).

Certains équipements installent leur propre classe d'équipement. Pour contrôler le comportement deséquipements Plug-and-Play qui définissent leur propre classe d'équipement, vous devez commencerpar ajouter une nouvelle classe d'équipement à l'état Managé dans la liste Classes d'équipement.

Une classe d'équipement est définie par deux propriétés : un nom et un GUID. Le nom d'un nouveléquipement s'affiche dans le gestionnaire des équipements, mais le GUID apparaît uniquement dans leRegistre Windows et il n'est pas facile de l'obtenir. Pour simplifier l'obtention du nom et du GUID desnouveaux équipements, le client Device Control envoie un événement Nouvelle classe d'équipementdétectée au Gestionnaire d'incidents DLP lorsqu'un équipement n'appartenant à aucune classereconnue est connecté à l'ordinateur hôte.


1 Dans McAfee ePO, sélectionnez Menu | Protection des données | Gestionnaire d'incidents DLP | Liste des incidents.

2 Cliquez sur Modifier en regard de la liste déroulante Filtre pour modifier les critères du filtre.

3 Dans la liste Propriétés disponibles (volet gauche), sélectionnez Type d'incident.

4 Vérifiez que la valeur de la liste déroulante Comparaison est Est égal à.

5 Dans la liste déroulante Valeurs, sélectionnez Nouvelle classe d'équipement détectée.

6 Cliquez sur Mettre à jour le filtre.

La liste des incidents affiche les nouvelles classes d'équipement détectées sur l'ensemble desordinateurs clients.

7 Pour voir le nom et le GUID d'un équipement spécifique, double-cliquez sur un élément de la listepour afficher les détails de l'incident.

6 Protection des supports amoviblesDéfinition d'une classe d'équipement


Création d'une classe d'équipementCréez une classe d'équipement si une classe d'équipement appropriée ne figure pas dans la listeprédéfinie ou n'est pas créée automatiquement lors de l'installation de nouveau matériel.

Avant de commencerObtenez le GUID d'équipement avant de commencer cette tâche.


1 Dans McAfee ePO, sélectionnez Menu | Protection des données | Gestionnaire de stratégies DLP | Définitions.

2 Dans le volet gauche, sélectionnez Contrôle des périphériques | Classe des périphériques.


• Sélectionnez Actions | Nouveau.

• Localisez une classe de périphériques similaire dans la liste des classes de périphériquesintégrée, puis cliquez sur Dupliquer dans la colonne Actions. Cliquez sur Modifier pour la classe depériphériques dupliquée.

4 Saisissez un nom unique et éventuellement une description.

5 Vérifiez l'état et le type de filtre requis.

6 Saisissez le GUID, puis cliquez sur Ajouter.

Le format du GUID doit être correct. S'il est incorrect, vous êtes invité à le saisir à nouveau.


Voir aussi Gestion des équipements avec des classes d'équipement, page 59Organisation d'équipements avec des définitions d'équipement, page 61

Organisation d'équipements avec des définitions d'équipementUne définition de périphériques est une liste de propriétés de périphériques comme le type de bus, laclasse de périphériques, l'ID du fournisseur et l'ID du produit.

Le rôle des définitions de périphériques est d'identifier et de grouper les périphériques en fonction deleurs propriétés communes. Certaines propriétés de périphérique peuvent être appliquées à toutedéfinition de périphérique, d'autres ne concernent qu'un ou des types de périphériques spécifiques.

Les types de définitions d'équipement disponibles sont les suivants :

• Les équipements de type Disque dur fixe sont attachés à l'ordinateur et ne sont pas considérés parle système d'exploitation comme un système de stockage amovible. Device Control permet decontrôler les disques durs fixes autres que le support d'amorçage.

• Les équipements Plug-and-Play peuvent être ajoutés à l'ordinateur managé, sans qu'aucuneconfiguration ou installation manuelle de DLL et de pilotes ne soit nécessaire. La plupart deséquipements Microsoft Windows sont de type Plug-and-Play. Les équipements Apple OS X sont prisen charge pour USB uniquement.

Protection des supports amoviblesOrganisation d'équipements avec des définitions d'équipement 6


• Les équipements de stockage amovibles sont des équipements externes contenant un système defichiers qui s'affichent en tant que lecteurs sur l'ordinateur managé. Les définitions d'équipementde stockage amovible prennent en charge les systèmes d'exploitation Microsoft Windows ou AppleOS X.

• Les équipements Plug-and-Play inclus dans la liste blanche n'interagissent pas correctement avec lagestion des équipements et peuvent provoquer un blocage du système ou d'autres problèmessérieux. Prise en charge pour les équipements Microsoft Windows uniquement.

Les définitions d'équipement Plug-and-Play inclus dans la liste blanche sont ajoutéesautomatiquement à la liste exclue dans toutes les règles de contrôle des équipements Plug-and-Play.Ces équipements ne sont jamais managés, même si leur classe parente l'est.

Les définitions d'équipement de stockage amovible sont plus flexibles et comportent des propriétéssupplémentaires.

Meilleure pratique : utilisez les définitions et règles d'équipement de stockage amovible pour gérerdes équipements tels que les équipements de stockage de masse USB, qui peuvent être classés dansles deux catégories.

Voir aussi Création d'une classe d'équipement, page 61

Utilisation des définitions d'équipementsLorsque plusieurs paramètres sont définis pour les définitions d'équipements, ils sont liés parl'opérateur logique OU (par défaut) ou ET. Lorsque plusieurs types de paramètres sont définis, ils sonttoujours liés par l'opérateur logique AND.

Par exemple, la sélection de paramètres ci-dessous :

Crée la définition suivante :

• Le type de bus est : Firewire (IEEE 1394) OU USB

• ET la classe d'équipement doit être Périphériques mémoire OU Périphériques portables Windows.

6 Protection des supports amoviblesOrganisation d'équipements avec des définitions d'équipement


Création d'une définition d'équipementsLes définitions d'équipements permettent de spécifier les propriétés d'un équipement quidéclencheront la règle.

Meilleure pratique : créez des définitions d'équipement Plug-and-Play inclus dans la liste blanche pourles équipements dont la gestion ne s'effectue pas correctement, ce qui peut entraîner le blocage dusystème ou d'autres problèmes graves. Aucune action ne sera appliquée à ces équipements, mêmequand une règle est déclenchée.



2 Dans le volet gauche, sélectionnez Contrôle des équipements | Définitions d'équipements.

3 Sélectionnez Actions | Nouveau, puis sélectionnez le type de définition.


5 Sélectionnez l'option S'applique à pour les équipements Microsoft Windows ou OS X.

La liste Propriétés disponibles est modifiée et indique les propriétés du système d'exploitationsélectionné.

6 Sélectionnez les propriétés de l'équipement.

La liste des propriétés disponibles varie en fonction du type d'équipement.

• Pour ajouter une propriété, cliquez sur >.

• Pour supprimer une propriété, cliquez sur <.

• Pour ajouter d'autres valeurs de propriété, cliquez sur +.Les valeurs sont ajoutées avec l'opérateur logique OU par défaut. Cliquez sur le bouton et/ou etchoisissez ET.

• Pour supprimer des propriétés, cliquez sur -.


Création d'une définition Plug-and-Play incluse dans la liste blancheL'inclusion d'équipements Plug-and-Play dans la liste blanche a pour but de faciliter la gestion de cetype équipements, qui posent souvent problème. S'ils ne sont pas inclus dans la liste blanche, lesystème risque de ne plus répondre ou d'autres problèmes peuvent survenir. Les définitionsd'équipements Plug-and-Play inclus dans la liste blanche ne sont pas prises en charge dans McAfeeDLP Endpoint for Mac.

Les équipements Plug-and-Play inclus dans la liste blanche sont ajoutés aux règles des équipementsPlug-and-Play, sous l'onglet Exceptions. Ces équipements ne sont jamais managés, même si leur classeparente l'est.

Meilleure pratique : pour éviter des problèmes de compatibilité, ajoutez des équipements dont lagestion ne s'effectue pas correctement à la liste des équipements inclus dans la liste blanche.





2 Dans le volet gauche, sélectionnez Contrôle des équipements | Définitions d'équipement, puis sélectionnezActions | Nouveau | Définition d'équipements Plug-and-Play inclus dans la liste blanche.








Création d'une définition d'équipements de stockage amoviblesUn équipement de stockage amovible est un équipement externe contenant un système de fichiers quiapparaît en tant que lecteur sur l'ordinateur managé. Les définitions d'équipement de stockageamovible sont plus flexibles que celles des équipements Plug-and-Play et comportent des propriétéssupplémentaires qui dépendent des équipements.



2 Dans le volet gauche, sélectionnez Contrôle des équipements | Définitions d'équipements, puis Actions | Nouveau| Définition d'équipements de stockage amovibles.


4 Sélectionnez l'option S'applique à pour les équipements Microsoft Windows ou OS X.

La liste Propriétés disponibles est modifiée et indique les propriétés du système d'exploitationsélectionné.









Création d'une définition de paire Numéro de série - UtilisateurVous pouvez créer des exceptions pour des règles d'équipement de stockage amovible etPlug-and-Play en fonction des paires d'identités utilisateur et de numéros de série d'équipement. Enliant l'équipement à l'utilisateur connecté, vous créez un niveau de sécurité supérieur.

Avant de commencerObtenez les numéros de série des équipements que vous ajoutez à la définition.

Les définitions de paire Numéro de série-Utilisateur ne sont pas prises en charge dans McAfee DLPEndpoint for Mac.



2 Dans le volet gauche, sélectionnez Contrôle des équipements | Paire Numéro de série - Utilisateur final.

3 Sélectionnez Actions | Nouveau.

4 Indiquez un nom unique et éventuellement une description.

5 Saisissez les informations requises dans les zones de texte situées en bas de la page, puis cliquezsur Ajouter. Répétez cette opération en fonction de vos besoins pour ajouter des paires Numéro desérie - Utilisateur final supplémentaires.

Pour Type d'utilisateur | Tous, laissez le champ Utilisateur final vide. Si vous spécifiez un utilisateur, utilisezle format [email protected].


Voir aussi Propriétés d'équipements, page 65

Propriétés d'équipementsLes propriétés d'équipements spécifient les caractéristiques d'équipements telles que leur nom, leurtype de bus ou leur type de système de fichiers.

Le tableau indique les définitions des propriétés d'équipements, les types de définition qui utilisentchaque propriété et le système d'exploitation auxquels elles s'appliquent.



Tableau 6-2 Types de propriétés d'équipements

Nom de la propriété Définitiond'équipements

Applicable auxsystèmesd'exploitation :

Description

Type de bus Tout • Windows :Bluetooth,Firewire(IEEE1394),IDE/SATA,PCI, PCMIA,SCSI, USB

• Mac OS X :Firewire(IEEE1394),IDE/SATA, SD,Thunderbolt,USB

Permet de choisir le type de bus deséquipements dans la liste proposée.

Pour les règles des équipementsPlug-and-Play, McAfee DLPEndpoint for Mac prend uniquementen charge le type de bus USB.

Lecteurs CD/DVD Stockageamovible

• Windows

• Mac OS X

Sélectionnez un lecteur de CD ou deDVD.

Contenu chiffré parEndpoint Encryption

Stockageamovible

Windows Equipements protégés par EndpointEncryption.

Classe d'équipement Plug-and-Play Windows Permet de choisir la classed'équipement dans la liste deséquipements managés proposée.

ID d'équipementcompatible

Tout Windows Liste des descriptions d'équipementsphysiques. Cette option estparticulièrement utile avec les typesd'équipements autres qu'USB et PCI,qui sont plus facilement identifiables àl'aide de l'ID fournisseur/IDd'équipement PCI ou de l'IDfournisseur/ID de produit USB.

ID d'instance del'équipement(Microsoft Windows XP)Chemin d'instance del'équipement(Windows Vista etsystèmes d'exploitationMicrosoft Windowsultérieures, y comprisles serveurs)

Tout Windows Chaîne générée par Windows quiidentifie de façon unique l'équipementdans le système.Exemple :

USB\VID_0930&PID_6533\5&26450FC&0&6.

Nom convivial del'équipement

Tout • Windows

• Mac OS X

Nom lié à l'équipement matériel,représentant son adresse physique.



Tableau 6-2 Types de propriétés d'équipements (suite)



Description

Type de système defichiers

• Disque durfixe

• Stockageamovible

• Windows :CDFS, exFAT,FAT16, FAT32,NTFS, UDFS

• Mac OS X :CDFS, exFAT,FAT16, FAT32,HFS/HFS+,NTFS, UDFS

Mac OS X prenduniquement encharge FAT surles disquesautres que ledisque dedémarrage.Mac OS X prenden charge NTFSen lecture seule.

Type de système de fichiers.• Pour les disques durs, sélectionnez

l'un des systèmes exFAT, FAT16,FAT32 ou NTFS.

• Pour les équipements de stockageamovibles, sélectionnez l'un dessystèmes précédents ainsi que CDFSou UDFS.

Accès au système defichiers

Stockageamovible

• Windows

• Mac OS X

Type d'accès au système de fichiers :lecture seule ou lecture-écriture.

Etiquette de volume dusystème de fichiers

• Disque durfixe


• Windows

• Mac OS X

Etiquette de volume définie parl'utilisateur, consultable dansl'Explorateur Windows. Lescorrespondances partielles sontautorisées.

Numéro de série duvolume du système defichiers

• Disque durfixe


Windows Numéro 32 bits généréautomatiquement lorsqu'un système defichiers est créé sur le périphérique. Ilest consultable en exécutant la ligne decommande dir x:, où x: désigne lalettre du lecteur.

ID fournisseur PCI/IDde périphérique PCI

Tout Windows PCI VendorID (ID fournisseur PCI) /DeviceID (ID de périphérique PCI)incorporés dans l'équipement PCI. Il estpossible d'obtenir ces paramètres àpartir de la chaîne d'ID matériel deséquipements physiques.Exemple :

PCI\VEN_8086&DEV_2580&SUBSYS_00000000&REV_04

Equipements TrueCrypt Stockageamovible

Windows Sélectionnez cette option pour spécifierun équipement TrueCrypt.

Code de classe USB Plug-and-Play Windows Identifie un équipement USB physiquepar sa fonction générale. Sélectionnez lecode de classe dans la liste proposée.



Tableau 6-2 Types de propriétés d'équipements (suite)



Description

Numéro de série del'équipement USB

• Plug-and-Play


• Windows

• Mac OS X

Chaîne alphanumérique uniqueattribuée par le fabricant del'équipement USB, généralement pourles périphériques de stockageamovibles. Le numéro de série est ladernière partie de l'ID de l'instance.Exemple :

USB\VID_3538&PID_0042\00000000002CD8Un numéro de série valide doitcomporter au moins 5 caractèresalphanumériques et aucun & (etcommercial). Si la dernière partie del'ID de l'instance ne respecte pas cettecondition, il ne s'agit pas d'un numérode série.

ID fournisseur/ID deproduit del'équipement USB

• Plug-and-Play


• Windows

• Mac OS X

ID du fournisseur USB et ID del'équipement USB incorporés dans lepériphérique USB. Il est possibled'obtenir ces paramètres à partir de lachaîne d'ID matériel des équipementsphysiques.Exemple :

USB\Vid_3538&Pid_0042

Règles de contrôle des équipementsLes règles de contrôle des périphériques définissent les actions à entreprendre lors de l'utilisation depériphériques particuliers.

Règle de contrôle deséquipements

Description Prise en charge

Règle pouréquipements destockage amovibles

Utilisée pour bloquer ou surveiller deséquipements de stockage amovibles ou lesdéfinir en lecture seule. L'utilisateur peut êtreinformé des mesures prises.

McAfee DLP Endpointpour Windows, McAfeeDLP Endpoint for Mac

Règle d'équipementPlug-and-Play

Permet de bloquer ou surveiller des équipementsPlug-and-Play. L'utilisateur peut être informé desmesures prises.

McAfee DLP Endpointpour Windows, McAfeeDLP Endpoint for Mac(équipements USBuniquement)

Règle d'accès auxfichiers de stockageamovible

Permet de bloquer l'exécution des fichiersexécutables sur les équipements de type plug-in.

McAfee DLP Endpointpour Windows

Règle du disque durfixe

Permet de bloquer ou de surveiller des disquesdurs fixes, ou de les définir en lecture seule.L'utilisateur peut être informé des mesuresprises. Les règles d'équipement de disque durfixe ne protègent pas la partition système ou dedémarrage.


6 Protection des supports amoviblesRègles de contrôle des équipements


Règle de contrôle deséquipements

Description Prise en charge

Règle d'équipementCitrix XenApp

Permet de bloquer les équipements Citrixmappés aux sessions ouvertes partagées.


Règle d'équipementTrueCrypt

Permet de protéger les équipements TrueCrypt.Permet de bloquer, de surveiller ou de définir enlecture seule. L'utilisateur peut être informé desmesures prises.


Création d'une règle pour équipements de stockage amoviblesLes équipements de stockage amovibles apparaissent comme des lecteurs sur l'ordinateur managé.Les règles d'équipement de stockage amovible permettent de bloquer l'utilisation des équipementsamovibles ou de les définir en lecture seule. Elles sont prises en charge sur McAfee DLP Endpoint pourWindows et sur McAfee DLP Endpoint for Mac.

Les règles d'équipement de stockage amovible n'ont pas besoin d'une classe d'équipement managéeen raison de la différence d'utilisation des classes d'équipement des deux types de règlesd'équipement :

• Les règles d'équipement Plug-and-Play sont déclenchées lorsque l'équipement matériel estconnecté à l'ordinateur. Comme il s'agit d'une réaction à un pilote d'équipement, la classed'équipement doit être managée pour que l'équipement soit reconnu.

• Les règles d'équipement de stockage amovible sont déclenchées lors du montage d'un nouveausystème de fichiers. Lors du montage du système de fichiers, le logiciel McAfee DLP Endpointassocie la lettre du lecteur à l'équipement matériel spécifique et vérifie les propriétés del'équipement. Comme il s'agit d'une réaction au fonctionnement d'un système de fichiers, et non àun pilote d'équipement, la classe d'équipement n'a pas besoin d'être managée.

Les règles d'équipements disposent d'un paramètre Appliquer sur qui applique la règle à Windows, à OS Xou aux deux. Les définitions d'équipements utilisées dans les règles d'équipements disposent d'unparamètre Equipements concernés qui permet d'indiquer soit Equipements Windows, soit Equipements Mac OSX.Lorsque vous sélectionnez des définitions d'équipements, le système d'exploitation doit être le mêmedans la définition et dans la règle. Les clients McAfee DLP Endpoint pour les deux systèmesd'exploitation ignorent les propriétés qui ne s'appliquent pas à ce système. En revanche, vous nepouvez pas enregistrer une règle qui, par exemple, s'applique uniquement sous Windows mais contientdes définitions d'équipement de Mac OS X.


1 Dans McAfee ePO, sélectionnez Menu | Protection des données | Gestionnaire de stratégies DLP | Jeux de règles.

2 Sélectionnez Actions | Nouveau jeu de règles ou modifiez un jeu de règles existant.

3 Cliquez sur le nom du jeu de règles à modifier pour l'ouvrir. Cliquez sur l'onglet Contrôle deséquipements.

4 Sélectionnez Actions | Nouvelle règle | Règle pour équipements de stockage amovibles.

5 Entrez un nom de règle unique.

6 (Facultatif) Modifiez l'état et choisissez un niveau de gravité.

7 Désélectionnez la case à cocher McAfee DLP Endpoint pour Windows ou McAfee DLP Endpoint pour Mac OSX si larègle s'applique à un seul système d'exploitation.

Protection des supports amoviblesRègles de contrôle des équipements 6


8 Dans l'onglet Condition, sélectionnez une ou plusieurs définitions d'équipement de stockageamovible. Facultatif : affectez des groupes d'utilisateurs finaux et un nom de processus à la règle.

9 (Facultatif) Dans l'onglet Exceptions, sélectionnez une définition incluse dans la liste blanche etrenseignez les champs obligatoires.

Vous pouvez ajouter plusieurs exceptions en ajoutant plusieurs définitions incluses dans la listeblanche.

Les options Processus exclus et Paires Numéro de série - Utilisateur exclues ne sont pas prises en charge dansMcAfee DLP Endpoint for Mac.

10 Sous l'onglet Réaction, sélectionnez une mesure préventive. Facultatif : ajoutez une notification utilisateur etactivez l'option Signaler l'incident.

Si vous ne sélectionnez pas Signaler l'incident, le Gestionnaire d'incidents DLP ne conservera aucunetrace de l'incident.

11 (Facultatif) Sélectionnez une autre mesure préventive lorsque l'utilisateur final travaille en dehors duréseau de l'entreprise.


Voir aussi Scénario d'utilisation : règle pour équipements de stockage amovibles avec processus inclusdans la liste blanche, page 134Scénario d'utilisation : configurer un équipement amovible en lecture seule, page 135

Créer une règle d'équipement Plug-and-PlayUtilisez des règles d'équipement Plug-and-Play pour bloquer ou surveiller des équipementsPlug-and-Play. Elles sont prises en charge sur McAfee DLP Endpoint pour Windows et sur McAfee DLPEndpoint for Mac. Sur des ordinateurs OS X, seuls les équipements USB sont pris en charge.

Un équipement Plug-and-Play peut être ajouté à l'ordinateur managé sans nécessiter aucuneconfiguration ou installation manuelle de DLL et de pilotes. Pour que les règles d'équipementPlug-and-Play contrôlent des équipements matériels Microsoft Windows, les classes d'équipementspécifiées dans les définitions d'équipement utilisées par la règle doivent être définies sur l'étatManagé.

Les règles d'équipements disposent d'un paramètre Appliquer sur qui applique la règle à Windows, à OS Xou aux deux. Les définitions d'équipements utilisées dans les règles d'équipements disposent d'unparamètre Equipements concernés qui permet d'indiquer soit Equipements Windows, soit Equipements Mac OSX.Lorsque vous sélectionnez des définitions d'équipements, le système d'exploitation doit être le mêmedans la définition et dans la règle. Les clients McAfee DLP Endpoint pour les deux systèmesd'exploitation ignorent les propriétés qui ne s'appliquent pas à ce système. En revanche, vous nepouvez pas enregistrer une règle qui, par exemple, s'applique uniquement sous Windows mais contientdes définitions d'équipement de Mac OS X.




3 Pour ouvrir le jeu de règles pour le modifier, cliquez sur son nom. Cliquez sur l'onglet Contrôle deséquipements.



4 Sélectionnez Actions | Nouvelle règle | Règle pour équipements Plug-and-Play.



7 Désélectionnez la case à cocher McAfee DLP Endpoint pour Windows ou McAfee DLP Endpoint pour Mac OSX si larègle s'applique à un seul système d'exploitation.

8 Dans l'onglet Condition, sélectionnez une ou plusieurs définitions d'équipement Plug-and-Play.

9 (Facultatif) Affectez des groupes d'utilisateurs finaux à la règle.



11 Sous l'onglet Réaction, sélectionnez une mesure préventive. Facultatif : ajoutez une notificationutilisateur et activez l'option Signaler l'incident.

Si vous ne sélectionnez pas Signaler l'incident, le gestionnaire d'incidents DLP ne conservera aucune trace del'incident.

12 (Facultatif) Sélectionnez une autre mesure préventive lorsque l'utilisateur final travaille en dehorsdu réseau de l'entreprise ou qu'il est connecté par VPN.


Voir aussi Cas d'utilisation : bloquer et recharger un iPhone avec une règle d'équipement Plug-and-Play,page 136

Créer une règle de périphérique d'accès aux fichiers destockage amovibleLes règles d'accès aux fichiers de stockage amovibles permettent de bloquer l'exécution des fichiersexécutables sur les équipements de type plug-in.





4 Sélectionnez Actions | Nouvelle règle | Règle d'accès aux fichiers de stockage amovible.



7 Dans l'onglet Condition, sélectionnez une ou plusieurs définitions d'équipement de stockageamovible. (Facultatif) Affectez des groupes d'utilisateurs finaux à la règle.

8 (Facultatif) Modifiez le type de fichier vrai par défaut ou les définitions d'extension du fichier selon vosexigences.



9 (Facultatif) Dans l'onglet Exceptions, sélectionnez les noms de fichiers inclus dans la liste blanche etrenseignez les champs obligatoires.

L'exception Nom du fichier est nécessaire pour les applications dont l'exécution doit être autorisée. Parexemple, les applications de chiffrement sur les lecteurs chiffrés.

10 Sous l'onglet Réaction, sélectionnez une mesure préventive. (Facultatif) Ajoutez une notification utilisateur etactivez l'option Signaler l'incident.




Voir aussi Règles d'accès aux fichiers de stockage amovibles, page 74

Création d'une règle d'équipement de type disque dur fixeLes règles d'équipements de type disque dur fixe permettent de contrôler les disques durs attachés àl'ordinateur n'étant pas considérés par le système d'exploitation comme un système de stockageamovible. Elles sont prises en charge sur McAfee DLP Endpoint pour Windows uniquement.

Les règles de disque dur fixe comprennent une définition d'équipement avec une action pour bloquerou mettre en lecture seule, une définition de l'utilisateur final, ainsi qu'une notification utilisateur enoption. Elles ne protègent pas la partition système ou de redémarrage.





4 Sélectionnez Actions | Nouvelle règle | Règle du disque dur fixe.


6 (Facultatif) Modifiez le statut et choisissez un niveau de gravité.

7 Dans l'onglet Condition, sélectionnez une ou plusieurs définitions d'équipements de disque dur fixe.(Facultatif) Affectez des groupes d'utilisateurs finaux à la règle.



9 Sous l'onglet Réaction, sélectionnez une mesure préventive. Facultatif : ajoutez une notification utilisateur etactivez l'option Signaler l'incident.






Création d'une règle d'équipement CitrixLes règles d'équipement Citrix permettent de bloquer les équipements Citrix mappés avec les sessionsouvertes partagées.

Les règles d'équipement Citrix XenApp sont prises en charge sur les ordinateurs Windows uniquement.Le logiciel McAfee DLP Endpoint peut bloquer les équipements Citrix mappés aux sessions ouvertespartagées. Les lecteurs de disquette, les équipements fixes, les CD, les supports amovibles et leslecteurs réseau peuvent tous être bloqués, de même que les imprimantes et la redirection duPresse-papiers. Vous pouvez attribuer la règle à des utilisateurs finaux spécifiques.





4 Sélectionnez Actions | Nouvelle règle | Règle d'équipement Citrix XenApp.



7 Dans l'onglet Condition, sélectionnez une ou plusieurs ressources.

8 (Facultatif) Affectez des groupes d'utilisateurs finaux à la règle.

9 (Facultatif) Sous l'onglet Exceptions, renseignez les champs obligatoires pour les utilisateurs inclusdans la liste blanche.


Les ressources sélectionnées sont bloquées.

La seule mesure préventive pour les règles Citrix est Bloquer. Vous n'avez pas besoin de la définir dans levolet Réaction.

Création d'une règle d'équipement TrueCryptLes règles d'équipement TrueCrypt permettent de bloquer ou de surveiller les équipements dechiffrement virtuel TrueCrypt ou de les définir en lecture seule. Elles sont prises en charge sur McAfeeDLP Endpoint pour Windows uniquement.

Les règles d'équipement TrueCrypt sont un sous-ensemble des règles d'équipement de stockageamovible. Les équipements de chiffrement virtuel TrueCrypt peuvent être protégés par des règlesd'équipement TrueCrypt ou des règles de protection de stockage amovible.



• Utilisez une règle d'équipement si vous souhaitez bloquer ou surveiller un volume TrueCrypt, ou ledéfinir en lecture seule.

• Utilisez une règle de protection si vous souhaitez une protection des volumes TrueCrypt selon lecontenu.

Le logiciel client McAfee DLP Endpoint traite tous les montages TrueCrypt comme du stockage amovible,même lorsque l'application TrueCrypt écrit sur le disque local.





4 Sélectionnez Actions | Nouvelle règle | Règle d'équipement TrueCrypt.



7 (Facultatif) Sous l'onglet Condition, affectez des groupes d'utilisateurs finaux à la règle.

8 (Facultatif) Sous l'onglet Exceptions, renseignez les champs obligatoires pour les utilisateurs inclusdans la liste blanche.

9 Sous l'onglet Réaction, sélectionnez une mesure préventive. (Facultatif) Ajoutez une notification utilisateur etactivez l'option Signaler l'incident.

Si vous ne sélectionnez pas Signaler l'incident, le Gestionnaire d'incidents DLP ne conservera aucunetrace de l'incident.



Règles d'accès aux fichiers de stockage amoviblesLes règles d'accès aux fichiers de stockage amovible permettent de bloquer l'exécution des fichiersexécutables sur les équipements de type plug-in. Elles sont prises en charge sur les ordinateursMicrosoft Windows uniquement.

Les règles d'accès aux fichiers de stockage amovible bloquent les équipements de stockage amovibleen les empêchant d'exécuter des applications. Vous pouvez spécifier les équipements inclus et exclusdans la règle. Comme certains exécutables (tels que les applications de chiffrement sur deséquipements chiffrés) doivent être autorisés à s'exécuter, la règle comprend un paramètre Nom de fichier| n'est aucun des pour exempter des fichiers nommés de la règle de blocage.

Les règles d'accès aux fichiers utilisent le type de fichier vrai et l'extension pour déterminer les fichiersà bloquer. Le type de fichier vrai identifie le fichier par son type de données enregistré en interne, enfournissant une identification précise, même si l'extension a été changée. Par défaut, la règle bloque

6 Protection des supports amoviblesRègles d'accès aux fichiers de stockage amovibles


les fichiers compressés (.zip, .gz, .jar, .rar et .cab) et les fichiers exécutables(.bat, .bin, .cgi, .com, .cmd, .dll, .exe, .class, .sys et .msi). Vous pouvez personnaliser les définitionsd'extension de fichier pour ajouter d'autres types de fichier requis.

Les règles d'accès aux fichiers bloquent aussi les fichiers exécutables en les empêchant d'être copiés surdes équipements de stockage amovibles, car le pilote de filtre de fichier ne peut pas faire la différenceentre l'ouverture et la création d'un fichier exécutable.

Protection des supports amoviblesRègles d'accès aux fichiers de stockage amovibles 6


6 Protection des supports amoviblesRègles d'accès aux fichiers de stockage amovibles


7 Classification de contenu confidentiel

Les classifications permettent d'identifier et de contrôler le contenu et les fichiers confidentiels.

Sommaire Composants du module Classification Utilisation des classifications Définitions et critères de classification Classification manuelle Documents enregistrés Texte inclus dans la liste blanche Création et configuration de classifications Configuration de composants de classification pour McAfee DLP Endpoint Création de définitions de classification Scénario d'utilisation : intégration du client Titus avec des marqueurs tiers Scénario d'utilisation : intégration de Boldon James Email Classifier avec des critères declassification

Composants du module ClassificationMcAfee DLP utilise deux mécanismes pour classer le contenu confidentiel : les classifications decontenu et les empreintes de contenu ; ainsi que deux modes : classification automatique et manuelle.

Les classifications automatiques sont définies dans McAfee DLP et distribuées par McAfee ePO dans lesstratégies déployées sur les ordinateurs clients. Elles sont ensuite appliquées au contenu en fonctiondes critères qui les définissent. Les classifications manuelles sont appliquées par des utilisateursautorisés à des fichiers et des e-mails sur leurs ordinateurs clients.

Les classifications de contenu comprennent des fichiers de données et de conditions qui définissent lecontenu confidentiel. Les critères de classification sont comparés au contenu lorsqu'une règle deprotection des données, de découverte Endpoint ou McAfee DLP Discover est déclenchée.

Les empreintes de contenu sont définies par application (c'est-à-dire l'application qui a créé le fichierou l'application web qui a ouvert le fichier) ou par emplacement. Elles peuvent aussi inclure desconditions de données et de fichiers. Elles sont appliquées au contenu lorsqu'il est utilisé, même siaucune règle n'est déclenchée.

7


Le module Classification dans McAfee DLP stocke les critères de classification et d'empreintes de contenuet les définitions utilisées pour les configurer. Dans ce module, il est également possible de configurerdes référentiels de documents enregistrés, l'autorisation utilisateur pour les empreintes et laclassification manuelles et le texte inclus dans la liste blanche.

Les critères de classification de contenu sont pris en charge sur McAfee DLP Endpoint pour Windows,McAfee DLP Endpoint for Mac et McAfee DLP Discover. L'identification du contenu par empreinte, lesdocuments enregistrés et le texte inclus dans la liste blanche sont uniquement pris en charge surMcAfee DLP Endpoint pour Windows. McAfee DLP Endpoint for Mac et McAfee DLP Discover peuventreconnaître les classifications manuelles, mais ne permettent pas de les définir ou de les visualiser.

Le module fournit les fonctionnalités suivantes :

• Classification manuelle : permet de configurer les groupes d'utilisateurs finaux autorisés à classermanuellement du contenu ou à y appliquer des empreintes manuellement.

• Définitions : permet de définir le contenu, les propriétés et l'emplacement des fichiers pour laclassification

• Classification : permet de créer des classifications et de définir des critères de classification etd'empreintes de contenu

• Enregistrer des documents : permet de charger les fichiers contenant du contenu confidentiel connu

• Texte inclus dans la liste blanche : permet de télécharger les fichiers contenant du texte à inclure dans laliste blanche

Utilisation des classificationsLes classifications permettent d'identifier et de surveiller le contenu confidentiel en appliquant desempreintes de contenu ou des critères de classification aux fichiers et à leur contenu.

McAfee DLP identifie et surveille le contenu confidentiel à l'aide de classifications définies parl'utilisateur. Tous les produits McAfee DLP prennent en charge les critères de classification. McAfee DLPEndpoint pour Windows prend aussi en charge les empreintes de contenu. Les empreintes de contenuapposent une étiquette aux informations confidentielles. Cette étiquette reste associée au contenu,même si celui-ci est copié dans un autre document ou s'il est enregistré sous un autre format.

Critères de classification de contenu

Les critères de classification permettent de détecter des modèles de texte confidentiel, des entrées dedictionnaire, des mots clés ou des combinaisons de ces éléments. Ces combinaisons peuventsimplement consister en un ensemble de plusieurs propriétés nommées, ou en des propriétés liées parune relation définie, appelée proximité. Elles permettent également de définir des conditions relativesau fichier, telles que le type de fichier, les propriétés du document, le fait que le fichier soit chiffré ounon, ou l'emplacement du contenu dans le fichier (en-tête/corps/pied de page).

Critères d'empreintes de contenu

Les critères d'empreintes de contenu sont appliqués aux fichiers sur la base de leur contenu. Il existetrois options :

• Selon l'application : application avec laquelle le fichier a été créé ou modifié.

• Selon l'emplacement : partage réseau ou définition de l'équipement de stockage amovible où lefichier est stocké.

• Sur le web : adresses web sur lesquelles les fichiers ont été ouverts ou téléchargés.

7 Classification de contenu confidentielUtilisation des classifications


Toutes les données et les conditions de fichiers disponibles pour les critères de classification le sontégalement pour les critères d'empreintes de contenu. Les empreintes peuvent ainsi combiner lesfonctionnalités des deux types de critères.

Les signatures d'empreintes de contenu sont stockées dans les attributs étendus (EA) d'un fichier oudans des flux de données alternatifs (ADS), et sont appliquées au fichier lorsque celui-ci estenregistré. Si un utilisateur copie ou déplace du contenu sur lequel des empreintes ont été appliquéesvers un autre fichier, les critères d'empreintes sont appliqués à ce fichier. Si le contenu des empreintesest supprimé du fichier, les signatures d'empreintes de contenu sont également supprimées.

McAfee DLP Endpoint applique des critères d'empreintes de contenu aux fichiers sitôt qu'une stratégieest appliquée, que la classification soit utilisée dans une règle de protection ou non.

Application des critères

Les critères sont appliqués aux fichiers comme suit :

• McAfee DLP Endpoint applique des critères dans les cas suivants :

• Le fichier correspond à une classification configurée.

• Le fichier ou du contenu confidentiel est déplacé ou copié dans un nouvel emplacement.

• Une analyse de découverte détecte une correspondance pour un fichier.

• Un utilisateur autorisé ajoute manuellement des critères à un fichier.

Voir aussi Création de critères de classification, page 91Création de critères d'empreintes de contenu, page 93Affectation d'autorisations de classification manuelle, page 95

Classification en fonction de la destination des fichiersEn plus de classer le contenu en fonction de son emplacement d'origine, vous pouvez classer etcontrôler sa destination d'envoi. Dans le domaine de la prévention des fuites de données, cettefonction est appelée données mobiles.

Les règles de protection des fichiers qui contrôlent les destinations sont les suivantes :

• Règles Protection du cloud

• Règles Protection de la messagerie

• Règles Protection des communications réseau (sortantes)

• Règles Protection contre l'impression

• Règles Protection des périphériques de stockage amovibles

• Règles Protection de la publication web

Utilisation de la messagerieMcAfee DLP Endpoint protège les données confidentielles dans l'en-tête, le corps ou les pièces jointesdes e-mails envoyés. La fonction de découverte du stockage des e-mails détecte les e-mails contenantdes données confidentielles dans les fichiers OST ou PST, puis les marque ou les met en quarantaine.

McAfee DLP Endpoint protège le contenu confidentiel des e-mails. Pour ce faire, il classe et marque cecontenu, et bloque l'envoi des e-mails contenant des données confidentielles. La stratégie deprotection de la messagerie permet de définir plusieurs règles pour différents utilisateurs etdestinations d'e-mails, ou pour des e-mails protégés par un chiffrement ou la gestion des droits.

Classification de contenu confidentielUtilisation des classifications 7


Voir aussi Règles de protection de la messagerie, page 116

Définition de paramètres réseauLes définitions de réseau servent de critères de filtre dans les règles de protection du réseau.

• L'option Adresses réseau permet de surveiller les connexions réseau entre une source externe etun ordinateur managé. La définition peut être une adresse unique, un intervalle ou un sous-réseau.Vous pouvez inclure et exclure des adresses réseau définies dans des règles de protection descommunications réseau.

• Les définitions de ports réseau dans les règles de protection des communications réseau vouspermettent d'exclure des services spécifiques définis par leurs ports réseau. La liste des servicescourants et des ports correspondants est intégrée. Vous pouvez modifier les éléments de la liste oucréer vos propres définitions.

• Les définitions de partages réseau permettent de spécifier des dossiers réseau partagés dans lesrègles de protection de partage réseau. Vous pouvez inclure ou exclure des partages définis.

Utilisation des imprimantesLes règles de protection contre l'impression sont utilisées pour gérer à la fois les imprimantes localeset réseau et bloquer ou surveiller l'impression de documents confidentiels.

Les règles de protection contre l'impression dans McAfee DLP Endpoint 9.4 prennent en charge lemode avancé et les imprimantes V4. Les utilisateurs finaux et les imprimantes définis peuvent êtreinclus dans une règle ou en être exclus. Les imprimantes image et PDF peuvent être incluses dans larègle.

Les règles de protection contre l'impression peuvent inclure des définitions d'applications. Vous pouvezdéfinir des processus inclus dans la liste blanche, qui seront exemptés des règles de protection contrel'impression, à l'aide du paramètre Catalogue de stratégies | Data Loss Prevention 9.4 | Configurationclient | Protection contre l'impression.

Contrôle des informations téléchargées sur des sites webLes adresses web sont utilisées dans les règles de protection de la publication web

Vous pouvez utiliser les définitions d'adresses web pour bloquer la publication de données marquéesvers des destinations web définies (sites web ou pages spécifiques d'un site web) ou pour empêcherdes données marquées d'être publiées sur des sites web non définis. En général, les définitionsd'adresses web définissent tous les sites web, aussi bien internes qu'externes, sur lesquels lapublication de données marquées est autorisée.

Classification en fonction de l'emplacement des fichiersLe contenu confidentiel peut être défini en fonction de son emplacement (lieu de stockage) ou de sonusage (extension de fichier ou application).

McAfee DLP Endpoint fait appel à plusieurs méthodes permettant de localiser et de classifier ducontenu confidentiel. Données stockées passivement est le terme utilisé pour décrire lesemplacements des fichiers. Il classifie des contenus en posant des questions comme « Où setrouve-t-il dans le réseau ? » ou « Dans quel dossier se trouve-t-il ? ». Données en cours d'utilisationest le terme utilisé pour définir un contenu en fonction de son mode d'utilisation ou de sonemplacement. Il classifie des contenus en posant des questions comme « Quelle applicationl'appelle ? » ou « Quelle est l'extension du fichier ? ».

Les règles de découverte de McAfee DLP Endpoint détectent vos données stockées passivement. Ellespeuvent rechercher du contenu dans des fichiers d'ordinateurs clients ou dans des fichiers de stockagedes e-mails (PST, PST mappé et OST). Selon les propriétés, les applications ou les emplacements dans

7 Classification de contenu confidentielUtilisation des classifications


la classification de la règle, la règle peut rechercher des emplacements de stockage spécifiés etappliquer des stratégies de chiffrement, de mise en quarantaine ou de gestion des droits Sinon, lesfichiers peuvent être marqués ou classés afin de contrôler la façon dont ils sont utilisés.

Extraction de texteL'extracteur de texte analyse le contenu des fichiers que vous ouvrez ou copiez et le compare auxmodèles textuels et définitions de dictionnaire figurant dans les règles de classification. Lorsqu'unecorrespondance est détectée, les critères sont appliqués au contenu.

McAfee DLP prend en charge les caractères accentués. Lorsqu'un fichier texte ASCII contient unmélange de caractères accentués (par ex. français et espagnols) ainsi que des caractères latinsstandard, l'extracteur de texte risque de ne pas identifier correctement le jeu de caractères. Ceproblème se produit dans tous les programmes d'extraction de texte. Il n'existe aucune méthode outechnique connue permettant d'identifier la page de code ANSI dans ce type de cas. Lorsquel'extracteur de texte ne peut pas identifier la page de code, les modèles de texte et les signaturesd'empreintes de contenu ne sont pas reconnus. Le document ne peut pas être correctement classé etl'action de blocage ou de surveillance appropriée ne peut pas être appliquée. Pour contourner ceproblème, McAfee DLP utilise une page de code de secours. Celle-ci désigne soit le langage par défautde l'ordinateur soit un langage différent défini par l'administrateur.

Extraction de texte avec McAfee DLP Endpoint

L'extraction de texte est prise en charge sur les ordinateurs Microsoft Windows et Apple OS X.

L'extracteur de texte peut exécuter plusieurs processus, selon le nombre de cœurs du processeur.

• Un processeur à simple cœur exécute un seul processus.

• Un processeur à double cœur exécute jusqu'à deux processus.

• Un processeur multicœurs exécute jusqu'à trois processus simultanément.

Si plusieurs utilisateurs sont connectés, chacun a son propre ensemble de processus. Ainsi, le nombred'extracteurs de texte dépend du nombre de cœurs et de sessions utilisateur. Vous pouvez visualiserles différents processus dans le Gestionnaire des tâches de Windows. L'utilisation maximale de lamémoire pour l'extracteur de texte est configurable. La valeur par défaut est de 75 Mo.

Catégorisation des applications dans McAfee DLP EndpointAvant de créer des classifications ou des jeux de règles fondés sur des applications, vous devez savoirde quelle façon ces dernières sont catégorisées dans McAfee DLP Endpoint et l'effet que cela a sur lesperformances du système.

Cette catégorisation n'est pas prise en charge sur McAfee DLP Endpoint for Mac.

Le logiciel McAfee DLP Endpoint répartit les applications en quatre catégories appelées stratégies. Cescatégories définissent le mode de fonctionnement du logiciel vis-à-vis des différentes applications.Vous pouvez modifier la stratégie afin d'obtenir le meilleur compromis entre sécurité et performancesde l'ordinateur.

Voici les stratégies, classées par ordre de sécurité décroissant :

• Editeur : toute application permettant de modifier le contenu des fichiers. Cette catégorie inclutles éditeurs « classiques » comme Microsoft Word et Microsoft Excel, ainsi que les navigateurs, leslogiciels graphiques, les logiciels de comptabilité, etc. La plupart des applications sont des éditeurs.

• Explorateur : une application qui permet de copier ou de déplacer les fichiers sans les modifier,par exemple l'Explorateur Microsoft Windows ou certaines applications de shell.

Classification de contenu confidentielUtilisation des classifications 7


• Approuvée : application nécessitant un accès sans restriction aux fichiers à des fins d'analyse. Ontrouvera par exemple McAfee® VirusScan® Enterprise, les logiciels de sauvegarde et les logiciels derecherche sur les postes de travail comme Google Desktop.

• Archiveur : application capable de traiter les fichiers à nouveau. A titre d'exemple, citons leslogiciels de compression tels que WinZip et les applications de chiffrement telles que le logicielMcAfee Endpoint Encryption ou PGP.

Utilisation des stratégies DLP

Le cas échéant, vous pouvez modifier la stratégie pour optimiser les performances. Ainsi, le hautniveau d'observation dont bénéficie une application de type éditeur n'est pas adapté au processusd'indexation constante d'une application de recherche sur les postes de travail. L'impact sur lesperformances est très élevé, alors que le risque d'une fuite de données émanant d'une telleapplication est faible. Il est par conséquent préférable d'utiliser la stratégie approuvée avec cesapplications.

Vous pouvez remplacer la stratégie par défaut en accédant à la page Stratégie DLP | Paramètres |Stratégie d'application. Vous pouvez créer et supprimer autant de remplacements que nécessaire pourtester et affiner la stratégie.

Vous pouvez également créer plusieurs modèles pour une même application et lui affecter plusieursstratégies. Utilisez ces différents modèles dans plusieurs classifications et règles de sorte à obtenir desrésultats différents selon le contexte. Vous devez cependant être vigilant lors de l'affectation de cesmodèles dans des jeux de règles, afin d'éviter les conflits. McAfee DLP Endpoint résout les conflitspotentiels en appliquant la hiérarchie suivante : archiveur > stratégie approuvée > explorateur >éditeur. Les applications de type éditeur sont donc celles qui ont le rang le plus bas. Si une applicationpossède le type éditeur dans un modèle et un autre type dans un autre modèle du même jeu derègles, McAfee DLP Endpoint ne considérera pas l'application comme un éditeur.

Définitions et critères de classificationLes définitions et critères de classification contiennent une ou plusieurs conditions décrivant lespropriétés du contenu ou des fichiers.

Tableau 7-1 Conditions disponibles

Propriété S'appliqueà :

Définition Produits

Modèle avancé Définitions,critères

Expressions régulières ou expressions utiliséespour détecter des données telles que des datesou des numéros de cartes de crédit.

Tous les produits

Dictionnaire Définitions,critères

Ensembles de mots clés et expressionsconnexes, tels que du contenu obscène ou de laterminologie médicale.

Mot clé Critères Valeur de chaîne.Vous pouvez ajouter plusieurs mots clés à laclassification de contenu ou aux critèresd'empreintes de contenu. La valeur booléennepar défaut pour plusieurs mots-clés est OR, maisvous pouvez aussi utiliser AND.

7 Classification de contenu confidentielDéfinitions et critères de classification


Tableau 7-1 Conditions disponibles (suite)



Proximité Critères Définit une liaison entre deux propriétés enfonction de leur emplacement relatif l'un parrapport à l'autre.Vous pouvez utiliser des modèles avancés, desdictionnaires ou des mots clés pour l'une oul'autre des propriétés.

Le paramètre Proximité est défini comme« inférieur à x caractères », la valeur par défautétant de 1. Vous pouvez également spécifier leparamètre Nombre de correspondances pourdéterminer le nombre minimal decorrespondances nécessaire pour générer uneoccurrence.

Propriétés dedocuments

Définitions,critères

Contient les options suivantes :• Toute propriété • Dernier

enregistrementpar

• Auteur • Nom dugestionnaire

• Catégorie • Sécurité

• Commentaires • Objet

• Société • Modèle

• Mots clés • Titre

Toute propriété est une propriété définie parl'utilisateur.

Chiffrement desfichiers

Critères Contient les options suivantes :• Non chiffré*

• Auto-extracteur chiffré McAfee

• McAfee Endpoint Encryption

• Chiffrement Microsoft Rights Management*

• Chiffrement Seclore Rights Management

• Types de chiffrement non pris en charge oufichier protégé par mot de passe*

• McAfee DLPEndpoint pourWindows (toutesles options)

• McAfee DLPDiscover(optionsmarquées avec*)

Extension defichier


Groupes de types de fichiers pris en charge, parexemple les fichiers MP3 et PDF.

Tous les produits

Informations surle fichier


Contient les options suivantes :• Date d'accès • Nom du fichier

• Date de création • Propriétaire dufichier

• Date demodification

• Taille du fichier

• Extension defichier

Tous les produits

Classification de contenu confidentielDéfinitions et critères de classification 7


Tableau 7-1 Conditions disponibles (suite)



Emplacementdans le fichier

Critères Section du fichier dans laquelle se trouvent lesdonnées.• Documents Microsoft Word : le moteur de

classification peut identifier les valeurs de typeEn-tête, Corps et Pied de page.

• Documents PowerPoint : WordArt est considérécomme une valeur de type En-tête, tout lereste est identifié comme étant de type Corps.

• Autres documents : les valeurs de type En-têteet Pied de page ne sont pas disponibles. Cescritères de classification ne bloquent pas ledocument lorsqu'ils sont sélectionnés.

Balises tierces Critères Cette propriété est utilisée pour spécifier lesnoms et les valeurs de champ Titus.

McAfee DLPEndpoint pourWindows

Type de fichiervrai


Groupes de types de fichier.Par exemple, le groupe intégré Microsoft Excelcomprend les fichiers Excel XLS, XLSX et XML,ainsi que les fichiers Lotus WK1 et FM3, lesfichiers CSV et DIF, les fichiers iWork d'Apple, etbien d'autres.

Tous les produits

Modèled'application

Définitions Application ou fichier exécutable qui accède aufichier.

• McAfee DLPEndpoint pourWindows

• McAfee DLPEndpoint for Mac

Grouped'utilisateursfinaux

Définitions Permet de définir des autorisations declassification manuelles.

Partage réseau Définitions Partage réseau dans lequel le fichier est stocké. McAfee DLPEndpoint pourWindowsListe d'URL Définitions URL d'accès au fichier.

Voir aussi Création de définitions de classification, page 98

Définitions de dictionnaireUn dictionnaire est un ensemble de mots ou d'expressions clés. Chaque entrée d'un dictionnaire sevoit affecter un score.

Les critères de classification de contenu et d'empreintes de contenu utilisent des dictionnaires spécifiéspour classer un document lorsqu'un seuil prédéfini (le score total) a été dépassé, c'est-à-dire sisuffisamment de mots du dictionnaire apparaissent dans le document.

Le score affecté constitue la différence entre un dictionnaire et une chaîne dans la définition d'un motclé.

• Une classification de mot clé marque toujours le document si l'expression est présente.

• Une classification de dictionnaire vous apporte plus de flexibilité. En effet, vous pouvez définir unseuil, ce qui rend la classification relative.

Les scores affectés peuvent être négatifs ou positifs ; vous pouvez ainsi rechercher des mots ou desexpressions si d'autres mots ou expressions sont présents.



Le logiciel McAfee DLP comporte plusieurs dictionnaires intégrés, lesquels contiennent des termescouramment utilisés dans les secteurs de la santé, bancaire, financier et autres. En outre, vous pouvezcréer vos propres dictionnaires. Les dictionnaires peuvent être créés (et modifiés) manuellement oupar copier/coller à partir d'autres documents.

Limitations

L'utilisation des dictionnaires comporte certaines limites. Les dictionnaires sont enregistrés au formatUnicode (UTF-8) et peuvent donc être rédigés dans toutes les langues. Les descriptions suivantess'appliquent aux dictionnaires rédigés en anglais. De manière générale, elles s'appliquent égalementaux autres langues, mais des problèmes imprévus peuvent survenir pour certaines d'entre elles.

La recherche de correspondances dans le dictionnaire présente les caractéristiques suivantes :

• Elle n'est sensible à la casse que lorsque vous créez des entrées de dictionnaire qui le sontelles-mêmes. Les dictionnaires intégrés, qui ont été créés avant l'ajout de cette fonctionnalité, nesont pas sensibles à la casse.

• Il est possible que des correspondances soient éventuellement trouvées pour des sous-chaînes oudes expressions complètes.

• Elle recherche les expressions correspondantes, espaces compris.

Si la recherche de sous-chaînes est définie, faites bien attention lorsque vous saisissez des motscourts, qui risquent de renvoyer des faux positifs. Par exemple, une entrée de dictionnaire comme« chat » signalerait les mots « rachat » et « chatterton ». Pour éviter ces faux positifs, utilisezl'option de recherche de correspondances par expressions complètes ou employez des expressionsimprobables d'un point de vue statistique (SIP, Statistically Improbable Phrases) pour obtenir lesmeilleurs résultats. Les entrées similaires constituent une autre source de faux positifs. Par exemple,dans une liste de maladies HIPAA, « cœliaque » et « maladie cœliaque » apparaissent comme desentrées séparées. Si la seconde expression apparaît dans un document et que la recherche desous-chaînes correspondantes est spécifiée, la recherche génère deux occurrences (une pour chaqueentrée), ce qui fausse le score total.

Voir aussi Création ou importation d'une définition de dictionnaire, page 99

Définitions de modèle avancéLes modèles avancés utilisent des expressions régulières qui permettent de mettre en correspondancedes modèles complexes, comme dans des numéros de sécurité sociale ou des numéros de cartes decrédit. Les définitions utilisent la syntaxe d'expression régulière Google RE2.

Les définitions de modèle avancé comportent un score (obligatoire), comme les définitions dedictionnaire. Elles peuvent également contenir un programme de validation, c'est-à-dire un algorithmeutilisé pour tester des expressions régulières. L'utilisation du programme de validation adapté peutréduire de façon significative les risques de faux positifs. La définition peut contenir une sectionExpressions ignorées pour réduire davantage les risques de faux positifs. Les expressions ignoréespeuvent être des expressions régulières ou des mots clés. Vous pouvez importer plusieurs mots cléspour accélérer la création des expressions.

Les modèles avancés signalent le texte confidentiel. Les modèles de texte confidentiel sont mis enévidence par le biais du surlignage de correspondances.

Si un modèle détecté et un modèle ignoré sont spécifiés, le modèle ignoré est prioritaire. Vous pouvezainsi spécifier une règle générale et y ajouter des exceptions sans devoir la réécrire.

Voir aussi Création d'un modèle avancé, page 99

Classification de contenu confidentielDéfinitions et critères de classification 7


Classification du contenu en fonction des propriétés dedocument ou des informations de fichierLes définitions de propriétés de document permettent de classer le contenu selon des valeurs demétadonnées prédéfinies. Les définitions d'informations sur le fichier classent le contenu parmétadonnées de fichier.

Propriétés de documents

Les propriétés de document peuvent être récupérées pour n'importe quel document Microsoft Office ouPDF et utilisées dans les définitions de classification. Vous pouvez rechercher des correspondancespartielles en utilisant la comparaison Contient.

Il existe trois types de propriétés de document :

• Propriétés prédéfinies : propriétés standard telles que l'auteur et le titre.

• Propriétés personnalisées : propriétés personnalisées ajoutées aux métadonnées du document,autorisées par certaines applications telles que Microsoft Word. Une propriété personnalisée peutégalement faire référence à une propriété de document standard qui ne se trouve pas sur la listedes propriétés prédéfinies. En revanche, elle ne peut pas être un double d'une propriété qui setrouve sur la liste.

• Toute propriété : définit une propriété seulement par sa valeur. Cette fonctionnalité est utile dansl'éventualité où le mot clé a été saisi dans le mauvais paramètre de propriété ou lorsque le nom depropriété n'est pas connu. Par exemple, l'ajout de la valeur Secret au paramètre Toute propriété classetous les documents ayant le mot Secret dans au moins une propriété.

Informations sur le fichier

Les définitions d'informations sur le fichier sont utilisées dans les règles de protection des données etde découverte, ainsi que dans les classifications pour augmenter la granularité. Ces informations sontla date de création, la date de modification, le propriétaire et la taille du fichier. Les propriétés de datepeuvent être définies de manière exacte (avant, après, entre) ou relative (au cours des X derniersjours, des X dernières semaines, des X dernières années). Type de fichier (extensions uniquement) est une listeextensible prédéfinie d'extensions de fichier.

Modèles d'applicationUn modèle d'application permet de contrôler des applications spécifiques à l'aide de propriétés tellesque le nom du produit ou du fournisseur, le nom du fichier exécutable ou le titre de la fenêtre.

Un modèle d'application peut être défini pour une seule application ou un groupe d'applicationssimilaires. Il existe des modèles intégrés (prédéfinis) pour un certain nombre d'applications courantestelles que l'Explorateur Windows, les navigateurs Web, les applications de chiffrement et les clients demessagerie.

La définition du modèle d'application contient un champ avec une case à cocher pour le systèmed'exploitation. L'analyse des fichiers mappés en mémoire est une fonction de Windows uniquement.Elle est désactivée automatiquement lorsque vous sélectionnez des applications OS X.

Les modèles d'application pour Microsoft Windows peuvent utiliser l'un des paramètres suivants :

• Ligne de commande : permet d'utiliser des arguments de ligne de commande, par exemple :java-jar, en mesure de contrôler des applications qui ne pouvaient pas l'être auparavant.

• Répertoire de fichiers exécutables : répertoire où se trouve le fichier exécutable. Ce paramètrepermet notamment de contrôler les applications U3.

• Hachage de fichier exécutable : nom d'affichage de l'application, avec un hachaged'identification SHA2.



• Nom de fichier exécutable : en règle générale, il s'agit du même nom que le nom d'affichage(moins le hachage SHA2), mais il peut être différent si le fichier est renommé.

• Nom du fichier exécutable d'origine : identique au nom de fichier exécutable, sauf si le fichier aété renommé.

• Nom de produit : nom générique du produit, par exemple Microsoft Office 2012, s'il figure dansles propriétés du fichier exécutable.

• Nom du fournisseur : nom de la société, s'il figure dans les propriétés du fichier exécutable.

• Titre de fenêtre : valeur dynamique qui change au moment de l'exécution pour inclure le nom defichier actif.

A l'exception du répertoire de fichiers exécutables et du nom de l'application SHA2, tous lesparamètres acceptent des correspondances de sous-chaînes.

Les modèles d'application pour OS X peuvent utiliser l'un des paramètres suivants :

• Ligne de commande

• Répertoire exécutable

• Hachage de fichier exécutable

• Nom de fichier exécutable

Classification manuelleLes utilisateurs finaux peuvent appliquer manuellement des critères de classification ou d'identificationpar empreinte du contenu à des fichiers ou en supprimer.

Par défaut, les utilisateurs finaux ne sont pas autorisés à afficher, ajouter ou supprimer declassifications. Vous pouvez en revanche affecter des classifications spécifiques à des groupesd'utilisateurs particuliers ou à tout le monde. Les utilisateurs concernés peuvent ensuite appliquer cesclassifications à des fichiers dans le cadre de leur travail. Si le client McAfee DLP Endpoint rencontreun fichier faisant l'objet d'une classification dans une pièce jointe, par exemple, il prend les mesuresnécessaires en fonction de la classification. La classification manuelle peut aussi vous permettre demaintenir la stratégie de classification de votre organisation, même dans des cas spéciauxd'informations confidentielles ou uniques que le système ne traite pas automatiquement.

McAfee DLP Endpoint pour les utilisateurs Windows peut classer les fichiers manuellement. Lesutilisateurs McAfee DLP Endpoint for Mac peuvent reconnaître les fichiers classés manuellement, mais ilsne disposent d'aucune option pour définir ou afficher des classifications manuelles.

Lorsque vous configurez l'autorisation pour la classification manuelle, vous avez la possibilitéd'autoriser l'application manuelle des classifications de contenu, de l'identification de contenu parempreinte ou des deux.

Prise en charge de la classification manuelle

McAfee DLP propose deux types de prise en charge des classifications manuelles : la prise en chargepar Microsoft Office et la prise en charge par type de fichier.

Classification de contenu confidentielClassification manuelle 7


Les applications Microsoft Office (Word, Excel et PowerPoint) et Microsoft Outlook sont prises encharge au niveau de la création de fichier. Vous pouvez laisser le choix aux utilisateurs finaux declasser ou non les fichiers, ou vous pouvez définir des options pour les obliger à classer les fichiersOffice lorsqu'ils sont enregistrés et les e-mails Outlook lorsqu'ils sont envoyés.

D'autres types de fichiers pris en charge, ainsi que les fichiers Microsoft Office, peuvent être classés àpartir de l'Explorateur Windows à l'aide du menu contextuel.

Marquage intégré

Il existe une différence entre les classifications de contenu appliquées manuellement ouautomatiquement. Les classifications de contenu automatiques recherchent des correspondances dansle contenu chaque fois qu'une règle contenant la classification est déclenchée. Elles ne modifient pasle fichier. Les classifications de contenu manuelles intègrent un marqueur physique dans le fichier.Pour les e-mails, elles intègrent un en-tête x dans les e-mails et peuvent ajouter du texte demarquage dans l'en-tête ou le pied de page pour indiquer la classification.

Les empreintes de contenu appliquées manuellement fonctionnent de la même manière que cellesappliquées automatiquement : les signatures sont stockées dans les attributs étendus du fichier oudans d'autres flux de données.

Voir aussi Affectation d'autorisations de classification manuelle, page 95

Marqueurs intégrésLes marqueurs intégrés à l'aide de la classification manuelle permettent l'intégration d'applicationstierces avec les documents marqués de McAfee DLP.

Le tableau suivant indique les types de fichiers pris en charge, le nom du marqueur et la technologieappliquée.

Type de fichier vrai Technologie Nom du marqueur intégré

Doc Doc-properties DLP_CLASSIFICATION

DOCS

RTF

7 Classification de contenu confidentielClassification manuelle


Type de fichier vrai Technologie Nom du marqueur intégré

PDF XMP

JPEG

Les étiquettes internes sont les suivantes :

• Classification : DLPManualClassification

• Outil de classification : DLPManualClassificationClassifier

• Date : DLPManualClassificationDate

Les types de fichiers XMP pris en charge sont les suivants :

AIFF (aif) MPEG4 (mov, mp4, m4v, m4a,f4v)

SWF (swf)

ASF (wma, wmv) P2 TIFF (tif, tiff, dng)

AVCHD (m2ts, mts, m2t) PDF (pdf) UCF (ucf, xfl, pdfxml, mars,idml, idap, icap)

FLV (flv) PNG (png) WAVE (wav)

InDesign (indd, indt) POST-SCRIPT (ps, eps) XDCAM

JPEG (jpg, jpeg) PSD (psd) XDCAMEX

MP3 (mp3) RIFF (avi)

MPEG2 (mpg, mpeg, mp2, mod, m2v,mpa, mpv, m2p, m2a, m2t, mpe, vob,ms-pvr, dvr-ms)

SONY-HDV

Voir aussi Classification manuelle, page 87Personnalisation des messages aux utilisateurs finaux, page 124

Documents enregistrésLa fonction de documents enregistrés est une extension de l'identification de contenu par empreinteselon l'emplacement. Elle fournit aux administrateurs un autre moyen de définir l'emplacement desinformations confidentielles et d'empêcher que celles-ci soient diffusées de manière non autorisée.

McAfee DLP Discover et McAfee DLP Endpoint for Mac ne prennent pas en charge les documentsenregistrés.

Les documents enregistrés sont prédéfinis comme confidentiels. C'est par exemple le cas des feuillesde calcul d'estimation des ventes pour le trimestre à venir. Le logiciel McAfee DLP catégorise et prenddes empreintes du contenu de ces fichiers. Les signatures créées sont linguistiquement neutres, ce quisignifie que le processus fonctionne pour toutes les langues. Lorsque vous créez un package, lessignatures sont chargées dans la base de données McAfee ePO pour être distribuées sur tous lespostes de travail au niveau du terminal. Le client McAfee DLP Endpoint installé sur les ordinateursgérés contrôle la distribution de documents contenant des fragments de contenu enregistrés.

Pour utiliser les documents enregistrés, vous devez télécharger des fichiers sur l'onglet Enregistrer desdocuments du module de classification, ce qui les affecte à une classification à mesure que vous lestéléchargez. Le client installé au niveau du terminal ignore les classifications qui ne sont pasapplicables. Par exemple, les packages de documents enregistrés qui ont été classés sur la base depropriétés de fichier sont ignorés si une analyse des e-mails est en cours afin de détecter du contenuconfidentiel.

Classification de contenu confidentielDocuments enregistrés 7


Il existe deux options de visualisation : Statistiques et Classifications. La vue Statistiques affiche lenombre de fichiers, leur taille, le nombre de signatures, etc. en indiquant les valeurs totales dans levolet de gauche et les statistiques par fichier dans le volet de droite. Vous pouvez utiliser ces donnéespour supprimer des packages de moindre importance si le nombre limite de signatures est presqueatteint. La vue Classifications affiche les fichiers téléchargés par classification. Des informations sur ladernière création de package et les modifications apportées à la liste des fichiers sont affichées dans lecoin supérieur droit.

Lorsque vous créez un package, le logiciel traite tous les fichiers de la liste et charge les empreintesdans la base de données McAfee ePO pour les distribuer. Lorsque vous ajoutez ou supprimez desdocuments, vous devez créer un package. Le logiciel ne fait aucune tentative pour calculer si desempreintes ont déjà été créées pour certains fichiers. Il traite toujours l'ensemble de la liste.

La commande Créer un package s'applique simultanément à la liste des documents enregistrés et àcelle des documents inclus dans la liste blanche, afin de créer un seul paquet. Le nombre maximal designatures par package est de 1 million chacun pour les documents enregistrés et les documents inclusdans la liste blanche.

Voir aussi Téléchargement de documents enregistrés, page 92

Texte inclus dans la liste blancheMcAfee DLP ignore le texte inclus dans la liste blanche lors du traitement du contenu du fichier.

McAfee DLP Discover et McAfee DLP Endpoint for Mac ne prennent pas en charge le texte inclus dans laliste blanche.

Vous pouvez charger des fichiers contenant du texte dans McAfee ePO pour les inclure dans la listeblanche. Le texte inclus dans la liste blanche n'entraînera pas la classification du contenu, même sicertaines de ses parties correspondent à des critères de classification ou d'empreintes de contenu.Utilisez la liste blanche pour ignorer le texte qui apparaît fréquemment dans des fichiers, tel que leséléments réutilisables, les mentions légales et les informations de copyright.

• Les fichiers à inclure dans la liste blanche doivent contenir au moins 400 caractères.

• Si un fichier contient à la fois des données incluses dans la liste blanche et classifiées, il n'est pasignoré par le système. Tous les critères d'empreintes et de classification de contenu appropriésassociés au contenu restent en vigueur.

Voir aussi Chargement des fichiers vers le texte inclus dans la liste blanche, page 92

7 Classification de contenu confidentielTexte inclus dans la liste blanche


Création et configuration de classificationsCréez des classifications et des critères à utiliser dans des règles ou des analyses.

Procédures• Création d'une classification, page 91

Des définitions de classification sont requises dans la configuration des règles dedécouverte et de protection des données.

• Création de critères de classification, page 91Appliquez des critères de classification à des fichiers en fonction de leur contenu et de leurspropriétés.

• Téléchargement de documents enregistrés, page 92Sélectionnez et classez les documents à distribuer sur les ordinateurs clients.

• Chargement des fichiers vers le texte inclus dans la liste blanche, page 92Chargez des fichiers contenant du texte couramment utilisé pour l'inclure dans la listeblanche.

Création d'une classificationDes définitions de classification sont requises dans la configuration des règles de découverte et deprotection des données.



2 Cliquez sur Nouvelle classification.

3 Indiquez un nom et éventuellement une description.

4 Cliquez sur OK.

5 Ajoutez des groupes d'utilisateurs finaux à la classification manuelle, ou encore des documentsenregistrés à la classification, en cliquant sur Modifier pour le composant respectif.

6 Ajoutez des critères de classification de contenu ou des critères d'empreintes de contenu à l'aide ducontrôle Actions.

Création de critères de classificationAppliquez des critères de classification à des fichiers en fonction de leur contenu et de leurspropriétés.

Les critères de classification de contenu sont créés à partir des définitions de fichiers et de données. Siune définition nécessaire n'existe pas, vous pouvez la créer lors de la définition des critères.



2 Sélectionnez la classification à laquelle vous souhaitez ajouter les critères, puis sélectionnez Actions| Nouveaux critères de classification de contenu.

3 Entrez le nom.

Classification de contenu confidentielCréation et configuration de classifications 7


4 Sélectionnez une ou plusieurs propriétés et configurez les entrées de comparaison et de valeur.


• Pour certaines propriétés, vous pouvez cliquer sur ... pour sélectionner une propriété existanteou en créer une.

• Pour ajouter des valeurs à une propriété, cliquez sur +.

• Pour supprimer des valeurs, cliquez sur –.


Voir aussi Utilisation des classifications, page 78

Téléchargement de documents enregistrésSélectionnez et classez les documents à distribuer sur les ordinateurs clients.

McAfee DLP Discover ne prend pas en charge les documents enregistrés.



2 Cliquez sur l'onglet Enregistrer des documents.

3 Cliquez sur Chargement du fichier.

4 Accédez au fichier et, si un fichier du même nom existe déjà, indiquez si l'ancien fichier doit êtreremplacé par le nouveau. Sélectionnez ensuite une classification.

L'option Chargement du fichier traite un seul fichier. Pour charger plusieurs documents, créez unfichier .zip.

5 Cliquez sur OK.

Le fichier est téléchargé et traité, et des statistiques sont affichées sur la page.

Une fois la liste des fichiers complète, cliquez sur Créer un package. Un package de signatures contenantl'ensemble des documents enregistrés et des documents inclus dans la liste blanche est chargé dans labase de données McAfee ePO pour être distribué sur les ordinateurs clients.

Vous pouvez créer un package ne contenant que les documents enregistrés ou inclus dans la listeblanche en laissant une liste vide. Lorsque les fichiers sont effacés, supprimez-les de la liste et créez unpackage pour appliquer les modifications.

Voir aussi Documents enregistrés, page 89

Chargement des fichiers vers le texte inclus dans la listeblancheChargez des fichiers contenant du texte couramment utilisé pour l'inclure dans la liste blanche.

McAfee DLP Discover ne prend pas en charge le texte inclus dans la liste blanche.

7 Classification de contenu confidentielCréation et configuration de classifications




2 Cliquez sur l'onglet Texte inclus dans la liste blanche.

3 Cliquez sur Chargement du fichier.

4 Accédez au fichier et, si un fichier du même nom existe déjà, indiquez si l'ancien fichier doit êtreremplacé par le nouveau.

5 Cliquez sur OK.

Voir aussi Texte inclus dans la liste blanche, page 90

Configuration de composants de classification pour McAfee DLPEndpoint

McAfee DLP Endpoint prend en charge la classification manuelle et l'application de critèresd'identification du contenu par empreinte.

Procédures

• Création de critères d'empreintes de contenu, page 93Appliquez des critères d'empreintes à des fichiers en fonction de l'emplacement du fichierou de l'application.

• Scénario d'utilisation : empreintes basées sur l'application, page 94Vous pouvez classer un contenu comme sensible selon l'application qui l'a produit.

• Affectation d'autorisations de classification manuelle, page 95Définissez les utilisateurs autorisés à classer manuellement les fichiers.

• Scénario d'utilisation : classification manuelle, page 95Les travailleurs dont les tâches exigent la création de routine de fichiers contenant desdonnées sensibles peuvent se voir affecter une autorisation de classification manuelle. Ilspeuvent classer les fichiers lors de leur création dans le cadre de leur flux de travail normal.

Création de critères d'empreintes de contenuAppliquez des critères d'empreintes à des fichiers en fonction de l'emplacement du fichier ou del'application.



2 Sélectionnez la classification à laquelle les critères doivent être ajoutés.

3 Sélectionnez Actions | Nouveaux critères d'empreintes de contenu puis sélectionnez le type de critèresd'empreintes.

Classification de contenu confidentielConfiguration de composants de classification pour McAfee DLP Endpoint 7


4 Entrez le nom et indiquez des informations supplémentaires en fonction du type de critèred'empreinte.

• Application : cliquez sur ... pour sélectionner une ou plusieurs applications.

• Emplacement : cliquez sur ... pour sélectionner un ou plusieurs partages réseau. Si nécessaire,indiquez le type de support amovible.

• Application web : cliquez sur ... pour sélectionner une ou plusieurs listes d'URL.

5 (Facultatif) Sélectionnez au moins une propriété et configurez les entrées de comparaison et devaleur.


• Pour certaines propriétés, vous pouvez cliquer sur ... pour sélectionner une propriété existanteou en créer une.

• Pour ajouter des valeurs à une propriété, cliquez sur +.

• Pour supprimer des valeurs, cliquez sur –.


Voir aussi Utilisation des classifications, page 78

Scénario d'utilisation : empreintes basées sur l'applicationVous pouvez classer un contenu comme sensible selon l'application qui l'a produit.

Dans certains cas, le contenu peut être classé comme confidentiel par l'application qui le produit. Lescartes militaires « top secret » sont un exemple. Ce sont des fichiers JPEG, généralement produits parune application SIG spécifique à l'US Air Force. En sélectionnant cette application dans la définition descritères d'empreintes, tous les fichiers JPEG produits par l'application sont marqués commeconfidentiels. Les fichiers JPEG produits par d'autres applications ne sont pas marqués.



2 Dans l'onglet Définitions, sélectionnez Modèle d'application, puis Actions | Nouveau.

3 Entrez un nom, par exemple Application SIG, et éventuellement une description. En utilisant uneou plusieurs propriétés de la liste Propriétés disponibles, définissez l'application SIG. Cliquez surEnregistrer.

4 Sous l'onglet Classification, cliquez sur Nouvelle classification et entrez un nom, par exemple,Application SIG et éventuellement une définition. Cliquez sur OK.

5 Sélectionnez Actions | Nouveaux critères d'empreintes de contenu | Application.

La page des critères d'empreintes de l'application s'ouvre.

6 Dans le champ Nom, attribuez un nom au marqueur, par exemple Marqueur SIG.

7 Dans le champ Applications, sélectionnez l'application SIG créée à l'étape 1.

7 Classification de contenu confidentielConfiguration de composants de classification pour McAfee DLP Endpoint


8 Dans la liste Propriétés disponibles | Conditions du fichier, sélectionnez Type de fichier vrai. Dans le champValeur, sélectionnez Graphic files [intégré].

La définition intégrée comprend JPEG, ainsi que d'autres types de fichier graphique. Ensélectionnant une application ainsi qu'un type de fichier, seuls les fichiers JPEG produits parl'application sont inclus dans la classification.

9 Cliquez sur Enregistrer, puis sélectionnez Actions | Enregistrer la classification.

La classification est prête à être utilisée dans les règles de protection.

Affectation d'autorisations de classification manuelleDéfinissez les utilisateurs autorisés à classer manuellement les fichiers.



2 Cliquez sur l'onglet Classification manuelle.

3 Dans la liste déroulante Afficher, sélectionnez Grouper par classifications ou Grouper par groupes d'utilisateursfinaux.

Vous pouvez attribuer des classifications à des groupes d'utilisateurs finaux ou affecter des groupesd'utilisateurs finaux à des classifications, selon ce qui est le plus pratique pour vous. La liste Afficherpermet de gérer l'affichage.

4 Si vous effectuez un groupement par classification :

a Sélectionnez une classification dans la liste affichée.

b Dans la section Classifications, sélectionnez le type de classification.

Si la liste est très longue, vous pouvez la réduire en saisissant une chaîne dans la zone de texteFiltrer la liste.

c Sélectionnez Actions | Sélectionner les groupes d'utilisateurs finaux.

d Dans la fenêtre Choisir parmi les valeurs existantes, sélectionnez des groupes d'utilisateurs ou cliquezsur Nouvel élément pour créer un groupe. Cliquez sur OK.

5 Si vous effectuez un groupement par groupes d'utilisateurs :

a Sélectionnez un groupe d'utilisateurs dans la liste affichée.

b Sélectionnez Actions | Sélectionner les classifications.

c Dans la fenêtre Choisir parmi les valeurs existantes, sélectionnez des classifications. Cliquez sur OK.

Scénario d'utilisation : classification manuelleLes travailleurs dont les tâches exigent la création de routine de fichiers contenant des donnéessensibles peuvent se voir affecter une autorisation de classification manuelle. Ils peuvent classer lesfichiers lors de leur création dans le cadre de leur flux de travail normal.

Dans cet exemple, un fournisseur de soins de santé sait que tous les dossiers des patients doiventêtre considérés comme confidentiels au regard des règles HIPAA. Les travailleurs qui créent oumodifient les dossiers des patients se voient octroyer des autorisations de classification manuelle.




1 Créez un groupe d'utilisateurs ou des groupes pour les travailleurs qui créent ou modifient desdossiers de patients.

a Dans McAfee ePO, ouvrez le module Classification (Menu | Protection des données | Classification).

b Dans l'onglet Définitions, sélectionnez Source/Destination | Groupe d'utilisateurs finaux.

c Sélectionnez Actions | Nouveau, remplacez le nom par défaut par un nom pertinent comme Grouped'utilisateurs d'informations médicales privées et ajoutez des utilisateurs ou desgroupes à la définition.

d Cliquez sur Enregistrer.

2 Créez une classification PHI (Protected Health Information - renseignements médicaux protégés).

a Dans le module Classification, sous l'onglet Classification, sélectionnez [Sample] PHI [intégré] dans lepanneau de gauche, puis sélectionnez Actions | Dupliquer la classification.

Une copie modifiable de la classification d'échantillon s'affiche.

b Modifiez les champs Nom, Description et Critères de classification le cas échéant.

c Dans le champ Classification manuelle, cliquez sur Modifier.

d Dans la section Actions supplémentaires, sélectionnez le type de classification.

Par défaut, seule la classification manuelle est sélectionnée.

e Sélectionnez Actions | Sélectionner les groupes d'utilisateurs finaux.

f Dans la fenêtre Choisir parmi les valeurs existantes, sélectionnez le ou les groupes créésprécédemment, puis cliquez sur OK.

g Revenez à l'onglet Classification et sélectionnez Actions | Enregistrer la classification.

Les travailleurs qui sont membres des groupes affectés peuvent maintenant classer les dossiers despatients car ils sont créés par un clic droit sur le fichier, en sélectionnant la protection des données et ensélectionnant l'option appropriée.

Seules les options sélectionnées (étape 2.d.) apparaissent dans le menu.

7 Classification de contenu confidentielConfiguration de composants de classification pour McAfee DLP Endpoint


Création de définitions de classificationVous pouvez utiliser des définitions de classification prédéfinies ou créer des définitions. Les définitionsprédéfinies ne peuvent pas être modifiées ni supprimées.

Procédures

• Création d'une définition de classification générale, page 98Créez et configurez des définitions pour les classifications et les règles.

• Création ou importation d'une définition de dictionnaire, page 99Un dictionnaire est un ensemble de mots ou d'expressions clés. Chaque entrée d'undictionnaire se voit affecter un score. Les scores permettent d'affiner les définitions derègles.

• Création d'un modèle avancé, page 99Les modèles avancés permettent de définir les classifications. Une définition de modèleavancé peut consister en une expression unique ou en une combinaison d'expressions et dedéfinitions de faux positif.

• Création d'un intervalle de ports réseau, page 100Les intervalles de ports réseau servent de critères de filtrage dans les règles de protectiondes communications réseau.

• Création d'un intervalle d'adresses réseau, page 101Les intervalles d'adresses réseau servent de critères de filtrage dans les règles deprotection des communications réseau.

• Création d'une définition d'adresse e-mail, page 101Les définitions d'adresse e-mail sont des domaines de messagerie prédéfinis ou desadresses e-mail spécifiques qui peuvent être indiqués dans les règles de protection dese-mails.

• Création d'une définition d'imprimante réseau, page 102Les définitions d'imprimante réseau permettent d'affiner les règles de protection contrel'impression. Les imprimantes définies peuvent être incluses dans les règles ou en êtreexclues.

• Création d'une définition de liste d'URL, page 102Les définitions de liste d'URL permettent de définir des règles de protection de lapublication web. Elles s'ajoutent aux règles en tant que conditions d'adresse web (URL).

Voir aussi Définitions et critères de classification, page 82

Création d'une définition de classification généraleCréez et configurez des définitions pour les classifications et les règles.



2 Sélectionnez le type de définition à configurer, puis sélectionnez Actions | Nouveau.

3 Attribuez un nom à la définition et configurez-en les options et les propriétés.

Les options et les propriétés disponibles varient selon le type de définition.


7 Classification de contenu confidentielCréation de définitions de classification


Création ou importation d'une définition de dictionnaireUn dictionnaire est un ensemble de mots ou d'expressions clés. Chaque entrée d'un dictionnaire sevoit affecter un score. Les scores permettent d'affiner les définitions de règles.




3 Dans le volet gauche, cliquez sur Dictionnaire.



6 Ajoutez des entrées au dictionnaire.

Pour importer des entrées, procédez comme suit :

a Cliquez sur Importer des entrées.

b Entrez des mots ou des expressions, ou effectuez un couper-coller à partir d'un autre document.

La fenêtre textuelle est limitée à 20 000 lignes de 50 caractères par ligne.

c Cliquez sur OK.

Toutes les entrées se voient affecter un score par défaut de 1.

d Si nécessaire, mettez à jour ce score par défaut en cliquant sur le bouton Modifier correspondantà l'entrée.

e Sélectionnez les colonnes Débute par, Se termine par et Sensible à la casse selon vos besoins.

Les colonnes Débute par et Se termine par permettent d'entrer des correspondances de sous-chaînes.

Pour créer manuellement des entrées, procédez comme suit :

a Entrez la phrase et le score.

b Sélectionnez les colonnes Débute par, Se termine par et Sensible à la casse selon vos besoins.

c Cliquez sur Ajouter.


Création d'un modèle avancéLes modèles avancés permettent de définir les classifications. Une définition de modèle avancé peutconsister en une expression unique ou en une combinaison d'expressions et de définitions de fauxpositif.

Les modèles avancés sont définis à l'aide d'expressions régulières (regex). Ce document ne traite pasdes expressions régulières. Vous trouverez sur Internet un certain nombre de didacticiels sur lesexpressions régulières qui vous permettront d'obtenir plus d'informations à ce sujet.

Classification de contenu confidentielCréation de définitions de classification 7




2 Sélectionnez l'onglet Définitions, puis Modèle avancé dans le volet de gauche.

Les modèles disponibles s'affichent dans le volet de droite.

Pour afficher uniquement les modèles avancés définis par l'utilisateur, désélectionnez la case Incluredes éléments intégrés. Les modèles définis par l'utilisateur sont les seuls qui peuvent être modifiés.


La page de définition Nouveau modèle avancé s'affiche.


5 Sous Expressions en correspondance, procédez comme suit :

a Saisissez une expression dans la zone de texte. Ajoutez une description facultative.

b Sélectionnez un programme de validation dans la liste déroulante.

Si possible, McAfee recommande d'utiliser un programme de validation pour réduire le nombrede faux positifs, mais cela n'est pas obligatoire. Si vous ne voulez pas indiquer de programmede validation, ou si la validation n'est pas appropriée pour l'expression, sélectionnez Aucunevalidation.

c Entrez un chiffre dans le champ Score.

Cette valeur indique la pondération de l'expression dans le calcul du seuil. Ce champ estobligatoire.

d Cliquez sur Ajouter.

6 Sous Faux positif, procédez comme suit :

a Saisissez une expression dans la zone de texte.

Si des modèles textuels sont stockés dans un document externe, vous pouvez les copier-collerdans la définition en utilisant Importer des entrées.

b Dans le champ Type, sélectionnez Expression régulière dans la liste déroulante si la chaîne est uneexpression régulière, ou Mot clé s'il s'agit de texte.

c Cliquez sur Ajouter.


Création d'un intervalle de ports réseauLes intervalles de ports réseau servent de critères de filtrage dans les règles de protection descommunications réseau.





2 Dans le volet gauche, sélectionnez Port réseau, puis cliquez sur Actions | Nouveau.

Vous pouvez également modifier les définitions intégrées.


4 Entrez les numéros de port, en les séparant par des virgules, et ajoutez éventuellement unedescription. Cliquez sur Ajouter.

5 Lorsque vous avez ajouté tous les ports requis, cliquez sur Enregistrer.

Création d'un intervalle d'adresses réseauLes intervalles d'adresses réseau servent de critères de filtrage dans les règles de protection descommunications réseau.

ProcédurePour chaque définition requise, effectuez les étapes 1 à 4 : Pour davantage d'informations au sujet desfonctionnalités du produit, de son utilisation et des meilleures pratiques, cliquez sur ? ou sur Aide.


2 Dans le volet gauche, sélectionnez Adresse réseau (adresse IP), puis cliquez sur Actions | Nouveau.

3 Entrez un nom unique pour la définition et éventuellement une description.

4 Entrez une adresse, un intervalle d'adresses ou un sous-réseau dans la zone de texte. Cliquez surAjouter.

Des exemples correctement formatés apparaissent sur la page.

5 Lorsque vous avez entré toutes les définitions requises, cliquez sur Enregistrer.

Création d'une définition d'adresse e-mailLes définitions d'adresse e-mail sont des domaines de messagerie prédéfinis ou des adresses e-mailspécifiques qui peuvent être indiqués dans les règles de protection des e-mails.

Pour bénéficier d'une meilleure granularité dans les règles de protection de la messagerie, vouspouvez inclure des adresses e-mail et en exclure d'autres. Assurez-vous de créer les deux types dedéfinitions.



2 Dans le volet gauche, sélectionnez Adresse e-mail puis Actions | Nouveau.


4 Dans la liste déroulante, sélectionnez un opérateur.

Classification de contenu confidentielCréation de définitions de classification 7


Les opérateurs sont les suivants :

• Le nom de domaine est

• L'adresse e-mail est

• Le nom d'affichage est

• Le nom d'affichage contient

5 Saisissez une valeur, puis cliquez sur Ajouter.

6 Cliquez sur Enregistrer lorsque vous avez terminé d'ajouter des adresses e-mail.

Création d'une définition d'imprimante réseauLes définitions d'imprimante réseau permettent d'affiner les règles de protection contre l'impression.Les imprimantes définies peuvent être incluses dans les règles ou en être exclues.

Avant de commencerObtenez le chemin d'accès UNC de l'imprimante sur le réseau.



2 Dans le volet gauche, sélectionnez Imprimante réseau, puis sélectionnez Actions | Nouveau.


4 Entrez le chemin d'accès UNC.

Tous les autres champs sont facultatifs.


Création d'une définition de liste d'URLLes définitions de liste d'URL permettent de définir des règles de protection de la publication web. Elless'ajoutent aux règles en tant que conditions d'adresse web (URL).

ProcédurePour chaque URL requise, effectuez les étapes 1 à 4 : Pour davantage d'informations au sujet desfonctionnalités du produit, de son utilisation et des meilleures pratiques, cliquez sur ? ou sur Aide.


2 Dans le volet gauche, sélectionnez la liste d'URL, puis sélectionnez Actions | Nouveau.

3 Indiquez un nom unique et éventuellement une définition.


• Entrez les informations de protocole, d'hôte, de port et de chemin d'accès dans les zones de textecorrespondantes, puis cliquez sur Ajouter.

• Collez une URL dans la zone de texte Coller l'URL, puis cliquez sur Effectuer une analyse syntaxique etsur Ajouter.



Les champs d'URL sont remplis par le logiciel.

5 Lorsque toutes les URL requises ont été ajoutées à la définition, cliquez sur Enregistrer.

Scénario d'utilisation : intégration du client Titus avec desmarqueurs tiers

Les critères de classification ou d'empreintes de contenu peuvent inclure plusieurs paires valeur demarqueur/nom de marqueur Titus.

Avant de commencer1 Dans le catalogue de stratégies, ouvrez la configuration cliente actuelle. Sélectionnez

Paramètres | Mode de fonctionnement et modules. Vérifiez que l'option Modules complémentaires pourOutlook | Activer l'intégration du complément tierce partie est sélectionnée.

2 Dans Paramètres | Protection de la messagerie, dans la section Intégration du complément Outlook detierce partie, sélectionnez Titus dans la liste déroulante Nom du fournisseur.

McAfee DLP Endpoint appelle l'API Titus pour identifier les fichiers marqués et déterminer lesmarqueurs. Les classifications créées avec des marqueurs tiers peuvent être appliquées à toutes lesrègles de protection et de découverte qui inspectent les fichiers.

Pour mettre en œuvre cette fonctionnalité, le SDK Titus doit être installé sur les ordinateurs clients.



2 Cliquez sur Nouvelle classification.


4 Cliquez sur Actions, puis sélectionnez Nouveaux critères de classification de contenu ou Nouveaux critèresd'empreintes de contenu.

5 Sélectionnez la propriété Marqueurs tiers.

6 Entrez le nom de champ Titus et une valeur. Sélectionnez la définition de valeur dans la listedéroulante.

La chaîne de valeur entrée peut être définie comme :

• est égale à l'un des

• est égale à tous les

• contient l'un des

• contient tous les

7 (Facultatif) Cliquez sur + et ajoutez une autre paire nom/valeur.


Classification de contenu confidentielScénario d'utilisation : intégration du client Titus avec des marqueurs tiers 7


Scénario d'utilisation : intégration de Boldon James EmailClassifier avec des critères de classification

Créez des critères de classification pour intégrer Boldon James Email Classifier.

Boldon James Email Classifier est une solution de messagerie qui étiquette et classifie les e-mails. Lelogiciel McAfee DLP Endpoint peut intégrer Email Classifier et bloquer des e-mails en fonction desclassifications affectées. Vous pouvez choisir la chaîne envoyée par Email Classifier à McAfee DLPEndpoint lorsque vous configurez le logiciel Email Classifier. Utilisez cette chaîne pour définir lescritères de classification.


1 Configurez la compatibilité avec Boldon James dans McAfee DLP Endpoint :

a Grâce à la console Administration du classificateur Boldon James, ouvrez Paramètres de l'application Classifier| Paramètres Outlook. Définissez Analyse DLP McAfee Host sur Activée et définissez Marquage DLP McAfee Hostpour vous référer à un format de marquage contenant la valeur de classification, ainsi que letexte statique unique pour le marquage DLP. Une chaîne basée sur ce format de marquage serapassée à McAfee DLP Endpoint avec les critères de classification.

b Dans le catalogue de stratégies, ouvrez la configuration client actuelle. Sélectionnez Paramètres |Mode de fonctionnement et modules. Vérifiez que l'option Modules complémentaires pour Outlook | Activerl'intégration du complément tierce partie est sélectionnée.

c Dans Paramètres | Protection de la messagerie, dans la section Intégration du complément Outlook detierce partie, sélectionnez Boldon James dans la liste déroulante Nom du fournisseur.

2 Créez une classification Boldon James.

Pour chaque classification requise, effectuez les opérations suivantes :

a Dans McAfee ePO, sélectionnez Menu | Protection des données | Classification.

b Cliquez sur l'onglet Classification, puis cliquez sur Nouvelle classification.

c Saisissez un nom unique et éventuellement une description.

d Cliquez sur Actions | Nouveaux critères de classification de contenu.

e Sélectionnez la propriété Mot clé. Dans le champ Valeur, saisissez la chaîne créée à partir duformat de marquage que vous avez sélectionné dans la configuration Administration du classificateur àenvoyer à McAfee DLP Endpoint.

[Classification Boldon James] est la chaîne que vous avez sélectionnée dans laconfiguration Email Classifier pour l'envoyer à McAfee DLP Endpoint.

3 Dans McAfee ePO, sélectionnez Menu | Protection des données | Jeu de règles DLP.

4 Sous l'onglet Jeux de règles, effectuez l'une des opérations suivantes.

• Sélectionnez Actions | Nouveau jeu de règles.

• Sélectionnez un jeu de règles existant.

5 Sélectionnez Actions | Nouvelle règle | Protection de la messagerie.

Un formulaire de définition Protection de la messagerie apparaît.


7 Classification de contenu confidentielScénario d'utilisation : intégration de Boldon James Email Classifier avec des critères de classification


7 Sous l'onglet Condition, sélectionnez Corps dans la liste déroulante, puis sélectionnez la classificationBoldon James appropriée. Sélectionnez les options Utilisateur final, Enveloppe d'e-mail et Destinatairesappropriées.

Le client McAfee DLP Endpoint considère la classification Boldon James comme faisant partie ducorps de l'e-mail. Le fait de limiter la définition à l'analyse du corps permet de rendre la règle plusefficace.

8 Sous l'onglet Réaction, sélectionnez les paramètres Mesure préventive, Notification utilisateur, Signaler l'incidentet Gravité appropriés. Définissez l'état sur Activé, puis cliquez sur Enregistrer.

Classification de contenu confidentielScénario d'utilisation : intégration de Boldon James Email Classifier avec des critères de classification 7


7 Classification de contenu confidentielScénario d'utilisation : intégration de Boldon James Email Classifier avec des critères de classification


8 Utilisation des stratégies

McAfee DLP Endpoint stocke les stratégies et les configurations dans le catalogue de stratégies McAfeeePO.

Les stratégies DLP du catalogue de stratégies McAfee ePO contiennent des jeux de règles (règles deprotection), ainsi que les classifications et définitions qui y sont associées. Elles peuvent aussi incluredes configurations d'analyse de découverte Endpoint et des paramètres serveur.

La création de règles et de jeux de règles s'effectue dans le Gestionnaire de stratégies DLP. Les jeuxde règles peuvent contenir plusieurs règles de type Protection des données, Contrôle des équipementset Découverte. Les règles d'un jeu de règles utilisent l'opérateur logique OU, c'est-à-dire que le jeu derègles s'applique si le contenu inspecté correspond à l'une des règles. Au sein d'une même règle,certains paramètres utilisent l'opérateur logique ET ou SAUF, et certaines combinaisons de paramètresutilisent l'opérateur logique ET, OU ou SAUF, comme spécifié par l'administrateur.

Workflow

Les étapes de la gestion des stratégies sont les suivantes :

1 Créez et enregistrez les jeux de règles sur la page Gestionnaire de stratégies DLP | Jeux de règles.

2 La plupart des règles requièrent des classifications. Celles-ci sont définies dans la consoleClassification.

3 Affectez le jeu de règles à une stratégie DLP sur la page Gestionnaire de stratégies DLP |Affectation de stratégie.

4 Créez ou modifiez des définitions.

5 Appliquez les stratégies à McAfee ePO sur la page Catalogue de stratégies | Stratégie DLP | Jeux derègles actifs.

Sur la page Jeux de règles actifs, vous pouvez créer de nouvelles stratégies en dupliquant une stratégie pardéfaut ou une autre stratégie existante. Vous pouvez également affecter des ensembles de règles ensélectionnant Actions | Activer le jeu de règles.

Sommaire Création et affectation de stratégies Utilisation de plusieurs stratégies Fonctionnement des définitions Modification d'une stratégie DLP Validation de stratégie

8


Création et affectation de stratégiesMcAfee DLP prend en charge plusieurs stratégies et plusieurs configurations clients. Les configurationsclient et les stratégies sont appliquées à la base de données McAfee ePO et affectées aux ordinateursclient pour déploiement.

Ce workflow permet de créer des stratégies, de les appliquer à McAfee ePO et de les affecter pourdéploiement.


1 Dans McAfee ePO, sélectionnez Menu | Stratégie | Catalogue de stratégies.

2 Dans la liste déroulante Produit, sélectionnez Data Loss Prevention 10. (Facultatif) Vous pouvez simplifierla liste en sélectionnant Catégorie.

3 Cliquez sur Dupliquer (dans la colonne Actions) pour une configuration client ou une stratégieexistante. Modifiez le nom, puis cliquez sur OK.

Les stratégies et les configurations client sont créées en dupliquant et en modifiant une stratégieou une configuration que vous avez déjà créée ou qui existe par défaut.


5 Dans le Gestionnaire de stratégies, sélectionnez Actions | Nouveau jeu de règles. Cliquez sur le jeu derègles pour l'ouvrir et y ajouter des règles.

Vous pouvez créer plusieurs jeux de règles, selon vos besoins. Chaque jeu de règles peut contenirplusieurs règles.

6 Lorsque vous avez défini votre jeu de règles, cliquez sur l'onglet Affectation de stratégie.

L'onglet affiche les détails de tous les jeux de règles affectés.

7 Cliquez sur Actions et sélectionnez l'une des options suivantes :

• Sélectionnez Affecter des jeux de règles à une stratégie.

• Sélectionnez Affecter un jeu de règles à des stratégies.

Le ou les jeux de règles sont affectés à la stratégie ou aux stratégies sélectionnées.

8 Cliquez sur Appliquer les stratégies sélectionnées. Lorsque vous avez vérifié votre sélection dans la fenêtreSélection de stratégies, cliquez sur Appliquer la stratégie.

Les stratégies sont appliquées à la base de données McAfee ePO.

9 Dans McAfee ePO, sélectionnez Menu | Système | Arborescence des systèmes.

Pour afficher les affectations, cliquez sur l'onglet Stratégies affectées.

10 Dans l'onglet Tâches client affectées, sélectionnez Actions | Nouvelle affectation de tâche client, puis suivez lesétapes pour déployer la stratégie sur les terminaux.

Voir aussi Jeux de règles, page 113Création d'un jeu de règles, page 128

8 Utilisation des stratégiesCréation et affectation de stratégies


Utilisation de plusieurs stratégiesUtilisez plusieurs stratégies pour remplacer les définitions et les paramètres communs.

Certains paramètres et certaines définitions peuvent avoir un impact sur le comportement du systèmeclient. Par exemple, lorsque vous modifiez une classe d'équipement de non managée en managée, leclient McAfee DLP Endpoint surveille et tente de contrôler des équipements appartenant à cette classe.Si certains ordinateurs clients utilisent des équipements ayant des problèmes de compatibilité avec lepilote d'équipement McAfee DLP Endpoint, leurs performances peuvent être sérieusementcompromises.

McAfee DLP résout ce problème en offrant plusieurs stratégies. Les administrateurs peuvent remplacerla classe d'équipement et les paramètres du modèle d'application par stratégie, et définir différentsparamètres et définitions pour différents systèmes dans les organisations. Vous pouvez affecterdifférentes stratégies avec des règles d'affectation des stratégies ou des groupes d'affectation del'utilisateur. Par défaut, Ma stratégie DLP par défaut est affectée à la racine de l'arborescence dessystèmes.

Fonctionnement des définitionsLes définitions permettent de configurer des règles, des critères de classification et des analyses dedécouverte.

Les définitions McAfee DLP sont stockées dans un catalogue de définitions. Une fois définies, elles sontdisponibles pour toutes les fonctionnalités McAfee DLP. Toutes les définitions sont configurables parl'utilisateur, mais certaines sont aussi prédéfinies.

Vous pouvez afficher les définitions intégrées en cochant la case correspondante.

Tableau 8-1 Définitions disponibles par le biais de la fonctionnalité de McAfee DLP

Classifications Jeux de règles

Données Modèle avancé* Extension de fichier*

Dictionnaire*

Propriétés de documents

Extension de fichier*

Informations sur le fichier

Type de fichier vrai*

Contrôle des équipements classe d'équipement

Définitions d'équipement

Notification Justification

Notification utilisateur

Autre Planificateur

Source/Destination Modèle d'application

Adresse e-mail

Groupe d'utilisateurs finaux

Dossier local

Adresse réseau (adresse IP)

Port réseau

Utilisation des stratégiesUtilisation de plusieurs stratégies 8


Tableau 8-1 Définitions disponibles par le biais de la fonctionnalité de McAfee DLP (suite)

Classifications Jeux de règles

Imprimante réseau

Partage réseau

Nom du processus

Liste d'URL

Titre de fenêtre

*Indique que des définitions prédéfinies (intégrées) sont disponibles.

Modification d'une stratégie DLP La configuration d'une stratégie DLP est constituée de jeux de règles, d'affectations de stratégie et dedéfinitions.


1 Dans McAfee ePO, sélectionnez Menu | Gestionnaire de stratégies DLP. Créez au moins un jeu de règles àaffecter à la stratégie DLP.

Reportez-vous à la section Création d'un jeu de règles du présent manuel pour plus de détails.

2 Dans McAfee ePO, sélectionnez Menu | Catalogue de stratégies | Produit : Data Loss Prevention <version>. Ouvrezune configuration de stratégie DLP.

Sélectionnez une étiquette de stratégie DLP dans la colonne Catégorie, puis cliquez sur la colonneNom.

3 Sélectionnez l'onglet Jeux de règles actifs.

Si des jeux de règles ont été affectés à la stratégie, ils sont répertoriés sur la page.

4 Pour affecter de nouveaux jeux de règles à la stratégie, procédez comme suit :

a Sélectionnez Menu | Gestionnaire de stratégies DLP | Affectation de stratégie.

b Sélectionnez Actions | Affecter des jeux de règles à une stratégie.

Vous pouvez aussi affecter un jeu de règles à plusieurs stratégies dans le menu Actions.

c Dans la fenêtre de sélection, sélectionnez une stratégie dans la liste déroulante, puis choisissezles jeux de règles à lui affecter à l'aide des cases à cocher. Cliquez sur OK.

Les jeux de règles sélectionnés sont ajoutés à la stratégie.

5 Pour supprimer des jeux de règles de la stratégie, procédez comme suit :

a Sélectionnez Actions | Affecter des jeux de règles à une stratégie.

b Dans la fenêtre de sélection, désactivez les cases correspondant aux jeux de règles à supprimerde la stratégie. Cliquez sur OK.

Les jeux de règles sélectionnés sont supprimés de la stratégie.

6 Sélectionnez l'onglet Découverte Endpoint.

8 Utilisation des stratégiesModification d'une stratégie DLP


7 Sélectionnez Actions | Nouvelle analyse Endpoint, puis sélectionnez le type d'analyse à exécuter : E-maillocal ou Système de fichier local.

Une page de configuration d'analyse apparaît. La page vous permet de sélectionnez une définitionde planification, des règles à appliquer, ainsi que d'autres détails relatifs à l'analyse. Lorsque vous avezrenseigné tous les détails requis, cliquez sur Enregistrer.

8 Cliquez sur l'onglet Paramètres. Cette page vous permet de définir les options suivantes.

• Stratégie d'application par défaut et stratégie d'application de remplacement pour lesapplications sélectionnées.

• Valeurs de remplacement pour la classe d'équipement et types de filtre.

• Ajout de groupes d'utilisateurs ou d'utilisateurs privilégiés.

9 Lorsque vous avez terminé toutes les modifications, cliquez sur Appliquer la stratégie.

Les modifications sont appliquées à la base de données McAfee ePO.

Validation de stratégieLa page Validation de stratégie affiche les erreurs et fournit un raccourci pour corriger les problèmes.

McAfee DLP valide les stratégies avant de les appliquer à la base de données McAfee ePO. S'il existedes erreurs, l'application est bloquée et les erreurs sont répertoriées sur la page Catalogue destratégies | Stratégie DLP | Validation de stratégie, avec un indice de gravité. Un lien Modifier facilitela modification des règles pour corriger les erreurs.

Utilisation des stratégiesValidation de stratégie 8


8 Utilisation des stratégiesValidation de stratégie


9 Protection de contenu confidentiel

McAfee DLP protège le contenu confidentiel à l'aide d'une combinaison de stratégies McAfee DLPEndpoint et McAfee DLP Discover.McAfee ePO déploie les stratégies McAfee DLP sur les ordinateurs clients ou les serveurs dedécouverte. Le logiciel du serveur, l'appliance ou le logiciel client McAfee DLP Endpoint applique lesstratégies pour protéger le contenu confidentiel.

Sommaire Jeux de règles Règles Règles de protection des données Règles de contrôle des équipements Règles de découverte Listes blanches Personnalisation des messages aux utilisateurs finaux Réactions disponibles pour les types de règle Création et configuration de règles et de jeux de règles Scénarios d'utilisation pour les règles

Jeux de règlesLes jeux de règles définissent des stratégies McAfee DLP. Les jeux de règles peuvent contenir unecombinaison de règles de protection des données, de contrôle des équipements et de découverte.

La page Jeux de règles affiche la liste des jeux de règles définis et l'état de chacun d'entre eux. Lesdonnées affichées comprennent le nombre d'incidents journalisés pour chaque jeu de règles, lenombre de règles qui ont été définies et le nombre de règles qui ont été activées. Des icônes decouleur indiquent les types de règles activés. Lorsque vous passez la souris sur les icônes, uneinfo-bulle indiquant le type de la règle et le nombre de règles activées apparaît.

Figure 9-1 Page de jeux de règles indiquant les informations d'info-bulles

Dans le jeu de règles 1, six règles de protection des données, deux règles de découverte et une règlede contrôle des périphériques ont été définies. Seules trois des règles de protection des données sontactivées. L'info-bulle montre que deux d'entre elles sont des règles relatives au Presse-papiers. Latroisième, représentée par l'icône bleue sur le côté droit de la colonne, est une règle de protection del'accès aux fichiers d'application. Pour afficher les règles qui sont définies mais désactivées, ouvrez larègle à des fins de modification.

9


Voir aussi Protection des fichiers avec des règles de découverte, page 145Création d'une règle, page 128

RèglesLes règles définissent les mesures prises lors d'une tentative de transfert ou de transmission dedonnées confidentielles.Les jeux de règles peuvent contenir trois types de règles : protection des données, contrôle deséquipements et découverte. Une règle comporte trois parties, Condition, Exceptions et Réaction.Chaque partie est définie sur un onglet distinct dans la définition de la règle. Les règles peuvent êtreactivées ou désactivées, et se voient attribuer une gravité sélectionnée dans une liste déroulante.

ConditionLa condition définit ce qui déclenche la règle. Pour les règles de découverte et de protection desdonnées, la condition comprend toujours une classification et peut inclure d'autres conditions. Parexemple, une règle de protection de cloud contient des champs pour définir l'utilisateur final et leservice de cloud en plus de la classification. Pour les règles de contrôle des équipements, la conditionspécifie toujours l'utilisateur final et peut inclure d'autres conditions telles que la définition del'équipement. Les règles de contrôle des équipements ne comprennent pas de classification.

ExceptionsLes exceptions définissent les paramètres exclus de la règle. Par exemple, une règle de protection decloud peut permettre à des utilisateurs et classifications spécifiés de télécharger des données vers desservices de cloud spécifiés, tout en bloquant ces utilisateurs et classifications définis dans la section decondition de la règle. Les exceptions ont un paramètre distinct pour les activer ou les désactiver, vouspermettant ainsi d'activer ou de désactiver l'exception lorsque vous testez des règles. La créationd'une définition d'exception est facultative.

Les définitions d'exception pour les règles de découverte et de protection des données sont semblablesaux définitions de condition. Les paramètres disponibles pour l'exclusion sont un sous-ensemble desparamètres disponibles pour définir la condition.

Pour les règles de contrôle des équipements, l'exception est définie en sélectionnant les définitionsincluses dans la liste blanche dans une liste. Les définitions incluses dans la liste blanche disponiblesdépendent du type de règle d'équipement.

RéactionLa réaction définit ce qui se passe lorsque la règle se déclenche. Les actions disponibles varient enfonction du type de règle, mais la valeur par défaut pour toutes les règles est Aucune action. Lorsquecette option est sélectionnée avec l'option Signaler l'incident, vous pouvez surveiller la fréquence desviolations des règles. Cette procédure est utile pour définir la règle au niveau correct et détecter lesfuites de données sans créer de faux positifs.

La réaction définit aussi si la règle est appliquée à l'extérieur de l'entreprise et, pour certaines règles,lors de la connexion à l'entreprise par VPN.

Règles de protection des donnéesLes règles de protection des données surveillent et contrôlent les contenus et l'activité des utilisateurs.McAfee DLP Endpoint pour Windows prend en charge toutes les règles de protection des données.

9 Protection de contenu confidentielRègles


McAfee DLP Endpoint for Mac prend en charge les règles de protection de l'accès aux fichiers par desapplications, des partages réseau et des équipements de stockage amovibles.

Règles Protection de l'accès aux fichiers d'applicationLes règles de protection de l'accès aux fichiers surveillent les fichiers en fonction de l'application oudes applications qui les ont créés. Elles sont prises en charge sur les ordinateurs Microsoft Windows etOS X. Sur McAfee DLP Endpoint for Mac, seuls les navigateurs et les applications pris en charge sur OSX sont pris en charge.

Sélectionnez une définition d'application ou d'URL pour limiter la règle à des applications spécifiques.

Les définitions d'URL ne sont pas prises en charge sur McAfee DLP Endpoint for Mac

Les règles de protection de l'accès aux fichiers d'application communiquent avec McAfee®

DataExchange Layer (DXL) dans McAfee

®

Threat Intelligence Exchange (TIE). Vous pouvez utiliser lesinformations issues de TIE pour définir la règle en fonction de la réputation TIE. Lors de la sélectiond'une application, la liste déroulante permet de choisir une réputation TIE au lieu d'une URL denavigateur ou d'application.

Pour que vous puissiez utiliser la réputation TIE dans les règles, le client DXL doit être installé surl'ordinateur client

Utilisez des définitions de classification pour limiter la règle à des critères d'empreintes ou declassification de contenu spécifiques. Vous pouvez également limiter la règle aux utilisateurs locaux ouà des groupes d'utilisateurs spécifiés.

ActionsLes actions disponibles sont Bloquer, Notification utilisateur, Signaler l'incident et Stocker le fichier original. Lestockage de preuves est facultatif lors du signalement d'un incident. La sélection de Notificationutilisateur active la fenêtre pop-up de notification utilisateur sur l'ordinateur client. Différentes actionspeuvent être appliquées lorsque l'ordinateur est déconnecté du réseau de l'entreprise.

Lorsque le champ Classification est défini sur est n'importe quelle donnée (TOUS), l'action Bloquer n'est pasautorisée. La tentative d'enregistrement de la règle avec ces conditions génère un avertissement.

Configuration clientLes processus inclus dans la liste blanche et des extensions spécifiques peuvent être ajoutés à laconfiguration du client sur la page Protection de l'accès aux fichiers d'application.

Voir aussi Cas d'utilisation : empêcher de graver des informations confidentielles sur le disque,page 136

Règles de protection du cloudDe nouvelles règles de protection du cloud gèrent les fichiers chargés sur les applications du cloud.Elles sont prises en charge sur McAfee DLP Endpoint pour Windows uniquement.

Les applications du cloud sont de plus en plus utilisées pour sauvegarder et partager des fichiers. Laplupart des applications du cloud créent un dossier spécial sur le lecteur de disque qui se synchroniseavec le serveur du cloud. McAfee DLP Endpoint intercepte la création de fichiers dans le dossierd'application du cloud, analyse les fichiers et applique les stratégies pertinentes. Si la stratégie permetde synchroniser le fichier au dossier d'application du cloud et que le fichier est modifié ultérieurement,il est analysé une nouvelle fois et la stratégie est réappliquée. Si le fichier modifié enfreint unestratégie, il ne peut pas être synchronisé avec le cloud.

Protection de contenu confidentielRègles de protection des données 9


La Règle de protection du cloud de McAfee DLP Endpoint prend en charge :

• Box • OneDrive (personnel)

• Dropbox • OneDrive Entreprise (groove.exe)

• Google Drive • Syncplicity

• iCloud

Pour améliorer la vitesse d'analyse, vous pouvez spécifier les sous-dossiers de niveau supérieur inclusdans la règle ou exclus de celle-ci.

Utilisez des définitions de classification pour limiter la règle à des critères d'empreintes ou declassification de contenu spécifiques. Vous pouvez également limiter la règle aux utilisateurs locaux ouà des groupes d'utilisateurs spécifiés, et par le nom du sous-dossier de niveau supérieur.

Actions

Les actions disponibles sont Bloquer, Demander une justification, Appliquer une stratégie de gestion des droits etChiffrer. La notification utilisateur peut être spécifiée et les rapports d'incident, avec ou sans stockage dufichier d'origine, sont disponibles. Différentes actions peuvent être appliquées lorsque l'ordinateur estdéconnecté du réseau d'entreprise.

Configuration client

Pour prendre en charge la règle de protection du cloud, les gestionnaires de protection du cloud sontsélectionnés dans le catalogue des stratégies sur la page Configuration client | Mode de fonctionnement et modules. Legestionnaire et toutes les applications prises en charge sont sélectionnés par défaut. Vous pouvezdésélectionner des applications individuelles pour un contrôle plus granulaire.

Règles de protection de la messagerieLes règles de protection de la messagerie surveillent ou bloquent les e-mails envoyés à des adressesou à des utilisateurs spécifiques. Elles sont prises en charge sur McAfee DLP Endpoint pour Windows.

Les règles de protection de la messagerie peuvent bloquer les e-mails envoyés à des destinatairesspécifiés. Le champ Enveloppe d'e-mail peut spécifier que l'e-mail est protégé par des autorisations RMS,le chiffrement PGP, la signature numérique, ou le chiffrement S/MIME. Cette option est généralementutilisée pour définir des exceptions.

Utilisez des définitions de classification pour limiter la règle à des critères d'empreintes ou declassification de contenu spécifiques. Les classifications peuvent définir l'e-mail entier, ou simplementl'objet, le corps ou les pièces jointes. Vous pouvez également limiter la règle aux utilisateurs locaux ouà des groupes d'utilisateurs spécifiés.

Actions

Les actions McAfee DLP Endpoint disponibles sont Bloquer, Demander une justification, Notification utilisateur,Signaler l'incident et Stocker l'e-mail original. Le stockage de preuves est facultatif lorsque vous signalez unincident. La sélection de la notification utilisateur active la fenêtre pop-up de notification utilisateur surl'ordinateur client. Différentes actions peuvent être appliquées lorsque l'ordinateur est déconnecté duréseau d'entreprise.

9 Protection de contenu confidentielRègles de protection des données



Si vous utilisez Lotus Notes, activez le plug-in Lotus Notes sur la page Mode de fonctionnement et modules. Sivous utilisez Microsoft Outlook, activez les compléments requis.

Dans les systèmes où Microsoft Exchange et Lotus Notes sont disponibles, les règles de messagerie nefonctionnent pas si le nom du serveur de courrier sortant (SMTP) n'est pas configuré pour les deux.

Pour utiliser les compléments tiers de Microsoft Outlook (Boldon James ou Titus), sélectionnez lecomplément sur la page Protection de la messagerie. Le complément Outlook McAfee DLP se définitlui-même en mode de contournement si le complément tiers suivant est installé et actif. D'autresparamètres de la page Protection de la messagerie contrôlent la stratégie de délai d'expiration, la mise encache, l'API et la notification utilisateur.

Meilleure pratique : pour améliorer les performances, désactivez les gestionnaires inutilisés.

Règles de protection des communications réseauLes règles de protection des communications réseau surveillent ou bloquent les données entrantes ousortantes sur votre réseau. Elles sont prises en charge sur McAfee DLP Endpoint pour Windowsuniquement.

Les règles de protection des communications réseau contrôlent le trafic réseau en fonction des ports(facultatifs) et des adresses réseau (obligatoires) spécifiés. Vous pouvez également spécifier lesconnexions entrantes ou sortantes, ou les deux. Vous pouvez ajouter une définition d'adresse réseauet une définition de port, mais les définitions peuvent contenir plusieurs adresses ou ports.

Utilisez des définitions de classification pour limiter la règle à des critères d'empreintes de contenuspécifiques. Vous pouvez également limiter la règle aux utilisateurs locaux ou à des groupesd'utilisateurs spécifiés, et en spécifiant l'application qui crée la connexion.

Les règles de protection des communications réseau ne vérifient pas les critères de classification decontenu. Utilisez les critères d'empreintes de contenu lorsque vous définissez des classifications utiliséesavec des règles de protection des communications réseau.

Actions

Voici des actions de la règle de protection des communications réseau : Bloquer, Signaler l'incident et Avertirl'utilisateur. La sélection de Notification utilisateur active la fenêtre pop-up de notification utilisateur surl'ordinateur client. Différentes actions peuvent être appliquées lorsque l'ordinateur est déconnecté duréseau de l'entreprise, ou lorsque l'ordinateur est connecté au réseau de l'entreprise par VPN.


Le pilote de communication réseau est activé (par défaut) sur la page Mode de fonctionnement et modules.

Règles de protection du partage réseauLes règles de protection du partage réseau contrôlent le contenu confidentiel stocké sur des partagesréseau. Elles sont prises en charge sur les ordinateurs Microsoft Windows et OS X.

Les règles de protection du partage réseau peuvent s'appliquer à tous les partages réseau ou à despartages spécifiés. Une définition du partage peut être incluse dans la règle, et la définition peutcontenir plusieurs partages. Une classification incluse (obligatoire) définit le contenu confidentielprotégé.



Utilisez des définitions de classification pour limiter la règle à des critères d'empreintes ou declassification de contenu spécifiques. Vous pouvez également limiter la règle aux utilisateurs locaux ouà des groupes d'utilisateurs spécifiés, par partages réseau spécifiques ou par l'application qui copie lefichier.

Actions

Les actions des règles de protection du partage réseau comprennent Chiffrer, Demander une justification,Signaler l'incident, Stocker le fichier original et Avertir l'utilisateur.

L'action Chiffrer n'est pas prise en charge sur McAfee DLP Endpoint for Mac.

Le stockage de preuves est facultatif lorsque vous signalez un incident. La sélection de la notificationutilisateur active la fenêtre pop-up de notification utilisateur sur l'ordinateur client. Différentes actionspeuvent être appliquées lorsque l'ordinateur est déconnecté du réseau d'entreprise. Les options dechiffrement sont McAfee

®

File and Removable Media Protection (FRP) et le logiciel de chiffrementStormShield Data Security.

Règles de protection de l'imprimanteLes règles de protection contre l'impression surveillent les fichiers ou empêchent leur impression. Ellessont prises en charge sur McAfee DLP Endpoint pour Windows uniquement.

Utilisez des classifications pour limiter la règle. Vous pouvez également limiter la règle en spécifiantdes utilisateurs, des imprimantes ou des applications qui impriment le fichier. La définition del'imprimante peut spécifier des imprimantes locales, des imprimantes réseau, des imprimantes réseaunommées ou des imprimantes d'images.

Les imprimantes d'images, qui avaient une règle distincte dans les versions antérieures, sontmaintenant incluses dans la règle de l'imprimante générale.

Actions

Voici des actions de la règle de protection contre l'impression : Bloquer, Demander une justification, Avertirl'utilisateur, Signaler l'incident et Stocker le fichier original. Le stockage de preuves est facultatif lors dusignalement d'un incident. La sélection de Notification utilisateur active la fenêtre pop-up denotification utilisateur sur l'ordinateur client. Différentes actions peuvent être appliquées lorsquel'ordinateur est déconnecté du réseau de l'entreprise, ou lorsque l'ordinateur est connecté au réseaude l'entreprise par VPN.


Les processus inclus dans la liste blanche sont répertoriés sur la page Protection contre l'impression. Lesrègles de protection contre l'impression ignorent les fichiers imprimés à partir des processus inclusdans la liste blanche.

Les compléments d'application d'imprimante, sélectionnés dans la page Mode de fonctionnement et modules,peuvent améliorer les performances des imprimantes lors de l'utilisation de certaines applicationscourantes. Ces compléments sont installés uniquement dans le cas où une règle de protection contrel'impression est activée sur l'ordinateur managé.

Règles de protection des périphériques de stockage amoviblesLes règles de protection des périphériques de stockage amovibles surveillent ou bloquent l'écriture dedonnées sur des équipements de stockage amovibles. Elles sont prises en charge sur McAfee DLP



Endpoint pour Windows et McAfee DLP Endpoint for Mac. Sur McAfee DLP Endpoint for Mac, lespériphériques CD et DVD ne sont pas pris en charge.

Les règles de protection des périphériques de stockage amovibles peuvent contrôler des CD et DVD,des équipements de stockage amovibles ou les deux. Limitez la règle avec des critères de classificationet d'empreintes de contenu dans les classifications (obligatoire). Vous pouvez aussi définir la règleavec des utilisateurs, des applications ou des URL web spécifiés.

Les règles de protection des périphériques de stockage amovibles pour McAfee DLP Endpoint for Macpermettent uniquement de contrôler les équipements de stockage amovibles. Elles ne prennent pas encharge les périphériques CD/DVD.

Utilisez des classifications pour limiter la règle. Vous pouvez aussi limiter la règle en spécifiant desutilisateurs ou des applications qui copient le fichier.

Actions

Voici des actions de la règle de protection des périphériques de stockage amovibles : Bloquer, Demanderune justification, Chiffrer, Avertir l'utilisateur, Signaler l'incident et Stocker le fichier original. Le stockage de preuves estfacultatif lors du signalement d'un incident. La sélection de Notification utilisateur active la fenêtrepop-up de notification utilisateur sur l'ordinateur client. Différentes actions peuvent être appliquéeslorsque l'ordinateur est déconnecté du réseau de l'entreprise.

Le chiffrement n'est pas pris en charge sur McAfee DLP Endpoint for Mac.


Définissez le mode de suppression sur la page Protection des périphériques de stockage amovibles. Le modenormal supprime le fichier. Le mode agressif fait en sorte que le fichier supprimé soit irrécupérable.

Sur la page Mode de fonctionnement et modules, activez les options avancées. Les options sont les suivantes :

• Protéger les supports de disques TrueCrypt

• Gestionnaire d'équipements portables

• Protection de copie de fichiers avancée

Gestionnaire d'équipements portables

Le protocole MTP (Media Transfer Protocol) est utilisé pour transférer des fichiers et les métadonnéesassociées à partir d'ordinateurs vers des équipements mobiles, tels que des smartphones. Leséquipements MTP ne sont pas des équipements amovibles traditionnels, car l'équipement met enœuvre le système de fichiers, pas l'ordinateur auquel il est connecté. Lorsque le client est configurépour les équipements MTP, la règle de protection des périphériques de stockage amovibles lui permetd'intercepter les transferts MTP et d'appliquer des stratégies de sécurité. Seules les connexions USBsont actuellement prises en charge.

Le gestionnaire fonctionne avec tous les transferts de données effectués par l'Explorateur Windows. Ilne fonctionne pas avec les équipements iOS, qui utilisent iTunes pour gérer les transferts de données.Pour les équipements iOS, vous pouvez utiliser une règle pour équipements de stockage amoviblespour configurer les équipements en lecture seule.

Protection des équipements TrueCrypt avec des règles de protection des périphériques destockage amovibles



Les équipements de chiffrement virtuel TrueCrypt peuvent être protégés par des règles d'équipementTrueCrypt ou des règles de protection de stockage amovible. La protection TrueCrypt n'est pas priseen charge sur McAfee DLP Endpoint for Mac.

• Une règle de périphériques vous permet de bloquer ou de surveiller un volume TrueCrypt ou de lefaire passer en lecture seule.

• Pour protéger le contenu de volumes TrueCrypt, utilisez une règle de protection.

Les signatures sont perdues lorsque le contenu des empreintes est copié sur des volumes TrueCrypt, carles volumes TrueCrypt ne prennent pas en charge les attributs de fichier étendus. Pour identifier lecontenu, utilisez des définitions de propriétés de document, de chiffrement de fichiers ou de groupes detypes de fichier dans la définition de classification.

Protection contre la copie de fichiers avancée

La protection contre la copie de fichiers avancée intercepte les opérations de copie deWindows Explorer et permet au client McAfee DLP Endpoint d'inspecter le fichier à la source avant dele copier sur l'équipement amovible. Elle est activée par défaut, et ne doit être désactivée que pourrésoudre les problèmes.

Il existe des cas d'utilisation où la protection de copie avancée ne s'applique pas. Par exemple, unfichier ouvert par une application et enregistré sur un équipement amovible avec Enregistrer sous revient àla protection de copie normale. Le fichier est copié sur l'équipement, puis inspecté. Si du contenuconfidentiel est détecté, le fichier est immédiatement supprimé.

Règles de protection contre les captures d'écranLes règles de protection contre la capture d'écran contrôlent les données copiées et collées depuis unécran. Elles sont prises en charge sur McAfee DLP Endpoint pour Windows uniquement.

Utilisez des définitions de classification pour limiter la règle à des critères d'empreintes de contenuspécifiques. Vous pouvez également limiter la règle aux utilisateurs locaux ou à des groupesd'utilisateurs spécifiés, ou par les applications visibles à l'écran.

Les règles de protection contre la capture d'écran ne vérifient pas les critères de classification decontenu. Utilisez des critères d'empreintes de contenu lorsque vous définissez des classificationsutilisées avec des règles de capture d'écran.

Actions

Voici des actions de la règle de protection contre les captures d'écran : Bloquer, Avertir l'utilisateur, Signalerl'incident et Stocker le fichier original. Le stockage de preuves est facultatif lors du signalement d'un incident.La sélection de Notification utilisateur active la fenêtre pop-up de notification utilisateur surl'ordinateur client. Différentes actions peuvent être appliquées lorsque l'ordinateur est déconnecté duréseau de l'entreprise.


Les applications protégées par les règles de protection contre les captures d'écran sont répertoriéessur la page Protection contre les captures d'écran. La liste est pré-remplie avec les applications de captured'écran courantes, et vous pouvez ajouter, modifier ou supprimer des applications.

Pour activer le service de capture d'écran, accédez à la page Mode de fonctionnement et modules. Vouspouvez activer le gestionnaire d'applications et le gestionnaire de la touche Impression écranséparément. Par défaut, les deux sont activés. La désactivation du gestionnaire d'applications ou duservice de capture d'écran désactive toutes les applications figurant sur la page Protection contre lescaptures d'écran.



Règles de protection de la publication webLes règles de protection de la publication web surveillent ou bloquent la publication des données surdes sites web, y compris les sites de messagerie. Elles sont prises en charge sur McAfee DLP Endpointpour Windows.

Pour définir les règles de protection de la publication web, ajoutez des adresses web à la règle.

Utilisez des définitions de classification pour limiter la règle à des critères d'empreintes ou declassification de contenu spécifiques. Vous pouvez également limiter la règle aux utilisateurs locaux ouà des groupes d'utilisateurs spécifiés.

Actions

Voici des actions de la règle de protection contre l'impression : Bloquer, Demander une justification, Avertirl'utilisateur, Signaler l'incident et Stocker le fichier original. Le stockage de preuves est facultatif lors dusignalement d'un incident. La sélection de Notification utilisateur active la fenêtre pop-up denotification utilisateur sur l'ordinateur client. Différentes actions peuvent être appliquées lorsquel'ordinateur est déconnecté du réseau de l'entreprise.


Activez les navigateurs pour la protection web sur la page Mode de fonctionnement et modules. MicrosoftInternet Explorer, Microsoft Edge, Mozilla Firefox et Google Chrome sont pris en charge.

La page Protection de la publication web contient les options pour les autres paramètres depublication web.

Tableau 9-1 Définition des options

Option Définition

Evaluation de la protection web Paramètres permettant de sélectionner les entrées pour l'évaluation desdemandes web. Utilisé si les requêtes HTTP/S ont pu être envoyées parAJAX à une URL différente de celle affichée dans la barre d'adresse.

Traiter les demandes HTTPGET

Activez ou désactivez le traitement des demandes HTTP GET. Les demandesGET sont désactivées par défaut, car elles consomment beaucoup deressources. Utilisez cette option avec prudence.

Versions de Chrome prises encharge

Cette liste est nécessaire en raison de la fréquence des mises à jour deChrome. Pour la remplir, vous devez télécharger une liste à jour à partir dusupport technique McAfee et utiliser Parcourir pour installer le fichier XML.

Stratégie de délai d'expirationweb

Définit un délai minimal pour l'analyse des publications web, ainsi quel'action à appliquer si le délai est écoulé. Les options sont Bloquer ouAutoriser. Vous pouvez également sélectionner Notification utilisateur.

URL incluses dans la listeblanche

Fournit la liste des URL exclues des règles de protection de la publicationweb.



Règles de contrôle des équipementsLes règles de contrôle des équipements définissent les mesures prises lorsque des équipementsparticuliers sont utilisés.

Les règles de contrôle des équipements peuvent surveiller ou bloquer des équipements connectés àdes ordinateurs managés par l'entreprise. McAfee DLP Endpoint pour Windows prend en charge lestypes de règles suivants :

• Stockage amovible

• Plug-and-Play

• Disque dur fixe

• Citrix XenApp

• TrueCrypt

• Accès aux fichiers des équipements de stockage amovibles

McAfee DLP Endpoint for Mac prend en charge les types de règles suivants :

• Stockage amovible

• Plug-and-Play (équipements USB uniquement)

Les règles de contrôle des équipements sont décrites en détail dans la section Protection des supportsamovibles.

Voir aussi Protection des supports amovibles, page 4

Règles de découverteMcAfee DLP Endpoint et McAfee DLP Discover utilisent des règles de découverte pour analyser lesfichiers et les répertoires.

Tableau 9-2 Descriptions des vecteurs de données

Produit Règle de découverte

McAfee DLP Endpoint E-mail local (OST, PST)

Système de fichiers local

McAfee DLP Discover Protection Box

Protection des serveurs de fichiers (CIFS)

Protection de SharePoint

Listes blanchesLes listes blanches sont des collections d'éléments que le système doit ignorer.

Vous pouvez inclure dans la liste blanche du contenu, des équipements, des processus et des groupesd'utilisateurs.

9 Protection de contenu confidentielRègles de contrôle des équipements


Listes blanches dans les règles de protection des données

Vous pouvez spécifier les processus inclus dans la liste blanche pour les règles de protection del'impression et du Presse-papiers dans la configuration du client Windows Catalogue de stratégies surles pages respectives. Vous pouvez spécifier les URL incluses dans la liste blanche sur la pageProtection web. Etant donné que ces listes blanches sont appliquées au niveau du client, ellesfonctionnent avec toutes les règles de protection du Presse-papiers, de l'impression et de lapublication web. Les règles de protection du Presse-papiers et de l'impression ignorent le contenuproduit par les processus inclus dans la liste blanche. Les règles de protection de la publication web nesont pas appliquées sur les URL incluses dans la liste blanche.

Vous pouvez spécifier les processus inclus dans la liste blanche pour l'extraction de texte sur la pageSuivi du contenu. Selon la définition, l'extracteur de texte n'analyse pas les fichiers ou les empreintesde contenu ouverts par l'application spécifiée, ou ne crée pas d'empreintes dynamiques pour letéléchargement web. La définition peut indiquer des dossiers et des extensions spécifiques, ce quipermet un contrôle granulaire des éléments inclus dans la liste blanche. Si aucun dossier n'estnommé, le processus n'est pas surveillé par les règles d'accès aux fichiers de l'application.

Listes blanches dans les règles d'équipement

Vous pouvez créer des définitions Plug-and-Play incluses dans la liste blanche dans les définitionsd'équipement du gestionnaire de stratégies DLP.

Certains équipements Plug-and-Play ne gèrent pas correctement les équipements. Si vous tentez deles gérer, le système risque de ne plus répondre ou d'autres problèmes peuvent survenir. Leséquipements Plug-and-Play inclus dans la liste blanche sont automatiquement exclus lorsqu'unestratégie est appliquée.

Les définitions Plug-and-Play incluses dans la liste blanche ne sont pas applicables sur les systèmesd'exploitation OS X.

L'onglet Exceptions dans les règles de contrôle des équipements est défini par listes blanchesspécifiques à la règle qui les contient. Les listes blanches excluent les définitions spécifiées de la règle.

• Utilisateurs : utilisée dans toutes les règles d'équipement

• Définitions d'équipement : utilisée dans toutes les règles d'équipement, sauf Citrix et TrueCrypt

• Processus : utilisée dans les règles Plug-and-Play et de stockage amovible

• Paires Numéro de série - Utilisateur : utilisée dans les règles Plug-and-Play et de stockageamovible

• Noms de fichiers : utilisée dans les règles d'accès aux fichiers de stockage amovible pourexempter des fichiers tels que les applications antivirus

Protection de contenu confidentielListes blanches 9


Personnalisation des messages aux utilisateurs finauxDeux types de messages sont utilisés pour communiquer avec les utilisateurs finaux : les notificationset les messages de justification de l'utilisateur.

Les définitions de justification et de notification permettent de spécifier des paramètres régionaux(langues) et d'ajouter des espaces réservés qui seront remplacés par leur valeur réelle. Lorsque desparamètres régionaux sont définis, les messages et les boutons d'option (pour les justificationsmétier) apparaissent dans la langue par défaut de l'ordinateur client. Les paramètres régionauxsuivants sont pris en charge :

• Anglais (US) • Japonais

• Anglais (UK) • Coréen

• Français • Russe

• Allemand • Chinois (simplifié)

• Espagnol • Chinois (traditionnel)

Anglais (US) est le paramètre régional standard par défaut, mais n'importe quel paramètre régionalpris en charge peut être défini comme la valeur par défaut dans la définition. Le paramètre régionalpar défaut est utilisé lorsque d'autres paramètres régionaux définis ne sont pas disponibles commelangue par défaut de l'ordinateur client.

Notification utilisateur

Les notifications utilisateur sont des messages pop-up qui informent l'utilisateur d'une violation destratégie.

Lorsque plusieurs événements sont déclenchés par une règle, le message pop-up indique De nouveauxévénements DLP se trouvent dans la console DLP au lieu d'afficher plusieurs messages.

Les messages de notification utilisateur sont définis dans Gestionnaire de stratégies DLP | Définitions |Notifications.

Justification métier

Une justification métier est une forme de contournement de stratégie. Lorsque l'option Demander unejustification est définie comme mesure préventive dans une règle, l'utilisateur peut entrer la justificationpour continuer sans être bloqué.

Les messages de justification métier sont définis dans Gestionnaire de stratégies DLP | Définitions | Justification.

Espaces réservés

Les espaces réservés permettent d'intégrer un texte variable dans des messages, en fonction del'événement ayant déclenché l'envoi du message à l'utilisateur final. Les espaces réservés disponiblessont les suivants :

• %c pour les classifications

• %r pour le nom du jeu de règles

• %v pour le vecteur (protection de la messagerie, protection Web, etc.)

• %a pour l'action

• %s pour la valeur de chaîne (nom du fichier, nom de l'équipement, etc.)

9 Protection de contenu confidentielPersonnalisation des messages aux utilisateurs finaux


Voir aussi Création d'une définition de justification, page 131Création d'une définition de notification, page 132

Réactions disponibles pour les types de règleLes réactions disponibles pour une règle varient selon le type de règle.

• Les règles de protection des données sont disponibles pour McAfee DLP Endpoint.

• Les règles de contrôle des équipements sont disponibles pour McAfee DLP Endpoint et DeviceControl.

• Certaines règles de découverte sont disponibles pour McAfee DLP Endpoint et d'autres pour McAfeeDLP Discover.

Tableau 9-3 Réactions disponibles

Réaction Règles concernées : Résultat

Aucune action Tout Autorise l'action.

Bloquer • Protection des données

• Contrôle des équipements

Bloque l'action.

Copier Découverte Copie le fichier à l'emplacement UNC spécifié.

Chiffrer • Protection des données

• Découverte

Non prise en charge surMcAfee DLP Endpoint forMac.

Chiffre le fichier. Les options de chiffrement sont FRPou le logiciel de chiffrement StormShield DataSecurity.

Déplacer Découverte Déplace le fichier à l'emplacement UNC spécifié.Permet la création d'un fichier d'espaces réservés(facultatif) pour avertir l'utilisateur que le fichier a étédéplacé.

Lecture seule Contrôle des équipements Force l'accès en lecture seule.

Demander unejustification

Protection des données Ouvre une fenêtre pop-up sur l'ordinateur del'utilisateur final. Celui-ci sélectionne une justification(et saisit des informations, si l'option est définie) ouune action facultative.

Appliquer unestratégie de gestiondes droits

• Protection des données

• Découverte

Non prise en charge surMcAfee DLP Endpoint forMac.

Applique une stratégie de gestion des droits au fichier.

Quarantaine Découverte Met le fichier en quarantaine.

Marqueur Découverte Marque le fichier.

Afficher le fichierdans la console DLPEndpoint

Découverte Affiche les éléments Nom de fichier et Chemin d'accès dansla console Endpoint. Nom de fichier est un lienpermettant d'ouvrir le fichier, sauf s'il est mis enquarantaine. Chemin d'accès permet d'ouvrir le dossiercontenant le fichier.

Protection de contenu confidentielRéactions disponibles pour les types de règle 9


Tableau 9-3 Réactions disponibles (suite)

Réaction Règles concernées : Résultat

Notification utilisateur • Protection des données

• Découverte

Envoie un message à l'ordinateur client pour informerl'utilisateur de la violation de stratégie.

Lorsque l'option Notification utilisateur est sélectionnéeet que plusieurs événements sont déclenchés, lemessage pop-up indique « De nouveauxévénements DLP se trouvent dans la console DLP »,au lieu d'afficher plusieurs messages.

Signaler l'incident Tout Génère une entrée d'incident pour la violation dans leGestionnaire d'incidents DLP.

Stocker le fichieroriginal


• Découverte

Enregistre le fichier pour l'afficher dans le gestionnaired'incidents.

Requiert un dossier de preuves défini et l'activationdu service de copie de preuve.

Stocker l'e-maild'origine commepreuve


Non pris en charge surMcAfee DLP Endpoint forMac.

Stocke le message d'origine dans le partage depreuve. S'applique aux règles de protection de lamessagerie McAfee DLP Endpoint uniquement.

Tableau 9-4 Actions des règles de protection des données

Type de règle

Réactions

Aucuneaction

Ajouterunen-tête

Bloquer Chiffrer Demander unejustification

Appliquer unestratégie degestion desdroits

Protection de l'accèsaux fichiersd'application

X X

Protection duPresse-papiers X X

Protection du cloud X X X * X X

Protection de lamessagerie X X X X

Protection descommunicationsréseau

X X

Protection dupartage réseau X X X

Protection contrel'impression X X X

Protection deséquipements destockage amovibles

X X X X

9 Protection de contenu confidentielRéactions disponibles pour les types de règle


Tableau 9-4 Actions des règles de protection des données (suite)

Type de règle

Réactions

Aucuneaction

Ajouterunen-tête

Bloquer Chiffrer Demander unejustification


Protection contre lescaptures d'écran X X

Protection de lapublication web X X X

Le chiffrement n'est pas pris en charge sur McAfee DLP Endpoint for Mac

* Le chiffrement pour les règles de protection du cloud est pris en charge sur Box, Dropbox,GoogleDrive et OneDrive - Personnel. Si vous tentez de télécharger des fichiers chiffrés vers d'autresapplications cloud, ils ne peuvent pas être enregistrés.

Tableau 9-5 Réactions des règles de contrôle des équipements

RèglesRéactions

Aucune action Bloquer Lecture seule

Equipement Citrix XenApp X

Disque dur fixe X X X

Equipement Plug-and-Play X X

Equipements de stockage amovibles X X X

Accès aux fichiers des équipements de stockageamovibles X X

périphérique TrueCrypt X X X

Tableau 9-6 Réactions des règles de découverte McAfee DLP Endpoint

Règles

Réactions

Aucuneaction Chiffrer


Mettre enquarantaine Marqueur

Afficher lefichier dans laconsoleMcAfee DLPEndpoint

Système defichiersEndpoint

X X X X X X

Protectiondu stockagedes e-mailsEndpoint

X X X X

Protection de contenu confidentielRéactions disponibles pour les types de règle 9


Création et configuration de règles et de jeux de règlesCréez et configurez des règles pour vos stratégies McAfee DLP Endpoint, Device Control et McAfee DLPDiscover.

Procédures• Création d'un jeu de règles, page 128

Les jeux de règles combinent la protection multi-équipements, la protection des données etles règles d'analyse de découverte.

• Création d'une règle, page 128Le processus de création d'une règle est identique pour tous les types de règles.

• Affectation de jeux de règles à des stratégies, page 129Avant d'être affectés à des ordinateurs clients, les jeux de règles sont affectés à desstratégies et les stratégies sont appliquées à la base de données McAfee ePO.

• Activation, désactivation ou suppression de règles, page 130Vous pouvez supprimer ou modifier l'état de plusieurs règles simultanément.

• Importation et exportation des règles et des classifications, page 130Vous pouvez exporter des règles et des classifications à partir d'un serveur McAfee ePO etles importer sur un autre serveur McAfee ePO.

• Configuration de colonnes de règles ou de jeux de règles, page 131Vous pouvez déplacer, ajouter ou supprimer des colonnes de règles ou de jeux de règles.

• Création d'une définition de justification, page 131Pour McAfee DLP Endpoint, les définitions de justification métier définissent les paramètresdes actions préventives relatives aux justifications dans les règles.

• Création d'une définition de notification, page 132Avec McAfee DLP Endpoint, les notifications utilisateur apparaissent dans des fenêtrespop-up ou sur la console des utilisateurs finaux lorsque leurs actions enfreignent desstratégies.

Création d'un jeu de règlesLes jeux de règles combinent la protection multi-équipements, la protection des données et les règlesd'analyse de découverte.



2 Cliquez sur l'onglet Jeux de règles.

3 Sélectionnez Actions | Nouveau jeu de règles

4 Entrez le nom et éventuellement une remarque, puis cliquez sur OK.

Création d'une règleLe processus de création d'une règle est identique pour tous les types de règles.

9 Protection de contenu confidentielCréation et configuration de règles et de jeux de règles





3 Cliquez sur le nom d'un jeu de règles et si nécessaire, sélectionnez l'onglet approprié pour la règlede protection des données, de contrôle des équipements ou de découverte.

4 Sélectionnez Actions | Nouvelle règle, puis sélectionnez le type de règle.

5 Dans l'onglet Condition, saisissez les informations.

• Pour certaines conditions, telles que les classifications ou les définitions d'équipement, cliquezsur ... pour sélectionner un élément existant ou créer un élément.

• Pour ajouter des critères, cliquez sur +.

• Pour supprimer des critères, cliquez sur –.

6 (Facultatif) Pour ajouter des exceptions à la règle, cliquez sur l'onglet Exceptions.

a Sélectionnez Actions | Ajouter une exception à la règle.

Les règles d'équipement n'affichent pas de bouton Actions. Pour ajouter des exceptions auxrègles d'équipement, sélectionnez une entrée dans la liste affichée.

b Renseignez les champs selon les besoins.

7 Sous l'onglet Réaction, configurez les options Mesure préventive, Notification utilisateur et Signaler l'incident.

Les règles peuvent avoir différentes actions, selon que l'ordinateur client se trouve ou non dans leréseau de l'entreprise. Certaines règles peuvent également avoir une action différente lorsquel'ordinateur est connecté au réseau de l'entreprise par VPN.

8 Cliquez sur Enregistrer pour enregistrer la règle ou sur Fermer pour quitter sans sauvegarder.

Voir aussi Jeux de règles, page 113

Affectation de jeux de règles à des stratégiesAvant d'être affectés à des ordinateurs clients, les jeux de règles sont affectés à des stratégies et lesstratégies sont appliquées à la base de données McAfee ePO.

Avant de commencerSur la page Gestionnaire de stratégies DLP | Jeux de règles, créez un ou plusieurs jeux de règles etajoutez-leur les règles requises.

Protection de contenu confidentielCréation et configuration de règles et de jeux de règles 9



1 Sur la page Gestionnaire de stratégies DLP | Affectation de stratégie, effectuez l'une des actions suivantes :

• Sélectionnez Actions | Affecter un jeu de règles à des stratégies. Dans la fenêtre d'affectation, sélectionnezun jeu de règles dans la liste déroulante et sélectionnez les stratégies à lui affecter. Cliquez surOK.

• Sélectionnez Actions | Affecter des jeux de règles à une stratégie. Dans la fenêtre d'affectation,sélectionnez une stratégie dans la liste déroulante, puis choisissez les jeux de règles à luiaffecter. Cliquez sur OK.

Si vous désélectionnez un jeu de règles ou une stratégie précédemment sélectionné, le jeu de règlesest supprimé de la stratégie.

2 Sélectionnez Actions | Appliquer les stratégies sélectionnées. Dans la fenêtre d'affectation, sélectionnez lesstratégies à appliquer à la base de données McAfee ePO. Cliquez sur OK.

Seules les stratégies n'ayant pas encore été appliquées à la base de données apparaissent dans lafenêtre de sélection. Si vous modifiez une affectation de jeu de règles ou une règle dans un jeu derègles affecté, la stratégie apparaît et la stratégie révisée est appliquée à la place de la stratégieprécédente.

Activation, désactivation ou suppression de règlesVous pouvez supprimer ou modifier l'état de plusieurs règles simultanément.




3 Cliquez sur le nom d'un jeu de règles et si nécessaire, cliquez sur l'onglet approprié pour la règlede protection des données, de contrôle des équipements ou de découverte.

4 Sélectionnez une ou plusieurs règles.

5 Mettez à jour ou supprimez les règles sélectionnées.

• Pour activer les règles, sélectionnez Actions | Changer l'état | Activer.

• Pour désactiver les règles, sélectionnez Actions | Changer l'état | Désactiver.

• Pour supprimer les règles, sélectionnez Actions | Supprimer.

Importation et exportation des règles et des classificationsVous pouvez exporter des règles et des classifications à partir d'un serveur McAfee ePO et les importersur un autre serveur McAfee ePO.

Procédure1 Dans McAfee ePO, sélectionnez Protection des données | Paramètres DLP.

2 Cliquez sur Sauvegarde sur fichier et enregistrez le fichier dans un emplacement comme une clé USB ouun dossier partagé.



3 Sur un autre serveur McAfee ePO, sélectionnez Protection des données | paramètres DLP .

4 Cliquez sur Restaurer depuis le fichier et sélectionnez le fichier enregistré précédemment.

Configuration de colonnes de règles ou de jeux de règlesVous pouvez déplacer, ajouter ou supprimer des colonnes de règles ou de jeux de règles.




3 Accédez à la page Sélectionner les colonnes à afficher.• Jeux de règles : sélectionnez Actions | Choisir les colonnes.

• Règles : sélectionnez un jeu de règles, puis sélectionnez Actions | Choisir les colonnes.

4 Modifiez les colonnes.

• Dans le volet Colonnes disponibles, cliquez sur les articles pour ajouter des colonnes.

• Dans le volet Colonnes sélectionnées, cliquez sur les flèches ou sur x pour déplacer ou supprimer descolonnes.

• Cliquez sur Utiliser les valeurs par défaut pour restaurer la configuration par défaut des colonnes.


Création d'une définition de justificationPour McAfee DLP Endpoint, les définitions de justification métier définissent les paramètres des actionspréventives relatives aux justifications dans les règles.



2 Cliquez sur l'onglet Définitions, puis sélectionnez Notification | Justification.



5 Pour créer des définitions de justification dans plusieurs langues, sélectionnez Actions des paramètresrégionaux | Nouveaux paramètres régionaux. Pour chaque langue requise, sélectionnez un environnementlocal dans la liste déroulante.

Les paramètres régionaux sélectionnés sont ajoutés à la liste.

Protection de contenu confidentielCréation et configuration de règles et de jeux de règles 9


6 Pour chaque langue, procédez comme suit :

a Dans le volet gauche, sélectionnez les paramètres régionaux à modifier. Saisissez du texte dansles zones de texte et cochez les cases selon vos besoins.

L'option Afficher les chaînes correspondantes fournit un lien dans la fenêtre pop-up afin d'afficher lecontenu avec le surlignage de correspondances. L'option Plus d'infos fournit un lien vers undocument ou une page intranet contenant des informations complémentaires.

Lorsque vous entrez une définition de paramètres régionaux, les cases à cocher et les actions nesont pas disponibles. Vous pouvez uniquement définir les intitulés des boutons, une présentationet un titre. Dans la section Options de justification, vous pouvez remplacer les définitions par défautpar la version correspondant aux paramètres régionaux en utilisant la fonctionnalité Modifier dansla colonne Actions.

b Entrez une présentation de la justification et éventuellement le titre de la boîte de dialogue.

La présentation est une instruction générale pour l'utilisateur, par exemple : Cette actionnécessite une justification métier. Le nombre maximal de caractères autorisé est de 500.

c Saisissez du texte pour les intitulés de bouton et sélectionnez les actions associées. Cochez lacase Masquer le bouton pour créer une définition à deux boutons.

Les actions des boutons doivent correspondre aux actions préventives disponibles pour le typede règle qui utilise la définition. Par exemple, les règles de protection du partage réseau nedisposent que des mesures préventives Aucune action, Chiffrer ou Demander une justification. Si vousattribuez l'action Bloquer à l'un des boutons et que vous essayez d'utiliser la définition avec unerègle de protection du partage réseau, un message d'erreur apparaît.

d Saisissez du texte dans la zone de texte et cliquez sur Ajouter pour l'ajouter à la liste des optionsde justification. Cochez la case Afficher les options de justification pour permettre à l'utilisateur final deconsulter la liste.

Vous pouvez utiliser des espaces réservés pour personnaliser le texte, en indiquant ce qui adéclenché l'ouverture de la fenêtre pop-up.

7 Lorsque tous les paramètres régionaux sont définis, cliquez sur Enregistrer.

Voir aussi Personnalisation des messages aux utilisateurs finaux, page 124

Création d'une définition de notificationAvec McAfee DLP Endpoint, les notifications utilisateur apparaissent dans des fenêtres pop-up ou sur laconsole des utilisateurs finaux lorsque leurs actions enfreignent des stratégies.



2 Cliquez sur l'onglet Définitions, puis sélectionnez Notification | Notification utilisateur.





5 Pour créer des définitions de notification utilisateur dans plusieurs langues, sélectionnez Actions desparamètres régionaux | Nouveaux paramètres régionaux. Sélectionnez tous les paramètres régionaux requisdans la liste déroulante.

Les paramètres régionaux sélectionnés sont ajoutés à la liste.

6 Pour chaque langue, procédez comme suit :

a Dans le volet gauche, sélectionnez les paramètres régionaux à modifier.

Vous pouvez définir n'importe quel paramètre régional comme valeur par défaut en cochant lacase Paramètres régionaux par défaut.

b Saisissez un message dans la zone de texte.

Vous pouvez utiliser des espaces réservés pour personnaliser le texte, en indiquant ce qui adéclenché l'ouverture de la fenêtre pop-up.

c (Facultatif) Cochez la case Afficher le lien pour plus d'informations et entrez une URL pour fournir desinformations plus détaillées.

Disponible uniquement avec les paramètres régionaux par défaut.

7 Lorsque tous les paramètres régionaux sont définis, cliquez sur Enregistrer.

Voir aussi Personnalisation des messages aux utilisateurs finaux, page 124

Scénarios d'utilisation pour les règlesLes scénarios d'utilisation suivants fournissent des exemples d'utilisation des règles de protection desdonnées et des équipements.

Protection de contenu confidentielScénarios d'utilisation pour les règles 9


Procédures• Scénario d'utilisation : règle pour équipements de stockage amovibles avec processus

inclus dans la liste blanche, page 134Vous pouvez inclure des noms de fichiers dans la liste blanche comme une exception à unerègle de blocage de stockage amovible.

• Scénario d'utilisation : configurer un équipement amovible en lecture seule, page 135Les règles de protection des équipements de stockage amovibles, à la différence des règlesd'équipement Plug-and-Play, ont une option de lecture seule.

• Cas d'utilisation : bloquer et recharger un iPhone avec une règle d'équipement Plug-and-Play, page 136Il est possible de bloquer l'utilisation des iPhones d'Apple en tant qu'équipements destockage tout en permettant leur chargement à partir de l'ordinateur.

• Cas d'utilisation : empêcher de graver des informations confidentielles sur le disque,page 136Les règles de protection de l'accès aux fichiers d'application peuvent être utilisées pourbloquer l'utilisation de graveurs de CD et de DVD pour la copie d'informationsconfidentielles.

• Scénario d'utilisation - Bloquer les messages sortants qui comportent du contenuconfidentiel, sauf s'ils sont envoyés à un domaine spécifié, page 138Les messages sortants sont bloqués s'ils contiennent le mot Confidentiel, sauf si ledestinataire est exempté de la règle.

• Scénario d'utilisation - Autoriser un groupe d'utilisateurs donné à envoyer des informationsbancaires, page 139Autorisez les membres du groupe d'utilisateurs des ressources humaines à envoyer desmessages qui contiennent des informations bancaires en obtenant des informations à partird'Active Directory.

• Scénario d'utilisation : classification des pièces jointes dans la catégorie PARTAGE-REQUISen fonction de leur destination, page 141Créez des classifications qui autorisent l'envoi des pièces jointes PARTAGE-REQUIS auxemployés situés aux Etats-Unis, en Allemagne et en Israël.

Scénario d'utilisation : règle pour équipements de stockageamovibles avec processus inclus dans la liste blancheVous pouvez inclure des noms de fichiers dans la liste blanche comme une exception à une règle deblocage de stockage amovible.

Les règles pour équipements de stockage amovibles sont utilisées pour bloquer des applications et lesempêcher d'agir sur l'équipement amovible. Les noms de fichiers inclus dans la liste blanche sontdéfinis comme des processus qui ne sont pas bloqués. Dans cet exemple, nous bloquons deséquipements de stockage amovibles Sandisk, mais nous autorisons un logiciel antivirus à analyserl'équipement pour supprimer les fichiers infectés.

Cette fonctionnalité est uniquement prise en charge pour les ordinateurs Windows.

9 Protection de contenu confidentielScénarios d'utilisation pour les règles




2 Sous l'onglet Définitions, localisez la définition d'équipement intégrée pour Tous les équipements de stockageamovibles Sandisk (Windows) et cliquez sur Dupliquer.

La définition utilise l'ID de fournisseur Sandisk 0781.

Meilleure pratique : dupliquez les définitions intégrées pour personnaliser une définition. Parexemple, vous pouvez ajouter d'autres ID de fournisseur à la définition Sandisk dupliquée pourajouter d'autres marques d'équipements amovibles.

3 Sous l'onglet Jeux de règles, sélectionnez ou créez un jeu de règles.

4 Sous l'onglet du jeu de règles Contrôle des équipements, sélectionnez Actions | Nouvelle règle | Règle pouréquipements de stockage amovibles.

5 Saisissez un nom pour la règle et sélectionnez Etat | Activé.

6 Sous l'onglet Conditions, sélectionnez un utilisateur final ou laissez la valeur par défaut (est n'importe quelutilisateur). Dans le champ Stockage amovible, sélectionnez la définition d'équipement créée à l'étape 2.

7 Sous l'onglet Exceptions, sélectionnez Noms de fichiers inclus dans la liste blanche.

8 Dans le champ Nom du fichier, ajoutez la définition McAfee AV intégrée.

Comme avec la définition d'équipement de stockage amovible, vous pouvez dupliquer cettedéfinition et la personnaliser.

9 Sous l'onglet Réaction, sélectionnez Mesure préventive | Bloquer. Vous pouvez éventuellement ajouter unenotification utilisateur et sélectionner l'option signaler l'incident.

10 Cliquez sur Enregistrer, puis sur Fermer.

Scénario d'utilisation : configurer un équipement amovible enlecture seuleLes règles de protection des équipements de stockage amovibles, à la différence des règlesd'équipement Plug-and-Play, ont une option de lecture seule.

En configurant des équipements amovibles en lecture seule, vous pouvez autoriser des utilisateurs àutiliser leurs appareils personnels en tant que lecteurs MP3, tout en empêchant leur utilisation en tantqu'équipements de stockage.



2 Sous l'onglet Définitions, à la page Définitions d'équipement, créez une définition d'équipement destockage amovible.

Les définitions d'équipement de stockage amovible doivent être classées en tant que définitionsWindows ou Mac. Commencez par dupliquer l'une des définitions intégrées pour Windows ou Mac etpersonnalisez-la. Le type de bus peut inclure USB, Bluetooth et tout autre type de bus que vous pensezutiliser. Identifiez les équipements des ID de fournisseur ou des noms d'équipement.



3 Sous l'onglet Jeux de règles, sélectionnez ou créez un jeu de règles.

4 Sous l'onglet Contrôle des équipements, sélectionnez Actions | Nouvelle règle | Règle pour équipements de stockageamovibles.

5 Entrez le nom de la règle et sélectionnez Etat | Activé. Dans la section Conditions, dans le champStockage amovible, sélectionnez la définition d'équipements que vous avez créée à l'étape 2.

6 Sous l'onglet Réaction, sélectionnez Mesure préventive | Lecture seule. Vous pouvez éventuellement ajouterune notification utilisateur et sélectionner l'option signaler l'incident.


Cas d'utilisation : bloquer et recharger un iPhone avec unerègle d'équipement Plug-and-PlayIl est possible de bloquer l'utilisation des iPhones d'Apple en tant qu'équipements de stockage tout enpermettant leur chargement à partir de l'ordinateur.

Ce cas d'utilisation crée une règle qui bloque un utilisateur en l'empêchant d'utiliser l'iPhone commeéquipement de stockage de masse. Une règle de protection des équipements Plug-and-Play est utiliséecar elle permet de recharger les iPhones, indépendamment de la façon dont la règle est spécifiée.Cette fonctionnalité n'est pas prise en charge pour d'autres smartphones ou d'autres équipementsmobiles d'Apple. Elle n'empêche pas un iPhone d'être rechargé depuis l'ordinateur.

Pour définir une règle d'équipement Plug-and-Play pour des équipements spécifiques, vous créez unedéfinition d'équipement avec les codes d'identification du fournisseur et du produit (VID/PID). Vouspouvez trouver ces informations dans le gestionnaire de périphériques de Windows lorsque l'équipement estbranché. Comme cet exemple ne nécessite qu'un VID, vous pouvez utiliser la définition d'équipementintégrée dans Tous les équipements Apple au lieu de rechercher les informations.



2 Sous l'onglet Jeux de règles, sélectionnez un jeu de règles (ou créez-en un). Cliquez sur l'ongletContrôle des équipements et créez une règle d'équipement Plug-and-Play. Utilisez la définitiond'équipement intégrée Tous les équipements Apple comme définition incluse (fait partie de (OU)).

3 Sous l'onglet Réaction, définissez la mesure préventive sur Bloquer.


Cas d'utilisation : empêcher de graver des informationsconfidentielles sur le disqueLes règles de protection de l'accès aux fichiers d'application peuvent être utilisées pour bloquerl'utilisation de graveurs de CD et de DVD pour la copie d'informations confidentielles.

Avant de commencerCréez une classification pour identifier le contenu confidentiel. Utilisez des paramètrespertinents pour votre environnement : mots clés, modèles de texte, information sur lefichier, et ainsi de suite.





2 Sous l'onglet Jeux de règles, sélectionnez un jeu de règle actuel ou sélectionnez Actions | Nouveau jeu derègles et définissez un jeu de règles.

3 Sous l'onglet Protection des données, sélectionnez Actions | Nouvelle règle | Protection de l'accès aux fichiersd'application.

4 (Facultatif) Entrez un nom dans le champ Nom de la règle (obligatoire). Sélectionnez les options pourles champs Etat et Gravité.

5 Sous l'onglet Condition, dans le champ Classification, sélectionnez la classification que vous avez crééepour votre contenu confidentiel.

6 Dans le champ Utilisateur final, sélectionnez les groupes d'utilisateurs (facultatif).

L'ajout d'utilisateurs ou de groupes à la règle limite la règle à des utilisateurs spécifiques.

7 Dans le champ Applications, sélectionnez Media Burner Application [intégré] dans la liste des définitionsd'applications disponibles.

Vous pouvez créer votre propre définition de graveur multimédia en modifiant la définition intégrée.La modification d'une définition intégrée crée automatiquement une copie de la définition originale.

8 (Facultatif) Sous l'onglet Exceptions, créez des exceptions à la règle.

Les définitions d'exceptions peuvent inclure n'importe quel champ qui se trouve dans une définitionde condition. Vous pouvez définir plusieurs exceptions à utiliser dans différentes situations. Parexemple, vous pouvez définir des « utilisateurs privilégiés » auxquels la règle ne s'appliquera pas.

9 Sous l'onglet Réaction, définissez Mesure préventive sur Bloquer. Sélectionnez une notification utilisateur(facultatif). Cliquez sur Enregistrer, puis sur Fermer.

D'autres options permettent de modifier les rapports d'incident et la mesure préventive par défautlorsque l'ordinateur est déconnecté du réseau.

10 Sous l'onglet Affectation de stratégie, affectez le jeu de règles une ou plusieurs stratégies :

a Sélectionnez Actions | Affecter un jeu de règles à des stratégies.

b Sélectionnez le jeu de règles de votre choix dans la liste déroulante.

c Sélectionnez la ou les stratégies auxquelles l'affecter.

11 Sélectionnez Actions | Appliquer les stratégies sélectionnées. Sélectionnez les stratégies à appliquer à labase de données McAfee ePO, puis cliquez sur OK.



Scénario d'utilisation - Bloquer les messages sortants quicomportent du contenu confidentiel, sauf s'ils sont envoyés àun domaine spécifiéLes messages sortants sont bloqués s'ils contiennent le mot Confidentiel, sauf si le destinataire estexempté de la règle.

Suivez les étapes générales suivantes :

• Créer une définition d'adresse e-mail.

• Créer un jeu de règles et une règle qui s'applique aux messages qui contiennent le motConfidentiel.

• Spécifier les destinataires qui sont exemptés de la règle.

• Spécifier la réaction aux messages qui contiennent Confidentiel.

Tableau 9-7 Comportement attendu

Contenu del'e-mail

Destinataire Résultat attendu

Corps : Confidentiel [email protected] Le message est bloqué car il contient lemot « Confidentiel ».

Corps : Confidentiel [email protected] Le message n'est pas bloqué, car lesparamètres d'exception indiquent que lesdocuments confidentiels peuvent êtreenvoyés à exemple.com

Corps :Pièce jointe :Confidentiel

[email protected][email protected]

Le message est bloqué. L'action de blocagedéfinie pour externe.com a la priorité laplus élevée.


1 Créez une définition d'adresse e-mail pour un domaine exempté de la règle.

a Dans la section Protection de données de McAfee ePO, sélectionnez Gestionnaire de stratégies DLP etcliquez sur Définitions.

b Sélectionnez la définition Adresse e-mail et créez une copie de Domaine e-mail de mon entreprise (intégré).

c Sélectionnez la définition d'adresse e-mail que vous avez créée et cliquez sur Modifier.

d Dans Opérateur, sélectionnez Le nom de domaine est et définissez la valeur sur exemple.com.


2 Créez un jeu de règles avec une règle de protection de la messagerie.

a Cliquez sur Jeux de règles, puis sélectionnez Actions | Nouveau jeu de règles.

b Nommez le jeu de règles Blocage Confidentiel dans les e-mails.

c Cliquez sur Actions | Nouvelle règle | Règle de protection de la messagerie.

d Nommez la nouvelle règle Blocage Confidentiel et activez-la.

e Appliquez la règle sur DLP Endpoint pour Windows.



f Créez une copie de la classification intégrée Confidentiel.

Une copie modifiable de la classification s'affiche.

g Sélectionnez la classification que vous avez créée et ajoutez-la à la règle.

h Définissez le destinataire sur n'importe quel destinataire (TOUS).

Gardez les valeurs par défaut pour les autres paramètres de l'onglet Condition.

3 Ajoutez des exceptions à la règle.

a Cliquez sur Exceptions, puis sélectionnez Actions | Ajouter une exception à la règle.

b Attribuez un nom à l'exception et activez-la.

c Définissez la classification sur Confidentiel.

d Définissez l'option Destinataire sur au moins un destinataire appartient à tous les groupes (ET), puissélectionnez la définition d'adresse e-mail que vous avez créée.

4 Configurez la réaction aux messages qui contiennent le mot Confidentiel.

a Cliquez sur Réaction.

b Dans DLP Endpoint, configurez l'action sur Bloquer pour les ordinateurs connectés ou non au réseaude l'entreprise.

5 Enregistrez et appliquez la stratégie.

Scénario d'utilisation - Autoriser un groupe d'utilisateurs donnéà envoyer des informations bancairesAutorisez les membres du groupe d'utilisateurs des ressources humaines à envoyer des messages quicontiennent des informations bancaires en obtenant des informations à partir d'Active Directory.

Avant de commencerEnregistrez un serveur Active Directory sur McAfee ePO. Pour plus d'informations, consultezle Guide produit McAfee ePolicy Orchestrator.

Suivez ces étapes générales pour :

1 Créer une classification pour les informations bancaires personnelles.

2 Créer un jeu de règles et une qui règle utilise cette nouvelle classification.

3 Exempter le groupe d'utilisateurs des ressources humaines de l'application de la règle.

4 Bloquer les messages qui contiennent des informations bancaires personnelles.

5 Appliquer la stratégie.

Meilleure pratique : pour faire en sorte que vos règles détectent les incidents de fuite de donnéespotentiels avec le moins de faux-positifs possible, créez vos règles à l'aide du paramètre Aucune action.Contrôlez le Gestionnaire d'incidents DLP jusqu'à ce que vous estimiez que la règle détecte les incidents defaçon satisfaisante, puis définissez le paramètre Action sur Bloquer.




1 Dans le menu McAfee ePO, sélectionnez Classification et créez un double de la classification PCI.

2 Créez le jeu de règles et ses exceptions.

a Ouvrez le Gestionnaire de stratégies DLP.

b Dans Jeux de règles, créez un jeu de règles appelé Blocage PCI.

c Ouvrez le jeu de règles que vous avez créé, sélectionnez Action | Nouvelle règle | Protection de lamessagerie et attribuez un nom à la règle.

d Dans Appliquer sur, sélectionnez DLP Endpoint pour Windows.

e Dans Classification de, sélectionnez la classification que vous avez créée.

f Laissez les valeurs par défaut pour les paramètres Utilisateur final, Enveloppe d'e-mail et Destinataire.

3 Spécifiez le groupe d'utilisateurs que vous souhaitez exclure de la règle.

a Sélectionnez Exceptions, cliquez sur Actions | Ajouter une exception à la règle et nommez l'exceptionException groupe RH.

b Définissez la valeur Etat sur Activé.

c Dans Classification de, sélectionnez contient n'importe quelle donnée (TOUS).

d Dans Expéditeur sélectionnez appartient à l'un des groupes (OU)

e Sélectionnez Nouvel élément et créez un groupe d'utilisateurs finaux appelé RH.

f Cliquez sur Ajouter des groupes, sélectionnez le groupe et cliquez sur OK.

4 Définissez l'action à appliquer si la règle se déclenche.

a Sélectionnez le groupe que vous avez créé et cliquez sur OK.

b Sélectionnez l'onglet Réaction.

c Dans la section DLP Endpoint, définissez Action sur Bloquer.

d Sélectionnez Signaler l'incident.

e Enregistrez la règle, puis cliquez sur Fermer.

5 Appliquez la règle.

a Dans le Gestionnaire de stratégies DLP, sélectionnez Affectation de stratégie.

Modifications en attente indique Oui.

b Sélectionnez Actions | Affecter des jeux de règles à une stratégie.

c Sélectionnez le jeu de règles que vous avez créé.

d Sélectionnez Actions | Appliquer les stratégies sélectionnées.

e Cliquez sur Appliquer la stratégie.

Modifications en attente indique Non.



Scénario d'utilisation : classification des pièces jointes dans lacatégorie PARTAGE-REQUIS en fonction de leur destinationCréez des classifications qui autorisent l'envoi des pièces jointes PARTAGE-REQUIS aux employéssitués aux Etats-Unis, en Allemagne et en Israël.

Suivez les étapes générales suivantes :

• Création de définitions d'adresse e-mail.

• Création d'un jeu de règles et d'une règle qui classe les pièces jointes dans la catégoriePARTAGE-REQUIS.

• Configuration d'exceptions à la règle.

Les exemples de classification fournis dans le tableau indiquent le comportement des classificationsavec différents déclencheurs et destinataires.

Tableau 9-8 Comportement attendu

Classification Destinataire Résultat attendu

PJ1 : PARTAGE-REQUIS, Israël(.il) et Etats-Unis (.us)PJ2 : PARTAGE-REQUIS, Israël(.il) et Allemagne (.de)

[email protected] Autoriser : exemple1.com estautorisé à recevoir toutes lespièces jointesPARTAGE-REQUIS


[email protected] Autoriser : exemple2.com estautorisé à recevoir toutes lespièces jointesPARTAGE-REQUIS


[email protected]@exemple1.com

Autoriser : exemple1.com etexemple2.com sont autorisésà recevoir les deux piècesjointes


[email protected] Autoriser : gov.il est autorisépour les deux pièces jointes


[email protected] Bloquer : exempleutilisateur4n'est pas autorisé à recevoirla deuxième pièce jointe


[email protected]@gov.us

Bloquer : exempleutilisateur4n'est pas autorisé à recevoirla deuxième pièce jointe


[email protected]@gov.us

Bloquer : exempleutilisateur4n'est pas autorisé à recevoirla deuxième pièce jointe



Tableau 9-8 Comportement attendu (suite)

Classification Destinataire Résultat attendu



Autoriser :exempleutilisateur1 etexempleutilisateur3 sontautorisées à recevoir les deuxpièces jointes



[email protected]

Bloquer : exempleutilisateur4ne peut pas recevoir ladeuxième pièce jointe


1 Créez une définition d'adresse e-mail pour les domaines exemptés de la règle.

a Dans la section Protection de données de McAfee ePO, sélectionnez Gestionnaire de stratégies DLP etcliquez sur Définitions.

b Sélectionnez la définition Adresse e-mail et créez une copie de Domaine e-mail de mon entreprise (intégré).

c Sélectionnez la définition d'adresse e-mail que vous avez créée et cliquez sur Modifier.

d Dans Opérateur, sélectionnez Le nom de domaine est et définissez la valeur sur exemple1.com.

e Créez des entrées pour exemple2.com, .il et .us.

f Cliquez sur Enregistrer.

g Répétez ces étapes pour créer une définition pour gov.il.

h Répétez les étapes à nouveau pour créer une définition pour gov.us.

2 Créez un jeu de règles comprenant une règle de protection de la messagerie.

a Cliquez sur Jeux de règles, puis sélectionnez Actions | Nouveau jeu de règles.

b Nommez le jeu de règles Autoriser les e-mails PARTAGE-REQUIS vers Israël et lesEtats-Unis.

3 Créez une règle et ajouter le critère de classification PARTAGE-REQUIS.

a Cliquez sur Actions | Nouvelle règle | Règle de protection de la messagerie.

b Nommez la règle PARTAGE-REQUIS, activez-la et appliquez-la sur DLP Endpoint pour Windows.

c Ajoutez un critère de classification appelé PARTAGE-REQUIS.

d Définissez Classification de sur l'une des pièces jointes (*).

e Sélectionnez contient l'un de (OU) et le critère de classification PARTAGE-REQUIS.

f Définissez le destinataire sur n'importe quel destinataire (TOUS).

g Gardez les valeurs par défaut pour les autres paramètres de l'onglet Condition.



4 Ajoutez des exceptions à la règle et activez chaque exception.

• Exception 1

1 Définissez Classification de sur pièce jointe correspondante.

2 Sélectionnez contient l'un de (OU) et le critère de classification PARTAGE-REQUIS.

3 Définissez Destinataire sur le destinataire correspondant appartient à l'un des groupes (OU), puis sélectionnezles définitions exemple1.com et exemple2.com.

• Exception 2


2 Sélectionnez contient tous les (ET) et les critères de classification PARTAGE-REQUIS et .il.

3 Définissez Destinataire sur le destinataire correspondant appartient à l'un des groupes (OU), puis sélectionnezgov.il.

• Exception 3


2 Sélectionnez contient tous les (ET) et les critères de classification PARTAGE-REQUIS et .us.

3 Définissez Destinataire sur le destinataire correspondant appartient à l'un des groupes (OU), puis sélectionnezgov.us.

5 Dans DLP Endpoint, définissez Action sur Bloquer.


7 Appliquez la stratégie.



10 Analyse de données avec la découverteMcAfee DLP Endpoint

La fonction de découverte est un robot qui s'exécute sur les ordinateurs client. Il effectue desrecherches dans les fichiers du stockage des e-mails et du système de fichiers local, et applique desrègles pour protéger le contenu confidentiel.

Sommaire Protection des fichiers avec des règles de découverte Comment l'analyse de découverte fonctionne-t-elle ? Recherche de contenu avec le robot de découverte de terminaux

Protection des fichiers avec des règles de découverteLes règles de découverte définissent le contenu que McAfee DLP recherche lors de l'analyse desréférentiels et déterminent les mesures à prendre lorsque du contenu correspondant est détecté.

Selon le type de règle, les fichiers correspondant à une analyse peuvent être copiés, déplacés,chiffrés, mis en quarantaine, marqués ou faire l'objet d'une stratégie de gestion des droits. Toutes lesconditions de règle de découverte comportent une classification.

Lorsque vous utilisez des règles de découverte du stockage des e-mails avec l'action de préventionMettre en quarantaine, vérifiez que le complément pour Outlook est activé (Catalogue de stratégies |Data Loss Prevention 9.4 | Configuration client | Mode de fonctionnement et modules). Vous ne pouvezpas libérer d'e-mails de la quarantaine lorsque le complément pour Outlook est désactivé.

Tableau 10-1 Règles de découverte disponibles

Type de règle Produit Contrôle les fichiers découverts par...

Système de fichiers local McAfee DLP Endpoint Les analyses du système de fichiers local.

E-mail local (OST, PST) McAfee DLP Endpoint Les analyses des systèmes de stockage des e-mails.

Analyses lancées par l'utilisateur final

Quand ces analyses sont activées dans la configuration de l'analyse du système de fichiers local pourles stratégies DLP, les utilisateurs finaux peuvent les exécuter et afficher des actions d'auto-correction.Chaque analyse doit être programmée et est lancée en fonction de cette programmation, quel'utilisateur décide ou non d'exécuter une analyse. Toutefois, lorsque l'option d'interaction del'utilisateur est activée, les utilisateurs finaux peuvent également exécuter des analyses quand ils lesouhaitent. Si l'option d'auto-correction est également sélectionnée, les utilisateurs finaux peuventégalement effectuer des actions de correction.

10


Comment l'analyse de découverte fonctionne-t-elle ?Les analyses de découverte Endpoint permettent de localiser le système de fichiers local ou les fichiersde stockage des e-mails contenant des données confidentielles, et de les marquer ou de les mettre enquarantaine.

La fonction de découverte de McAfee DLP Endpoint est un robot qui s'exécute sur les ordinateursclients. Lorsqu'il détecte du contenu prédéfini, il peut surveiller, mettre en quarantaine, marquer ouchiffrer les fichiers comportant ce contenu, ou encore leur appliquer une stratégie de gestion desdroits. La découverte Endpoint peut analyser les fichiers d'ordinateur ou les fichiers de stockage dese-mails (PST, PST mappé et OST). Les fichiers de stockage des e-mails sont mis en cache pour chaqueutilisateur.

Pour utiliser la découverte Endpoint, vous devez activer les modules de découverte sur la pageCatalogue de stratégies | Configuration client | Mode de fonctionnement et modules.

A la fin de chaque analyse de découverte, le client McAfee DLP Endpoint envoie un événement desynthèse de découverte à la console Gestionnaire d'incidents DLP dans McAfee ePO pour consigner lesdétails de l'analyse. L'événement comporte un fichier de preuve qui répertorie les fichiers qui n'ont paspu être analysés. La raison pour laquelle ils n'ont pas pu être analysés est indiquée pour chaquefichier. Il existe aussi un fichier de preuve indiquant les fichiers correspondant à la classification et àl'action effectuée.

Dans McAfee DLP Endpoint 9.4.0, l'événement de synthèse était un événement opérationnel. Pourmettre à jour les anciens événements de synthèse dans le Gestionnaire d'incidents DLP, utilisez la tâcheserveur McAfee ePO Migrer des événements d'incident DLP de 9.4 vers 9.4.1.

Quand effectuer les recherches ?

Pour planifier des analyses de découverte, accédez à la page Catalogue de stratégies | Stratégie DLP |Découverte Endpoint. Vous pouvez lancer une analyse à une heure précise chaque jour ou uniquementles jours de la semaine ou du mois que vous aurez spécifiés. Vous pouvez préciser les dates de départet d'arrêt, ou exécuter une analyse lorsque la configuration McAfee DLP Endpoint est mise en œuvre.Vous pouvez suspendre une analyse lorsque le processeur ou la mémoire RAM de l'ordinateurdépassent une limite définie.

Si vous modifiez la stratégie de découverte lorsqu'une analyse Endpoint est en cours, les règles et lesparamètres de planification seront modifiés immédiatement. Les modifications liées à l'activation ou àla désactivation de paramètres seront appliquées au cours de la prochaine analyse. Si vousredémarrez l'ordinateur lorsqu'une analyse est en cours, l'analyse reprend à l'endroit où elle a étéinterrompue.

Quel type de contenu peut être détecté ?

Vous définissez des règles de découverte avec une classification. Les propriétés de fichier ouconditions de données pouvant être ajoutées aux critères de classification peuvent être utilisées pourdécouvrir du contenu.

Qu'advient-il des fichiers détectés qui présentent du contenu confidentiel ?

Vous pouvez mettre des fichiers d'e-mails en quarantaine ou les marquer. Vous pouvez chiffrer, mettreen quarantaine et marquer des fichiers du système de fichiers local, ou encore leur appliquer unestratégie de gestion des droits. Vous pouvez stocker des preuves pour les deux types de fichier.

10 Analyse de données avec la découverte McAfee DLP EndpointComment l'analyse de découverte fonctionne-t-elle ?


Recherche de contenu avec le robot de découverte determinaux

Quatre étapes sont nécessaires à l'exécution du robot de découverte.

1 Créez et définissez des classifications pour identifier le contenu confidentiel.

2 Créez et définissez une règle de découverte. La classification est comprise dans la définition de larègle de découverte.

3 Créez une définition de planification.

4 Configurez les paramètres d'analyse. La définition d'analyse inclut la planification parmi sesparamètres.

Procédures• Création et définition d'une règle de découverte, page 147

Les règles de découverte définissent le contenu recherché par le robot et déterminent lesactions à effectuer lorsque ce contenu a été trouvé.

• Création d'une définition de planificateur, page 148Le planificateur permet de déterminer la période et la fréquence d'exécution d'une analysede découverte.

• Configuration d'une analyse, page 148Les analyses de découverte analysent le système de fichiers local ou les boîtes aux lettres,à la recherche de contenu confidentiel.

• Scénario d'utilisation : restauration des fichiers ou des e-mails mis en quarantaine,page 149Lorsque la découverte McAfee DLP Endpoint trouve du contenu confidentiel, elle déplace lesfichiers ou les e-mails concernés dans un dossier de quarantaine et les remplace par unespace réservé qui indique aux utilisateurs que leurs fichiers ou e-mails ont été mis enquarantaine. Les fichiers et les e-mails mis en quarantaine sont également chiffrés afind'empêcher toute utilisation non autorisée.

Création et définition d'une règle de découverteLes règles de découverte définissent le contenu recherché par le robot et déterminent les actions àeffectuer lorsque ce contenu a été trouvé.

Les modifications affectant une règle de découverte sont appliquées lorsque la stratégie est déployée.Une nouvelle règle prend effet immédiatement, même lorsqu'une analyse est en cours.

Pour les analyses de stockage des e-mails (PST, PST mappé et OST), le robot analyse les e-mails(corps et pièces jointes), les éléments du calendrier et les tâches. Il n'analyse pas les dossiers publicsou les notes récurrentes.



2 Sur la page Jeux de règles, sélectionnez Actions | Nouveau jeu de règles. Entrez un nom, puis cliquez surOK.

Vous pouvez également ajouter des règles de découverte à un jeu de règles existant.

Analyse de données avec la découverte McAfee DLP EndpointRecherche de contenu avec le robot de découverte de terminaux 10


3 Sous l'onglet Découverte, sélectionnez Actions | Nouvelle règle de découverte Endpoint puis sélectionnez E-maillocal ou Système de fichiers local.

La page correspondante s'affiche.

4 Saisissez le nom de la règle et sélectionnez une classification.

5 Cliquez sur Réaction. Sélectionnez une mesure préventive dans la liste déroulante.

6 (Facultatif) Sélectionnez les options Signaler l'incident, définissez Etat sur Activé et choisissez unedésignation dans la liste déroulante Gravité.


Création d'une définition de planificateurLe planificateur permet de déterminer la période et la fréquence d'exécution d'une analyse dedécouverte.

Cinq types de planification sont fournis :

• Exécuter immédiatement • Hebdomadaire

• Une fois • Mensuelle

• Tous les jours




3 Dans le volet gauche, cliquez sur Planificateur.

Si McAfee DLP Discover et McAfee DLP Endpoint sont installés, la liste des calendriers existantscomprend les calendriers des deux logiciels.


La page Nouveau planificateur s'affiche.

5 Entrez un nom unique et sélectionnez le type de planification dans la liste déroulante.

Lorsque vous sélectionnez le type de planification, l'affichage change et fournit les champsnécessaires pour ce type particulier.

6 Définissez les options requises, puis cliquez sur Enregistrer.

Configuration d'une analyseLes analyses de découverte analysent le système de fichiers local ou les boîtes aux lettres, à larecherche de contenu confidentiel.

Avant de commencerVérifiez que les jeux de règles à appliquer aux analyses ont été appliqués à la stratégieDLP. Ces informations s'affichent dans l'onglet Stratégie DLP | Jeux de règles.

Les modifications apportées aux paramètres de découverte prennent effet lors de l'analyse suivante.Elles ne s'appliquent pas aux analyses en cours.

10 Analyse de données avec la découverte McAfee DLP EndpointRecherche de contenu avec le robot de découverte de terminaux



1 Dans McAfee ePO, sélectionnez Menu | Stratégie | Catalogue de stratégies.

2 Sélectionnez Produit | Data Loss Prevention 10, puis sélectionnez la stratégie DLP active.

3 Sous l'onglet Découverte Endpoint, sélectionnez Actions | Nouvelle analyse Endpoint, puis sélectionnez E-maillocal ou Système de fichiers local.

4 Attribuez un nom à l'analyse, puis sélectionnez une planification dans la liste déroulante.

5 Facultatif : modifiez les valeurs par défaut pour Gestion des incidents et Traitement des erreurs. Définissez lavaleur Etat sur Activé.

Le traitement des erreurs est effectué lorsque le texte ne peut pas être extrait.

6 (Facultatif) Pour les analyses du système de fichiers local, sélectionnez la case à cocher dans lechamp Interaction de l'utilisateur pour autoriser l'utilisateur à exécuter les analyses activées avant leurlancement programmé. Vous pouvez également autoriser les utilisateurs à exécuter des actions decorrection à partir de la console client McAfee DLP Endpoint.

7 Sous l'onglet Dossiers, effectuez l'une des actions suivantes :

• Pour analyser un système de fichiers, sélectionnez Actions | Sélectionner les dossiers. Sélectionnezune définition de dossier existante ou cliquez sur Nouvel élément pour en créer une. Définissezl'option Inclure ou Exclure pour le dossier.

• Pour analyser les e-mails, sélectionnez les types de fichier (OST, PST) et les boîtes aux lettres àanalyser.

8 (Facultatif) Sous l'onglet Filtres (analyses de système de fichiers uniquement) sélectionnez Actions |Sélectionner les filtres. Sélectionnez une définition d'informations de fichier ou cliquez sur Nouvel élémentpour en créer une. Définissez l'option Inclure ou Exclure pour le filtre. Cliquez sur OK.

La valeur par défaut est Tous les fichiers. Le fait de définir un filtre rend l'analyse plus efficace.

9 Sous l'onglet Règles, vérifiez les règles qui s'appliquent.

Toutes les règles de découverte issues des jeux de règles appliqués à la stratégie sont exécutées.

Scénario d'utilisation : restauration des fichiers ou des e-mailsmis en quarantaineLorsque la découverte McAfee DLP Endpoint trouve du contenu confidentiel, elle déplace les fichiers oules e-mails concernés dans un dossier de quarantaine et les remplace par un espace réservé quiindique aux utilisateurs que leurs fichiers ou e-mails ont été mis en quarantaine. Les fichiers et lese-mails mis en quarantaine sont également chiffrés afin d'empêcher toute utilisation non autorisée.

Avant de commencerPour afficher l'icône McAfee DLP dans Microsoft Outlook, l'option Afficher les commandes delibération de la quarantaine dans Outlook doit être activée dans Catalogue de stratégies | Stratégie client |Mode de fonctionnement et modules. Lorsqu'elle est désactivée, l'icône et l'option de menucontextuel permettant d'afficher les e-mails mis en quarantaine sont bloquées, et vous nepouvez pas libérer d'e-mails de la quarantaine.



Lorsque vous définissez une règle de découverte du système de fichiers sur Quarantaine et que le robotdécouvre un contenu confidentiel, il déplace les fichiers concernés dans un dossier de quarantaine etles remplace par un espace réservé, qui indique aux utilisateurs que ces fichiers ont été mis enquarantaine. Les fichiers mis en quarantaine sont chiffrés afin d'empêcher toute utilisation nonautorisée.

Concernant les e-mails mis en quarantaine, McAfee DLP Endpoint ajoute un préfixe à l'objet dansOutlook pour indiquer aux utilisateurs que leurs e-mails ont été mis en quarantaine. Le corps del'e-mail et les pièces jointes sont mis en quarantaine.

Le mécanisme a été modifié depuis les versions précédentes de McAfee DLP Endpoint, qui pouvaitchiffrer le corps ou les pièces jointes, pour empêcher la corruption de la signature lors de l'utilisation dusystème de signature d'e-mail.

Les tâches et les éléments du calendrier Microsoft Outlook peuvent également être mis enquarantaine.

Figure 10-1 Exemple d'e-mail mis en quarantaine

Procédure1 Pour restaurer des fichiers mis en quarantaine, procédez comme suit :

a Dans la barre d'état système de l'ordinateur managé, cliquez sur l'icône McAfee Agent etsélectionnez Gérer les fonctions | Console DLP Endpoint.

La console DLP Endpoint s'ouvre.

b Sous l'onglet Tâches, sélectionnez Ouvrir le dossier de quarantaine.

Le dossier de quarantaine s'ouvre.

c Sélectionnez les fichiers à restaurer. Cliquez avec le bouton droit de la souris et sélectionnezLibérer de la quarantaine.

L'option Libérer de la quarantaine du menu contextuel s'affiche uniquement lorsque voussélectionnez des fichiers de type *.dlpenc (fichiers chiffrés par DLP).

La fenêtre pop-up Code d'autorisation s'affiche.

2 Pour restaurer les éléments d'e-mails mis en quarantaine : cliquez sur l'icône McAfee DLP ou cliquezavec le bouton droit de la souris et sélectionnez Libérer de la quarantaine.

a Dans Microsoft Outlook, sélectionnez les e-mails (ou autres éléments) à restaurer.

b Cliquez sur l'icône McAfee DLP.

La fenêtre pop-up Code d'autorisation s'affiche.

3 Copiez le code ID d'authentification indiqué dans la fenêtre pop-up et envoyez-le à l'administrateurDLP.



4 L'administrateur génère un code de réponse et l'envoie à l'utilisateur. (Ceci crée aussi unévénement opérationnel enregistrant tous les détails).

5 L'utilisateur saisit le code d'autorisation dans la fenêtre pop-up Code d'autorisation et clique sur OK.

Les fichiers déchiffrés sont restaurés à leur emplacement d'origine. Si la stratégie de déverrouillagedu code d'autorisation a été activée (sous l'onglet Configuration des agents | Service de notification) et quevous saisissez un code incorrect à trois reprises, la fenêtre pop-up est bloquée pendant 30 minutes(paramètre par défaut).

Pour les fichiers, si le chemin d'accès a été modifié ou supprimé, le chemin d'origine est restauré. Sil'emplacement indiqué contient un fichier portant le même nom, le fichier est restauré sous le nomxxx-copie.abc.



Surveillance et génération derapportsVous pouvez utiliser les composants logiciels McAfee DLP Endpoint poursuivre et contrôler les violations de stratégie (Gestionnaire d'incidents DLP)et pour effectuer un suivi des événements d'administration (OpérationsDLP).

Chapitre 11 Incidents et événements opérationnelsChapitre 12 Collecte et gestion des données


Surveillance et génération de rapports


11 Incidents et événements opérationnels

McAfee DLP offre différents outils pour afficher des incidents et des événements opérationnels.

• Incidents : la page Gestionnaire d'incidents DLP affiche les incidents générés par des règles.

• Evénements opérationnels : la page Opérations DLP affiche des erreurs et des informationsd'administration.

• Cas : la page Gestion des cas DLP contient les cas qui ont été créés pour grouper et gérer les incidentsliés.

Lorsque McAfee DLP Discover et McAfee DLP Endpoint sont tous les deux installés, les consolesaffichent les incidents et les événements des deux applications.

L'affichage pour Gestionnaire d'incidents DLP et Opérations DLP peut inclure des informations sur l'ordinateuret sur l'utilisateur connecté à l'origine de l'incident/événement, la version client, le systèmed'exploitation et d'autres informations.

Sommaire Surveillance et rapports d'événements Gestionnaire d'incidents DLP Affichage des incidents Gestion des incidents Utilisation des cas Gérer les cas

Surveillance et rapports d'événementsMcAfee DLP sépare les événements en deux classes : les incidents (c'est-à-dire les violations destratégies) et les événements d'administration. Ces événements sont affichés dans les deux consoles,Gestionnaire d'incidents DLP et Opérations DLP.

Lorsque McAfee DLP détecte une violation de stratégie, il génère un événement qu'il envoie àl'analyseur d'événements McAfee ePO. Ces événements sont visualisés, filtrés et triés sur la consoleGestionnaire d'incidents DLP, ce qui permet aux administrateurs ou aux responsables de la sécurité deconsulter ces événements et de réagir dans les plus brefs délais. Le cas échéant, le contenu suspectest joint à l'événement en tant que preuve.

McAfee DLP jouant un rôle majeur dans les mesures prises par une entreprise pour respecter sesobligations réglementaires et la législation en matière de confidentialité, le Gestionnaire d'incidentsDLP présente les informations relatives à la transmission des données confidentielles de la façon laplus souple et précise possible. Les auditeurs, les directeurs, les responsables de la confidentialité etd'autres employés essentiels peuvent utiliser le Gestionnaire d'incidents DLP pour identifier lesactivités suspectes ou non autorisées, afin d'agir conformément à la politique de confidentialité del'entreprise et aux autres réglementations et législations en vigueur.

11


L'administrateur système ou le responsable de la sécurité dispose d'un suivi des événementsd'administration concernant les agents et l'état de la distribution des stratégies.

La console Opérations DLP s'affiche.

• McAfee DLP Discover : erreurs d'analyse ou de serveur

• McAfee DLP Endpoint : détails relatifs au déploiement client, aux modifications de stratégies, audéploiement des stratégies, aux connexions en mode sans échec, aux contrôles prioritaires suragents et aux autres événements d'administration

Gestionnaire d'incidents DLPLa page Gestionnaire d'incidents DLP de McAfee ePO permet d'afficher les événements de sécuritégénérés par des violations de stratégie.

Le gestionnaire d'incidents contient trois sections à onglets :

• Liste des incidents : liste en cours des événements de violation de stratégie.

• Tâches relatives aux incidents : liste des actions que vous pouvez effectuer sur la liste ou sur des partiessélectionnées de la liste. Ces tâches comprennent l'affectation de réviseurs à des incidents, laconfiguration de notifications par e-mail automatiques et la purge de la totalité ou d'une partie dela liste.

• Historique des incidents : liste contenant l'ensemble des incidents historiques. La purge de la liste desincidents n'a aucun effet sur l'historique.

Utilisez le module Opérations DLP pour afficher des événements d'administration tels que lesdéploiements d'agents. Le module est organisé de façon identique, avec trois pages à onglets : Listedes événements opérationnels, Tâches d'événements opérationnels et Historique des événementsopérationnels.

Fonctionnement du gestionnaire d'incidentsL'onglet Liste des incidents du Gestionnaire d'incidents DLP contient toutes les fonctionnalitésnécessaires à la révision des incidents de violation de stratégie. Vous pouvez afficher les détails d'unévénement donné en cliquant dessus. Vous pouvez créer et enregistrer des filtres pour modifierl'affichage, ou utiliser des filtres prédéfinis dans le volet gauche. Vous pouvez aussi modifier l'affichageen sélectionnant et en organisant des colonnes. Les icônes de couleur et les évaluations numériquesde gravité permettent de passer en revue les événements de façon simple et rapide.

L'onglet Liste des incidents s'appuie sur la fonctionnalité Requêtes et rapports de McAfee ePO pourcréer des rapports McAfee DLP Endpoint et afficher des données sur les tableaux de bord McAfee ePO.

Vous pouvez utiliser les options suivantes sur les événements :

• Gestion des cas : permet de créer des cas et d'ajouter les incidents sélectionnés à un cas.

• Commentaires : permet d'ajouter des commentaires à des incidents sélectionnés.

• Envoyer les événements par e-mail : permet d'envoyer les événements sélectionnés.

• Exporter les paramètres de l'équipement : permet d'exporter les paramètres de l'équipementvers un fichier CSV (liste des données en utilisation/mouvement uniquement).

• Etiquettes : permet de définir une étiquette pour filtrer par étiquette.

11 Incidents et événements opérationnelsGestionnaire d'incidents DLP


• Rédaction de version : permet de supprimer la rédaction pour afficher les champs protégés(requiert des autorisations adaptées).

• Définir les propriétés : permet de modifier la gravité, l'état ou la résolution ; permet d'affecterun utilisateur ou un groupe pour la révision des incidents.

Figure 11-1 Gestionnaire d'incidents DLP

La page Opérations DLP fonctionne de la même façon que les événements d'administration. Lesévénements contiennent des informations telles que la raison pour laquelle l'événement a été généréet le produit McAfee DLP qui a signalé l'événement. Ils peuvent également inclure des informations surl'utilisateur en lien avec l'événement, comme son nom de connexion, son nom principal(nomutilisateur@xyz), son supérieur, son service ou sa division. Les événements opérationnelspeuvent être filtrés en fonction de chacune de ces informations, ou par d'autres paramètres, tels quela gravité, l'état, la version client, le nom de stratégie et bien plus encore.

Figure 11-2 Opérations DLP

Tâches relatives aux incidents/Tâches d'événements opérationnels

Les onglets Tâches relatives aux incidents et Tâches d'événements opérationnels permettent de définirdes critères pour les tâches planifiées. Les tâches configurées sur les pages utilisent la fonctionnalitéTâches serveur de McAfee ePO pour planifier des tâches.

Les deux onglets de tâches sont organisés par type de tâche (volet gauche). L'onglet Tâches relativesaux incidents est également organisé par type d'incident. Les données apparaissent donc sous formede matrice 4 x 3 et les informations affichées dépendent des deux paramètres que vous sélectionnez.

Incidents et événements opérationnelsGestionnaire d'incidents DLP 11


Données enutilisation/mouvement

Donnéesstockéespassivement(Endpoint)

Donnéesstockéespassivement(réseau)

Données enutilisation/mouvement(historique)

Définition duréviseur X X X

Notification pare-mail automatique X X X

Purge desévénements X X X X

Scénario d'utilisation - Définition des propriétésLes propriétés sont des données ajoutées à un incident qui nécessite un suivi. Vous pouvezajouter les propriétés du volet des détails de l'incident ou en sélectionnant Actions | Définir lespropriétés. Les propriétés sont les suivantes :

• Gravité • Révision du groupe

• Etat • Révision de l'utilisateur

• Résolution

Le réviseur peut être n'importe quel utilisateur McAfee ePO. La gravité est modifiable, carsi l'administrateur établit que l'incident est un faux positif, le niveau de gravité d'originen'est plus pertinent.

Scénario d'utilisation - Modification de l'affichageOutre l'utilisation des filtres permettant de modifier l'affichage, vous pouvez aussipersonnaliser les champs et l'ordre de l'affichage. Les affichages personnalisés peuventêtre enregistrés et réutilisés.

La création d'un filtre s'articule autour des tâches suivantes :

1 Pour ouvrir la fenêtre d'édition de la vue, cliquez sur Actions | Afficher | Choisir les colonnes.

2 Pour déplacer des colonnes à gauche ou à droite, utilisez l'icône x pour supprimer descolonnes, et les icônes de flèches.

3 Pour appliquer l'affichage personnalisé, cliquez sur Mettre à jour l'affichage.

4 Pour enregistrer pour une utilisation ultérieure, cliquez sur Actions | Afficher | Enregistrerl'affichage.

Une fois l'affichage enregistré, vous pouvez aussi enregistrer les filtres personnalisés ettemporels. Les affichages enregistrés sont disponibles dans la liste déroulante en hautde la page.

Traitement des incidentsQuand McAfee DLP reçoit des données correspondant à des paramètres définis dans une règle, uneviolation est déclenchée et McAfee DLP génère un incident.

Le Gestionnaire d'incidents de McAfee ePO permet d'afficher, de trier, de grouper et de filtrer lesincidents afin de repérer les violations importantes. Vous pouvez afficher les détails des incidents ousupprimer les incidents inutiles.

11 Incidents et événements opérationnelsGestionnaire d'incidents DLP


Affichage des incidentsLe Gestionnaire d'incidents affiche tous les incidents signalés par les applications McAfee DLP. Vouspouvez modifier l'affichage des incidents afin de repérer plus facilement les violations importantes.

Le champ Présent du Gestionnaire d'incidents DLP permet de trier les incidents affichés en fonction del'application qui les a générés :

• Données en utilisation/mouvement : affiche les incidents issus de McAfee DLP Endpoint ou de DeviceControl.

• Données stockées passivement (terminal) : affiche les incidents issus de la découverte McAfee DLP Endpoint.

• Données stockées passivement (réseau) : affiche les incidents issus de McAfee DLP Discover.

Quand McAfee DLP traite un objet (un e-mail par exemple) qui déclenche plusieurs règles, leGestionnaire d'incidents rassemble les différentes violations et les affiche en tant qu'incident unique,plutôt que sous forme d'incidents distincts.

Procédures

• Tri et filtrage des incidents, page 159Organisez l'affichage des incidents sur la base d'attributs tels que la date et l'heure,l'emplacement, l'utilisateur ou la gravité.

• Configuration de l'affichage des colonnes, page 160Les options d'affichage permettent d'organiser le type et l'ordre des colonnes disponiblesdans le gestionnaire d'incidents.

• Configuration de filtres d'incidents, page 161Les filtres permettent d'afficher les incidents qui correspondent à des critères spécifiés.

• Affichage des détails relatifs à un incident, page 162Affichez les informations relatives à un incident.

Tri et filtrage des incidentsOrganisez l'affichage des incidents sur la base d'attributs tels que la date et l'heure, l'emplacement,l'utilisateur ou la gravité.


1 Dans McAfee ePO, sélectionnez Gestionnaire d'incidents DLP.


• Pour les incidents Device Control ou McAfee DLP Endpoint : dans la liste déroulante Présent,sélectionnez Données en utilisation/mouvement.

• Pour les incidents de découverte McAfee DLP Endpoint : dans la liste déroulante Présent,sélectionnez Données stockées passivement (terminal).

• Pour les incidents McAfee DLP Discover : dans la liste déroulante Présent, sélectionnez Donnéesstockées passivement (réseau) et, si nécessaire, cliquez sur le lien Analyse pour définir l'analyse.

3 Effectuez l'une des tâches suivantes :

• Pour effectuer un tri par colonne, cliquez sur un en-tête de colonne.

• Pour utiliser une vue personnalisée au lieu de colonnes, sélectionnez une vue personnaliséedans la liste déroulante Afficher.

Incidents et événements opérationnelsAffichage des incidents 11


• Pour filtrer par date et heure, sélectionnez un laps de temps dans la liste déroulante Date et heure.

• Pour appliquer un filtre personnalisé, sélectionnez-en un dans la liste déroulante Filtre.

• Pour regrouper par attribut :

1 Sélectionnez un attribut dans la liste déroulante Grouper par.

La liste des options disponibles s'affiche. La liste contient jusqu'à 250 options parmi les plusfréquemment utilisées.

2 Sélectionnez une option dans la liste. Les incidents correspondant à la sélection s'affichent.

ExempleLorsque vous utilisez des incidents McAfee DLP Endpoint, sélectionnez ID utilisateur pour afficherles noms des utilisateurs ayant déclenché des violations. Sélectionnez le nom d'un utilisateurpour afficher tous les incidents correspondant à cet utilisateur.

Configuration de l'affichage des colonnesLes options d'affichage permettent d'organiser le type et l'ordre des colonnes disponibles dans legestionnaire d'incidents.







3 Dans la liste déroulante Afficher, sélectionnez Par défaut et cliquez sur Modifier.

4 Configurez les colonnes.

a Dans la liste Colonnes disponibles, cliquez sur une option pour la déplacer vers la zone Colonnessélectionnées.

b Dans la zone Colonnes sélectionnées, organisez et supprimez des colonnes selon vos besoins.

• Pour supprimer une colonne, cliquez sur x.

• Pour déplacer une colonne, cliquez sur les boutons fléchés ou faites-la glisser.

c Cliquez sur Mettre à jour l'affichage.

5 Configurez les paramètres d'affichage.

a En regard de la liste déroulante Afficher, cliquez sur Enregistrer.

b Sélectionnez l'une des options suivantes :

• Enregistrer comme nouvel affichage : attribuez un nom à l'affichage.

• Remplacer un affichage existant : sélectionnez l'affichage à enregistrer.

11 Incidents et événements opérationnelsAffichage des incidents


c Indiquez qui peut utiliser l'affichage.

• Public : tous les utilisateurs peuvent utiliser l'affichage.

• Privé : seul l'utilisateur qui a créé l'affichage peut l'utiliser.

d Indiquez si vous souhaitez appliquer les filtres ou les groupements actuels à l'affichage.

e Cliquez sur OK.

Vous pouvez également gérer les affichages dans le gestionnaire d'incidents en sélectionnant Actions |Afficher.

Configuration de filtres d'incidentsLes filtres permettent d'afficher les incidents qui correspondent à des critères spécifiés.

Exemple McAfee DLP Endpoint : vous soupçonnez un utilisateur particulier d'avoir envoyé du contenucomportant des données confidentielles vers un intervalle d'adresses IP externe à la société. Vouspouvez créer un filtre pour afficher les incidents qui correspondent au nom de cet utilisateur et à cetintervalle d'adresses IP.







3 Dans la liste déroulante Filtre, sélectionnez (aucun filtre personnalisé) et cliquez sur Modifier.

4 Configurez les paramètres de filtrage.

a Dans la liste Propriétés disponibles, sélectionnez une propriété.

b Saisissez la valeur de la propriété.

Pour ajouter d'autres valeurs à la même propriété, cliquez sur +.

c Sélectionnez d'autres propriétés selon vos besoins.

Pour supprimer une propriété, cliquez sur <.

d Cliquez sur Mettre à jour le filtre.

5 Configurez les paramètres de filtrage.

a En regard de la liste déroulante Filtre, cliquez sur Enregistrer.

b Sélectionnez l'une des options suivantes :

• Enregistrer comme nouveau filtre : attribuez un nom au filtre.

• Remplacer un filtre existant : sélectionnez le filtre à enregistrer.

Incidents et événements opérationnelsAffichage des incidents 11


c Indiquez qui peut utiliser le filtre.

• Public : tous les utilisateurs peuvent utiliser le filtre.

• Privé : seul l'utilisateur qui a créé le filtre peut l'utiliser.

d Cliquez sur OK.

Vous pouvez également gérer les filtres dans le gestionnaire d'incidents en sélectionnant Actions | Filtre.

Affichage des détails relatifs à un incidentAffichez les informations relatives à un incident.







3 Cliquez sur un ID d'incident.

Dans McAfee DLP Endpoint, la page affiche des détails généraux et des informations sur la source.Selon le type d'incident, des détails relatifs à la destination ou aux équipements apparaissent. DansMcAfee DLP Discover, la page affiche des détails généraux sur l'incident.

4 Pour afficher des informations supplémentaires, effectuez l'une des tâches suivantes.

• Pour afficher des informations relatives à un utilisateur dans McAfee DLP Endpoint, cliquez surson nom dans la zone Source.

• Pour afficher des fichiers de preuve :

1 Cliquez sur l'onglet Preuves.

2 Cliquez sur le nom d'un fichier pour l'ouvrir avec le programme adapté.

L'onglet Preuves affiche également la chaîne correspondante courte, qui contient jusqu'à troissurlignages de correspondances sous forme de chaîne unique.

• Pour afficher les règles ayant déclenché l'incident, cliquez sur l'onglet Règles.

• Pour afficher des classifications, cliquez sur l'onglet Classifications.

Dans McAfee DLP Endpoint, l'onglet Classifications n'apparaît pas pour certains types d'incident.

• Pour afficher l'historique des incidents, cliquez sur l'onglet Journal d'audit.

• Pour afficher les commentaires ajoutés à l'incident, cliquez sur l'onglet Commentaires.

11 Incidents et événements opérationnelsAffichage des incidents


• Pour envoyer les informations relatives aux incidents par e-mail, y compris les preuvesdéchiffrées et les fichiers avec surlignage de correspondances, sélectionnez Actions | Envoyer lesévénements sélectionnés par e-mail.

• Pour revenir au gestionnaire d'incidents, cliquez sur OK.

Gestion des incidentsLe Gestionnaire d'incidents permet de mettre à jour et de gérer des incidents.Pour supprimer des incidents, configurez une tâche afin de purger des événements.

Procédures• Mise à jour d'un incident unique, page 163

Mettez à jour les informations relatives à un incident, telles que sa gravité, son état et sonréviseur.

• Mise à jour de plusieurs incidents, page 164Mettez à jour plusieurs incidents avec les mêmes informations simultanément.

• Gérer les étiquettes, page 165Une étiquette est un attribut personnalisé permettant d'identifier des incidents partageantdes caractéristiques similaires.

Mise à jour d'un incident uniqueMettez à jour les informations relatives à un incident, telles que sa gravité, son état et son réviseur.

L'onglet Journal d'audit signale toutes les mises à jour et les modifications effectuées sur un incident.







3 Cliquez sur un incident.


• Pour mettre à jour la gravité, l'état ou la résolution, procédez comme suit :

1 Sélectionnez une option dans la liste déroulante Gravité, Etat ou Résolution.


Incidents et événements opérationnelsGestion des incidents 11


• Pour mettre à jour le réviseur, procédez comme suit :

1 En regard du champ Réviseur, cliquez sur ...

2 Sélectionnez le groupe ou l'utilisateur et cliquez sur OK.


• Pour ajouter un commentaire, procédez comme suit :

1 Sélectionnez Actions | Ajouter un commentaire.

2 Entrez un commentaire, puis cliquez sur OK.

Mise à jour de plusieurs incidentsMettez à jour plusieurs incidents avec les mêmes informations simultanément.Exemple : vous avez appliqué un filtre pour afficher tous les incidents associés à une analyse ou unutilisateur particulier et vous souhaitez définir la gravité de ces incidents sur Majeur.







3 Cochez les cases correspondant aux incidents à mettre à jour.

Pour mettre à jour tous les incidents affichés avec le filtre actuel, cliquez sur Tout sélectionner dans cettepage.


• Pour ajouter un commentaire, sélectionnez Actions | Ajouter un commentaire, puis saisissez uncommentaire et cliquez sur OK.

• Pour envoyer les incidents dans un e-mail, sélectionnez Actions | Envoyer les événements sélectionnés pare-mail, entrez les informations, puis cliquez sur OK.

Vous pouvez sélectionner un modèle ou créer un modèle en saisissant des informations et encliquant sur Enregistrer.

• Pour modifier les propriétés, sélectionnez Actions | Définir les propriétés, modifiez les options, puiscliquez sur OK.

Procédures• Envoyer les événements sélectionnés par e-mail, page 165

Les tableaux suivants donnent des détails concernant les options d'envoi par e-mail etd'exportation des événements sélectionnés.

Voir aussi Envoyer les événements sélectionnés par e-mail, page 165

11 Incidents et événements opérationnelsGestion des incidents


Envoyer les événements sélectionnés par e-mailLes tableaux suivants donnent des détails concernant les options d'envoi par e-mail et d'exportationdes événements sélectionnés.

Tableau 11-1 Envoyer les événements sélectionnés par e-mail

Paramètre Valeur

Nombre maximal d'événements à envoyer par e-mail 100

Taille maximale de chaque événement illimitée

Taille maximale du fichier compressé (ZIP) 20 Mo

De limité à 100 caractères

A, Cc limités à 500 caractères

Objet limité à 150 caractères

Corps limité à 1 000 caractères

Tableau 11-2 Exporter les événements sélectionnés

Paramètre Valeur

Nombre maximal d'événements à exporter 1000

Taille maximale de chaque événement illimitée

Taille maximale du fichier compressé (ZIP) à exporter illimitée

Gérer les étiquettesUne étiquette est un attribut personnalisé permettant d'identifier des incidents partageant descaractéristiques similaires.

Vous pouvez affecter plusieurs étiquettes à un incident et réutiliser une étiquette pour plusieursincidents.

Exemple : des incidents ont été générés pour plusieurs projets développés par votre entreprise. Vouspouvez créer des étiquettes avec le nom de chaque projet et les affecter aux incidents correspondants.







3 Cochez les cases correspondant à un ou plusieurs incidents.


Incidents et événements opérationnelsGestion des incidents 11



• Pour ajouter des étiquettes, procédez comme suit :

1 Sélectionnez Actions | Etiquettes | Joindre.

2 Pour ajouter une nouvelle étiquette, entrez un nom et cliquez sur Ajouter.

3 Sélectionnez une ou plusieurs étiquettes.

4 Cliquez sur OK.

• Pour retirer des étiquettes associées à un incident, procédez comme suit :

1 Sélectionnez Actions | Etiquettes | Détacher.

2 Sélectionnez les étiquettes à retirer de l'incident.

3 Cliquez sur OK.

• Pour supprimer des étiquettes, procédez comme suit :

1 Sélectionnez Actions | Etiquettes | Supprimer des étiquettes.

2 Sélectionnez les étiquettes à supprimer.

3 Cliquez sur OK.

Utilisation des casLes cas permettent aux administrateurs de collaborer à la résolution des incidents liés.

Dans de nombreuses situations, un seul incident n'est pas un événement isolé. Vous pouvez voirplusieurs incidents dans le Gestionnaire d'incidents DLP qui partagent des propriétés communes ou quisont liés les uns aux autres. Vous pouvez affecter ces incidents liés à un cas. Plusieurs administrateurspeuvent surveiller et gérer un cas en fonction de leurs rôles dans l'organisation.

Scénario : vous remarquez qu'un utilisateur particulier génère souvent plusieurs incidents après lesheures ouvrables. Cela pourrait indiquer que l'utilisateur est engagé dans une activité suspecte ou quele système de l'utilisateur a été compromis. Affectez ces incidents à un cas pour garder une trace dumoment et de la fréquence de survenue de ces violations.

Selon la nature des violations, vous pourriez avoir besoin d'alerter les équipes RH ou juridiques ausujet de ces incidents. Vous pouvez permettre aux membres de ces équipes de travailler sur le cas,comme ajouter des commentaires, modifier la priorité ou avertir les principales parties prenantes.

Gérer les casCréez et gérez des cas pour la résolution des incidents.

Créer des casCréez un cas pour regrouper et examiner les incidents liés.

11 Incidents et événements opérationnelsUtilisation des cas



1 Dans McAfee ePO, sélectionnez Menu | Protection des données | Gestion des cas DLP.


3 Saisissez un nom de titre et configurez les options.

4 Cliquez sur OK.

Afficher les informations sur les casAffichez les journaux d'audit, les commentaires de l'utilisateur et les incidents affectés à un cas.



2 Cliquez sur un ID de cas.


• Pour afficher les incidents affectés au cas, cliquez sur l'onglet Incidents.

• Pour afficher les commentaires de l'utilisateur, cliquez sur l'onglet Commentaires.

• Pour afficher les journaux d'audit, cliquez sur l'onglet Journal d'audit.

4 Cliquez sur OK.

Affecter des incidents à un casAjouter des incidents liés à un nouveau cas ou à un cas existant.


1 Dans McAfee ePO, sélectionnez Menu | Protection des données | Gestionnaire d'incidents DLP.

2 Sélectionnez le type d'incident dans la liste déroulante Présent. Pour Données stockées passivement (réseau),cliquez sur le lien Analyse pour définir l'analyse si nécessaire.

3 Cochez les cases correspondant à un ou plusieurs incidents.

Utilisez des options telles que Filtre ou Grouper par pour afficher les incidents liés. Pour mettre à jourtous les incidents affichés avec le filtre actuel, cliquez sur Tout sélectionner dans cette page.

Incidents et événements opérationnelsGérer les cas 11


4 Affecter des incidents à un cas.

• Pour ajouter à un nouveau cas, sélectionnez Actions | Gestion des cas | Ajouter à un nouveau cas,saisissez un nom de titre et configurez les options.

• Pour ajouter à un cas existant, sélectionnez Actions | Gestion des cas | Ajouter à un cas existant, filtrezpar ID de cas ou titre, puis sélectionnez le cas.

5 Cliquez sur OK.

Déplacement ou suppression d'incidents d'un casSi un incident ne correspond plus à un cas, vous pouvez le supprimer du cas ou le déplacer vers unautre cas.



2 Cliquez sur l'ID d'un cas.


• Pour déplacer des incidents d'un cas à l'autre, procédez comme suit :

1 Cliquez sur l'onglet Incidents et sélectionnez les incidents.

2 Sélectionnez Actions | Déplacer, puis indiquez si vous souhaitez les déplacer vers un nouveaucas ou un cas existant.

3 Sélectionnez le cas existant ou configurez des options pour un nouveau cas, puis cliquez surOK.

• Pour supprimer des incidents du cas, procédez comme suit :

1 Cliquez sur l'onglet Incidents et sélectionnez les incidents.

2 Sélectionnez Actions | Supprimer, puis cliquez sur Oui.

4 Cliquez sur OK.

Vous pouvez également déplacer ou supprimer un incident de l'onglet Incidents en cliquant sur Déplacer ouSupprimer dans la colonne Actions.

Mettre à jour les casMettez à jour les informations de cas comme le changement de propriétaire, l'envoi de notifications oul'ajout de commentaires.

Les notifications sont envoyées au créateur du cas, au propriétaire du cas et aux utilisateurssélectionnés quand :

• un e-mail est ajouté ou modifié ;

• Des incidents sont ajoutés au cas ou supprimés du cas.

• le titre du cas est modifié ;

• les détails du propriétaire sont modifiés ;

• la priorité est modifiée ;

11 Incidents et événements opérationnelsGérer les cas


• la résolution est modifiée.

• Les commentaires sont ajoutés.

Vous pouvez désactiver les notifications automatiques par e-mail au créateur et au propriétaire du casdans Menu | Configuration | Paramètres serveur | Prévention contre la fuite de données.



2 Cliquez sur l'ID d'un cas.


• Pour mettre à jour le nom du cas, saisissez un nouveau nom dans le champ Titre, puis cliquezsur Enregistrer.

• Mise à jour du propriétaire :

1 En regard du champ Propriétaire, cliquez sur ...

2 Sélectionnez le groupe ou l'utilisateur.

3 Cliquez sur OK.


• Pour mettre à jour les options Priorité, Etat ou Résolution, utilisez les listes déroulantes poursélectionner les éléments, puis cliquez sur Enregistrer.

• Envoi de notifications par e-mail :

1 En regard du champ Envoyer des notifications à, cliquez sur ...

2 Sélectionnez les utilisateurs auxquels envoyer des notifications.

Si aucun contact n'est répertorié, vous devez spécifier un serveur de messagerie pour McAfeeePO et ajouter des adresses électroniques pour les utilisateurs. Configurez le serveur demessagerie dans Menu | Configuration | Paramètres serveur | Serveur de messagerie. Configurez desutilisateurs dans Menu | Gestion des utilisateurs | Utilisateurs.


• Ajout d'un commentaire au cas :

1 Cliquez sur l'onglet Commentaires.

2 Saisissez le commentaire dans la zone de texte.

3 Cliquez sur Ajouter un commentaire.

4 Cliquez sur OK.

Ajouter ou supprimer des étiquettes dans un casUtiliser des étiquettes pour distinguer les cas grâce à un attribut personnalisé.

Incidents et événements opérationnelsGérer les cas 11




2 Cochez les cases correspondant à un ou plusieurs cas.



• Pour ajouter des étiquettes aux cas sélectionnés :

1 Sélectionnez Actions | Gérer les étiquettes | Joindre.

2 Pour ajouter une nouvelle étiquette, entrez un nom et cliquez sur Ajouter.

3 Sélectionnez une ou plusieurs étiquettes.

4 Cliquez sur OK.

• Pour supprimer des étiquettes des cas sélectionnés :

1 Sélectionnez Actions | Gérer les étiquettes | Détacher.

2 Sélectionnez les étiquettes à supprimer.

3 Cliquez sur OK.

Supprimer des casSupprimez les cas qui ne sont plus nécessaires.



2 Cochez les cases correspondant à un ou plusieurs cas.

Pour supprimer tous les cas affichés par le filtre actuel, cliquez sur Tout sélectionner dans cette page.

3 Sélectionnez Actions | Supprimer, puis cliquez sur Oui.

11 Incidents et événements opérationnelsGérer les cas


12 Collecte et gestion des données

La surveillance du système consiste à rassembler et à analyser des preuves et des événements, puis àproduire des rapports. Les données relatives aux incidents et aux événements contenues dans lestables DLP de la base de données McAfee ePO sont affichées dans les pages Gestionnaired'incidents DLP et Opérations DLP, ou sont rassemblées dans des rapports et des tableaux de bord.

L'analyse des preuves et des événements enregistrés permet aux administrateurs de déterminer si lesrègles sont trop restrictives, entraînant des retards inutiles, ou au contraire trop imprécises, favorisantla fuite des données.

Sommaire Modification des tâches serveur Surveillance des résultats des tâches Création de rapports

Modification des tâches serveurMcAfee DLP utilise les tâches serveur McAfee ePO pour exécuter les tâches du Gestionnaire d'incidentsDLP et des Opérations DLP.

Chaque tâche relative aux incidents ou aux événements opérationnels est prédéfinie dans la liste destâches serveur. Les seules options disponibles sont celles permettant de les activer ou de lesdésactiver, ou de modifier la planification. Les tâches serveur McAfee DLP disponibles sont lessuivantes :

• Conversion des événements d'incident DLP de 9.4 vers 9.4.1 et versions ultérieures

• Migration d'incidents DLP de 9.3.x vers 9.4.1 et versions ultérieures

• Exécuteur de tâches relatives aux incidents DLP

• Tâche du rapporteur de propriétés MA DLP

• Migrer des événements opérationnels DLP

• Conversion de stratégie DLP

• Tâche d'envoi de stratégie DLP en mode Push

• Purger l'historique des incidents et événements opérationnels DLP

• Purger les incidents et événements opérationnels DLP

• Envoyer un e-mail pour les incidents et les événements opérationnels DLP

12


• Définir le réviseur pour les incidents et les événements opérationnels DLP

• Marquer les incidents DLP selon un niveau de gravité ELEVE ou CRITIQUE pour l'importation par DLP Manager

* La tâche Exécuteur de tâches relatives aux incidents DLP est une tâche de McAfee DLP 9.3. Elle n'apparaît que sivous avez installé les deux versions de McAfee DLP.



2 Sélectionnez la tâche à modifier.

Meilleure pratique : entrez DLP dans le champ Recherche rapide pour filtrer la liste.

3 Sélectionnez Actions | Modifier, puis cliquez sur Planification.

4 Modifiez la planification selon vos besoins, puis cliquez sur Enregistrer.

Procédures• Création d'une tâche Purge des événements, page 172

Les tâches de purge des incidents et des événements permettent d'effacer les données quine sont plus nécessaires de la base de données.

• Création d'une tâche Notification par e-mail automatique, page 173Vous pouvez définir l'envoi automatique de notifications par e-mail aux administrateurs,aux gestionnaires ou aux utilisateurs pour leur signaler des incidents ou des événementsopérationnels.

• Création d'une nouvelle tâche de définition du réviseur, page 174Vous pouvez affecter des réviseurs à différents incidents et événements opérationnels afinde diviser la charge de travail dans les grandes organisations.

Voir aussi Création d'une nouvelle tâche de définition du réviseur, page 174Création d'une tâche Notification par e-mail automatique, page 173Création d'une tâche Purge des événements, page 172

Création d'une tâche Purge des événementsLes tâches de purge des incidents et des événements permettent d'effacer les données qui ne sontplus nécessaires de la base de données.

Vous pouvez créer des tâches de purge pour la liste des incidents, pour les incidents relatifs auxdonnées en utilisation de la liste Historique ou pour la liste des événements opérationnels.


1 Dans McAfee ePO, sélectionnez Menu | Protection des données | Gestionnaire d'incidents DLP ou Menu |Protection des données | Opérations DLP.

2 Cliquez sur l'onglet Tâches relatives aux incidents ou Tâches d'événements opérationnels.

12 Collecte et gestion des donnéesModification des tâches serveur


3 Sélectionnez un type d'incident dans la liste déroulante (tâches relatives aux incidentsuniquement), sélectionnez Purge des événements dans le volet Type de tâche, puis cliquez sur Actions |Nouvelle règle.

L'option Données en utilisation/mouvement - Historique permet de purger les événements de l'historique.

4 Entrez un nom et éventuellement une description, puis cliquez sur Suivant.

Les règles sont activées par défaut. Vous pouvez modifier ce paramètre pour retarder l'exécutionde la règle.

5 Cliquez sur > pour ajouter des critères et sur < pour les supprimer. Définissez les paramètresComparaison et Valeur. Lorsque vous avez terminé de définir les critères, cliquez sur Enregistrer.

La tâche est exécutée tous les jours pour les données réelles et tous les vendredis à 22 h 00 pour lesdonnées historiques.

Voir aussi Modification des tâches serveur, page 171

Création d'une tâche Notification par e-mail automatiqueVous pouvez définir l'envoi automatique de notifications par e-mail aux administrateurs, auxgestionnaires ou aux utilisateurs pour leur signaler des incidents ou des événements opérationnels.




3 Sélectionnez un type d'incident dans la liste déroulante (tâches relatives aux incidentsuniquement), sélectionnez Notification par e-mail automatique dans le volet Type de tâche, puis cliquez surActions | Nouvelle règle.



5 Sélectionnez les événements à traiter.

• Traiter tous les incidents/événements (du type d'incident sélectionné).

• Traiter les incidents/événements survenus depuis la dernière exécution de la tâche denotification par e-mail.

6 Sélectionnez les destinataires.

Ce champ est obligatoire. Au moins un destinataire doit être sélectionné.

7 Saisissez l'objet de l'e-mail.

Ce champ est obligatoire.

Vous pouvez insérer des variables à partir de la liste déroulante selon vos besoins.

8 Saisissez le texte du corps de l'e-mail.

Vous pouvez insérer des variables de la liste déroulante selon vos besoins.

Collecte et gestion des donnéesModification des tâches serveur 12


9 (Facultatif) Cochez la case pour pouvoir joindre des informations de preuve à l'e-mail. Cliquez surSuivant.


La tâche s'exécute toutes les heures.


Création d'une nouvelle tâche de définition du réviseurVous pouvez affecter des réviseurs à différents incidents et événements opérationnels afin de diviserla charge de travail dans les grandes organisations.

Avant de commencerDans McAfee ePO Gestion des utilisateurs | Ensembles d'autorisations, créez un réviseur ou désignezun réviseur de groupe. Vous devez pour cela disposer des autorisations Définition duréviseur pour le Gestionnaire d'incidents DLP et Opérations DLP.

La tâche Définition du réviseur affecte un réviseur aux incidents/événements selon les critères derègle. La tâche est uniquement appliquée aux incidents pour lesquels aucun réviseur n'a été affecté.Vous ne pouvez pas l'utiliser pour réaffecter des incidents à un autre réviseur.




3 Sélectionnez un type d'incident dans la liste déroulante (tâches relatives aux incidentsuniquement), sélectionnez Définition du réviseur dans le volet Type de tâche, puis cliquez sur Actions |Nouvelle règle.

4 Indiquez un nom et éventuellement une description. Sélectionnez un réviseur ou un groupe, puiscliquez sur Suivant.



Meilleure pratique : si plusieurs règles de type Définition du réviseur sont définies, vous pouvezles réordonner dans la liste.

La tâche s'exécute toutes les heures.

Une fois qu'un réviseur est défini, il n'est pas possible de le remplacer avec la tâche Définition duréviseur.


12 Collecte et gestion des donnéesModification des tâches serveur


Surveillance des résultats des tâchesSurveillez les résultats des tâches relatives aux incidents et aux événements opérationnels.


1 Dans McAfee ePO, sélectionnez Menu | Automatisation | Journal des tâches serveur.

2 Localisez les tâches McAfee DLP terminées.

Meilleure pratique : entrez DLP dans le champ Recherche rapide ou définissez un filtre personnalisé.

3 Cliquez sur le nom de la tâche.

Les détails de la tâche apparaissent, y compris les erreurs si la tâche a échoué.

Création de rapportsMcAfee DLP utilise les fonctions de génération de rapports de McAfee ePO. Plusieurs rapportspréprogrammés sont disponibles ainsi que l'option de création de rapports personnalisés.

Pour plus d'informations, reportez-vous à la rubrique Exécution de requêtes sur la base de données duguide produit McAfee ePolicy Orchestrator.

Types de rapportsVous pouvez utiliser les fonctionnalités de génération de rapports McAfee ePO pour surveiller lesperformances de McAfee DLP Endpoint.

Quatre types de rapports sont pris en charge dans les tableaux de bord McAfee ePO :

• Synthèse des incidents DLP

• Récapitulatif de la découverte de terminaux DLP

• Synthèse de la stratégie DLP

• Synthèse des opérations DLP

Les tableaux de bord fournissent un total de 22 rapports, fondés sur les 28 requêtes disponibles dansla console McAfee ePO sous Menu | Rapports | Requêtes et rapports | Groupes McAfee | Data LossPrevention.

Options de rapportLe logiciel McAfee DLP utilise les rapports McAfee ePO pour la révision des événements. Vous pouvezen outre afficher des informations sur les propriétés du produit via le tableau de bord McAfee ePO.

Rapports McAfee ePO

Le logiciel McAfee DLP Endpoint permet d'intégrer la génération de rapports au service de générationde rapports McAfee ePO. Pour plus d'informations sur l'utilisation du service de génération de rapportsMcAfee ePO, reportez-vous au Guide produit de McAfee ePolicy Orchestrator.

Les requêtes avec données cumulées et les rapports de cumul des données McAfee ePO, quisynthétisent les données provenant de plusieurs bases de données McAfee ePO, sont pris en charge.

Collecte et gestion des donnéesSurveillance des résultats des tâches 12


Les notifications McAfee ePO sont prises en charge. Pour plus d'informations, reportez-vous à larubrique Envoi de notifications du Guide produit de McAfee ePolicy Orchestrator.

Tableaux de bord ePO

Vous pouvez afficher des informations sur les propriétés du produit McAfee DLP sur la page McAfeeePO Menu | Tableaux de bord. Il existe quatre tableaux de bord prédéfinis :

• Synthèse des incidents DLP

• Récapitulatif de la découverte de terminaux DLP

• Synthèse de la stratégie DLP

• Synthèse des opérations DLP

Il est possible de modifier, de personnaliser et de créer des tableaux de bord. Pour plus d'informations,reportez-vous à la documentation de McAfee ePO.

Les requêtes prédéfinies résumées dans les tableaux de bord sont disponibles en sélectionnant Menu |Requêtes et rapports. Elles apparaissent sous Groupes McAfee.

Tableaux de bord prédéfinisLe tableau ci-dessous décrit les tableaux de bord McAfee DLP prédéfinis.

Tableau 12-1 Tableaux de bord DLP prédéfinis

Catégorie Option Description

DLP : synthèse desincidents

Nombre d'incidents par jour Ces graphiques illustrent le nombre totald'incidents et fournissent plusieurs options derépartition pour analyser plus facilement desproblèmes spécifiques.

Nombre d'incidents par gravité

Nombre d'incidents par type

Nombre d'incidents par jeu derègles

DLP : synthèse desopérations

Nombre d'événementsopérationnels par jour

Affiche tous les événements administratifs.

Version de l'agent Affiche la distribution des terminaux dansl'entreprise. Permet de surveiller la progressiondu déploiement des agents.

Distribution des produits DLP surles ordinateurs clients

Affiche un graphique à secteurs indiquant lenombre de terminaux Mac et Windows, ainsi quele nombre de terminaux sur lesquels aucun clientn'est installé.

Découverte DLP (Terminaux) : étatde l'analyse du système de fichierslocal

Affiche un graphique à secteurs indiquant lenombre de propriétés des analyses dedécouverte du système de fichiers local, ainsique leur état (terminé, en cours d'exécution,indéfini).

Etat de l'agent Affiche tous les agents et leur état.

12 Collecte et gestion des donnéesCréation de rapports


Tableau 12-1 Tableaux de bord DLP prédéfinis (suite)


Mode de fonctionnement de l'agent Affiche un graphique à secteurs des agents parmode de fonctionnement DLP. Les modes defonctionnement sont les suivants :• Mode de contrôle des périphériques

uniquement

• Mode de contrôle des périphériques et deprotection intégrale du contenu

• Mode de contrôle des périphériques et deprotection des périphériques de stockageamovibles selon le contenu

• Inconnu

Découverte DLP (Terminaux) : étatde l'analyse du stockage dese-mails local

Affiche un graphique à secteurs indiquant lenombre de propriétés des analyses dedécouverte du stockage des e-mails local et leurétat (terminé, en cours d'exécution, non défini).

DLP : synthèse de lastratégie

Distribution des stratégies Affiche la distribution des stratégies DLP parversion dans toute l'entreprise. Permet desurveiller la progression du déploiement d'unenouvelle stratégie.

Jeux de règles mis en œuvre parordinateur client

Affiche un graphique à barres indiquant le nomdu jeu de règles et le nombre de stratégies miseen œuvre.

Utilisateurs contournés Affiche le nom du système/nom de l'utilisateur etle nombre de propriétés des sessions utilisateur.

Classes d'équipement non définies(pour les appareils Windows)

Affiche les classes d'équipement non définiespour les équipements Windows.

Utilisateurs avec privilèges Affiche le nom du système/nom de l'utilisateur etle nombre de propriétés des sessions utilisateur.

Distribution de révision de lastratégie

Semblable à Distribution des stratégies, maisaffiche les révisions, c'est-à-dire les mises à jourd'une version existante.

DLP : récapitulatif de ladécouverte de terminaux

Découverte DLP (Terminaux) : Etatle plus récent de l'analyse dusystème de fichiers local

Affiche un graphique à secteurs indiquant l'étatd'exécution de l'analyse du système de fichierslocal.

Découverte DLP (Terminaux) :fichiers sensibles les plus récentsdétectés par l'analyse du systèmede fichiers local

Affiche un graphique à barres indiquant lenombre (par intervalle) de fichiers sensiblestrouvés parmi les fichiers système.

Découverte DLP (Terminaux) :erreurs les plus récentes détectéespar l'analyse du système de fichierslocal

Affiche un graphique à barres indiquant lenombre (par intervalle) d'erreurs détectées dansles dossiers système.

Découverte DLP (Terminaux) :classifications les plus récentesdétectées par l'analyse du systèmede fichiers local

Affiche un graphique à barres indiquant lesclassifications appliquées aux fichiers système.

Découverte DLP (Terminaux) : étatle plus récent de l'analyse de lamessagerie locale

Affiche un graphique à secteurs indiquant l'étatd'exécution de tous les dossiers de messagerielocaux.

Collecte et gestion des donnéesCréation de rapports 12


Tableau 12-1 Tableaux de bord DLP prédéfinis (suite)


Découverte DLP (Terminaux) :e-mails sensibles les plus récentsdétectés par l'analyse de lamessagerie locale

Affiche un graphique à barres indiquant lenombre (par intervalle) d'e-mails sensiblestrouvés dans les dossiers de messagerie locaux.

Découverte DLP (Terminaux) :erreurs les plus récentes détectéespar l'analyse de la messagerielocale

Affiche un graphique à barres indiquant lenombre (par intervalle) d'erreurs détectées dansles dossiers de messagerie locaux.

Découverte DLP (Terminaux) :classifications les plus récentesdétectées par l'analyse de lamessagerie locale

Affiche un graphique à barres indiquant lesclassifications appliquées aux e-mails locaux.

Création d'une tâche serveur Données cumuléesLes tâches de cumul McAfee ePO extraient des données de plusieurs serveurs pour produire un rapportunique. Vous pouvez créer des rapports de cumul pour les incidents et les événements opérationnelsMcAfee DLP.



2 Cliquez sur Nouvelle tâche.

3 Dans le Générateur de tâches serveur, entrez un nom et éventuellement une remarque, puis cliquez surSuivant.

4 Dans la liste déroulante Actions, sélectionnez Cumuler les données.

Le formulaire de cumul de données apparaît.

5 (Facultatif) Sélectionnez des serveurs dans le champ Cumuler les données de.

6 Dans la liste déroulante Type de données, sélectionnez Incidents DLP, Evénements opérationnels DLP ouDécouverte McAfee DLP Endpoint, selon vos besoins.

7 (Facultatif) Configurez les options de purge, de filtre ou de méthode de cumul. Cliquez sur Suivant.

8 Indiquez le type de planification, la date de début, la date de fin et l'heure de planification. Cliquezsur Suivant.

9 Passez en revue les informations de synthèse, puis cliquez sur Enregistrer.

12 Collecte et gestion des donnéesCréation de rapports


Maintenance et dépannage

Chapitre 13 Diagnostics McAfee DLP Endpoint


Maintenance et dépannage


13 Diagnostics McAfee DLP Endpoint

Utilisez l'utilitaire Outil de diagnostic McAfee DLP Endpoint pour surveiller l'intégrité du système etrésoudre les problèmes.

Outil de diagnosticL'outil de diagnostic est conçu pour faciliter la résolution des problèmes dans McAfee DLP Endpoint surles ordinateurs clients Microsoft Windows. Il n'est pas pris en charge sur les ordinateurs OS X.

L'outil de diagnostic collecte des informations sur les performances du logiciel client. L'équipeinformatique utilise ces informations pour résoudre les problèmes et configurer les stratégies. En casde problème grave, cet outil permet également à l'équipe de développement McAfee DLP de collecterdes données pour analyse.

L'outil est distribué sous la forme d'un utilitaire à installer sur les ordinateurs à problème. Il secompose de sept pages réparties en onglets, chacune consacré à un aspect particulier dufonctionnement du logiciel McAfee DLP Endpoint.

Sur toutes les pages affichant des informations dans des tableaux (à l'exception de Informationsgénérales et Outils, vous pouvez trier les tableaux en fonction de n'importe quelle colonne en cliquantsur l'en-tête de celle-ci.

Informationsgénérales

Collecte des données pour indiquer, par exemple, si les pilotes et les processus del'agent sont en cours d'exécution, ainsi que pour afficher des informations généralessur les stratégies, l'agent et la journalisation. Lorsqu'une erreur est détectée, lesinformations la concernant sont affichées.

Modules DLPE Affiche la configuration de l'agent (indiquée sur la page Configuration de l'agent |Divers de la console des stratégies McAfee DLP Endpoint). Cet onglet indique leparamètre de configuration et l'état de chaque module, complément et gestionnaire.Le fait de sélectionner un module affiche des informations qui peuvent vous aider àdéterminer les problèmes.

Flux de données Affiche le nombre d'événements sur le client McAfee DLP Endpoint et la mémoirequ'il utilise, ainsi que les détails des événements que vous sélectionnez.

Outils Permet d'effectuer plusieurs tests et d'afficher les résultats. Si nécessaire, un vidagedes données est effectué pour une analyse ultérieure.

Liste de processus Affiche tous les processus en cours d'exécution sur l'ordinateur. Le fait desélectionner un processus affiche les détails, les titres des fenêtres et les définitionsd'applications associés.

13


Equipements Affiche tous les équipements Plug-and-Play et amovibles connectés à l'ordinateur. Lefait de sélectionner un équipement en affiche les détails, ainsi que les définitionsassociées.Affiche toutes les règles de contrôle des équipements actives, ainsi que lesdéfinitions d'équipement appropriées.

Stratégie active Affiche toutes les règles contenues dans la stratégie active, ainsi que les définitionsde stratégie pertinentes. Le fait de sélectionner une règle ou une définition enaffiche les détails.

Vérification de l'état de l'agentUtilisez l'onglet Informations générales pour obtenir un aperçu de l'état de l'agent.

Les informations fournies sous l'onglet Informations générales sont conçues pour confirmer lesattentes des utilisateurs et répondre à des questions de base. Les pilotes et les processus d'agentsont-ils en cours d'exécution ? Quelles sont les versions des produits installées ? Quels sont le modede fonctionnement et la stratégie actuels ?

Pilotes et processus d'agent

L'une des questions les plus importantes pour résoudre les problèmes est la suivante : « Est-ce quetout fonctionne comme prévu ? » Les sections Processus d'agent et Pilotes permettent d'y répondred'un seul coup d'œil. Les cases à cocher indiquent si le processus est activé, tandis que le point decouleur indique s'il est en cours d'exécution. Si le processus ou le pilote ne fonctionne pas, la zone detexte fournit des informations sur le problème.

La mémoire maximale par défaut est de 150 Mo. Une valeur élevée pour ce paramètre peut indiquerdes problèmes.

Tableau 13-1 Processus d'agent

Terme Processus État prévu

Fcag Agent (client) McAfee DLP Endpoint activé ; en cours d'exécution

Fcags Service d'agent McAfee DLP Endpoint activé ; en cours d'exécution

Fcagte Extracteur de texte McAfee DLP Endpoint activé ; en cours d'exécution

Fcagwd Surveillance McAfee DLP Endpoint activé ; en cours d'exécution

Fcagd Agent McAfee DLP Endpoint avec vidageautomatique

activé uniquement pour le dépannage.

Tableau 13-2 Pilotes

Terme Processus État prévu

Hdlpflt Pilote de minifiltre McAfee DLP Endpoint (appliqueles règles pour équipements de stockageamovibles)

activé ; en cours d'exécution

Hdlpevnt événement McAfee DLP Endpoint activé ; en cours d'exécution

Hdlpdbk pilote de filtre d'équipement McAfee DLP Endpoint(applique les règles d'équipement Plug-and-Play)

peut être désactivé dans laconfiguration

Hdlpctrl Contrôle McAfee DLP Endpoint activé ; en cours d'exécution

Hdlhook Pilote d'accrochage McAfee DLP Endpoint activé ; en cours d'exécution

13 Diagnostics McAfee DLP EndpointOutil de diagnostic


Section d'informations sur l'agent

Les valeurs Mode de fonctionnement et Etat de l'agent doivent normalement correspondre. L'indicationde connectivité de l'agent, ainsi que l'adresse EPO peuvent être utiles pour la résolution desproblèmes.

Il existe trois options pour la connectivité de l'agent : en ligne, hors ligne ou connecté par VPN.

Exécution de l'outil de diagnosticL'outil de diagnostic fournit aux équipes informatiques des informations détaillées sur l'état de l'agent.

Avant de commencerL'outil de diagnostic requiert une authentification auprès de McAfee

®

Help Desk.

Procédure1 Double-cliquez sur le fichier hdlpDiag.exe.

Une fenêtre d'authentification s'affiche.

2 Copiez le code d'identification Help Desk dans la zone de texte idoine de la page Générer une clé decontournement du client DLP. Entrez le reste des informations et générez un code d'autorisation.

3 Copiez ce code d'autorisation dans la zone de texte Code de validation de la fenêtre d'authentification,puis cliquez sur OK.

L'outil de diagnostic s'ouvre.

Les onglets Informations générales, Modules DLPE et Liste de processus comportent un boutonActualiser en bas à droite. Les modifications apportées lorsqu'un onglet est ouvert ne mettent pasautomatiquement à jour les informations figurant sous ces onglets. Cliquez sur le bouton Actualiserfréquemment pour vous assurer que vous affichez des données à jour.

Configuration des stratégiesL'outil de diagnostic peut être utilisé pour dépanner ou régler des stratégies.

Scénario d'utilisation : utilisation élevée du processeurLes utilisateurs rencontrent parfois une baisse des performances lors de l'application d'unenouvelle stratégie. L'une des causes peut en être l'utilisation élevée du processeur. Pour levérifier, accédez à l'onglet Liste des processus. Si vous observez un nombre inhabitueld'événements pour un processus, cela peut être l'origine du problème. Par exemple, unevérification détecte que taskmgr.exe est classé dans la catégorie Editeur et qu'il a ledeuxième plus grand nombre total d'événements. Comme il est très peu probable quecette application connaisse une fuite de données, il n'est pas nécessaire que le clientMcAfee DLP Endpoint la surveille de façon très étroite.

Pour tester votre théorie, créez un modèle d'application. Dans le catalogue de stratégies,accédez à Stratégie DLP | Paramètres et remplacez la catégorie de l'application parApprouvée. Appliquez la stratégie et effectuez un test pour vérifier que les performancessont meilleures.

Diagnostics McAfee DLP EndpointOutil de diagnostic 13


Scénario d'utilisation : création de critères efficaces pour la classification ducontenu et l'identification du contenu par empreinteToute stratégie de protection des données repose sur le marquage des donnéesconfidentielles. L'outil de diagnostic affiche des informations qui vous aident à créer descritères efficaces pour la classification du contenu et son identification par empreinte. Lesmarqueurs peuvent être trop restrictifs, ignorer des données qui devraient être marquéesou être trop larges, ce qui génère des faux positifs.

La page Stratégie active fournit une liste de critères efficaces pour la classification ducontenu et son identification par empreinte. La page Flux de données fournit la liste detous les marqueurs appliqués par la stratégie, ainsi que leur nombre. Lorsque ce nombreest plus élevé que prévu, vous pouvez suspecter la présence de faux positifs. Dans un casprécis, un nombre de balises extrêmement élevé a permis de découvrir que la classificationétait déclenchée par le texte d'une clause d'exclusion de responsabilité. L'ajout de cetteclause d'exclusion à la liste blanche a supprimé les faux positifs. Suivant le même principe,un nombre plus faible qu'attendu peut suggérer que la classification est trop stricte.

Si un nouveau fichier est marqué pendant l'exécution de l'outil de diagnostic, le chemind'accès au fichier apparaît dans le volet de détails. Ces informations permettent delocaliser les fichiers à tester.

13 Diagnostics McAfee DLP EndpointOutil de diagnostic


Index

Aaccès aux fichiers

règles, à propos de 68

adresses e-mailcréation 101

affectation de stratégie 110

analyses lancées par l'utilisateur 145

analyseur d'événements 19

appel de réactivation 38

Archivage de DLP Endpointdans McAfee ePO 33

auto-correction utilisateur 145

BBoldon James 104

Box 115

Ccas

à propos de 166

affectation des incidents 167

ajout de commentaires 168

création 166

envoi de notifications 168

étiquettes 169

journaux d'audit 167

mise à jour 168

suppression 170

catalogue de stratégies 41

Chrome, versions prises en charge 121

classes d'équipement 59

classification 77

courrier électronique 104

critères 91

manuelle 87

classification de contenucritères 78

classification de courriers électroniques 104

classification manuelle 56, 95

classification, manuelle 95

classifications 91

à propos de 77

compatibilité avec les versions antérieures 31

composants, Data Loss Prevention (diagramme) 26

configuration client 42

affectation avec ePolicy Orchestrator 37

arborescence des systèmes 41

configuration des agentsprise en charge sur Mac OS 44

console client 19–21

console de stratégie DLP, installation 29

contrôle d'accès basé sur les rôles 53

conventions et icônes utilisées dans ce guide 9conversion 32

critères d'empreintes 93

critères d'identification de contenu par empreinte 14

cumul de données 178

Ddécouverte

à propos de 146

configuration 148

création d'une règle de découverte du système de fichiers147

découverte de terminaux 145

définition d'applicationsstratégie 81

définitions 109

destination web 80

dictionnaires 84

documents enregistrés 89

extension de fichier 86

modèle de texte 85

propriétés de document 86

réseau 80

définitions d'équipement 61

définitions d'équipementsstockage amovible 64

définitions de propriétés de document 86

définitions de réseauà propos de 80

intervalle d'adresses 101

intervalle de ports 100

demande d'authentification/réponse 149

demandes GET 121

destinations webà propos de 80


dictionnairesà propos de 84

création 99

importation d'entrées 99

DLP Discover 146

DLP Endpointdéploiement 35

DLP Endpointappel de réactivation 38

vérification du déploiement 37

documentationconventions typographiques et icônes 9produit, obtention d'informations 10

public visé par ce guide 9documents enregistrés 14, 89

donnéesclassification 84

données mobiles 80

données DLP, classification 85

données en cours d'utilisation 11

données mobiles 11

données stockées passivement 11, 146

dossier de preuves 49

Dropbox 115

Ee-mail 79

emplacement, classification par 80

empreintes de contenucritères 78

ensembles d'autorisations 52

ensembles d'autorisations, définition 53

ensembles d'autorisations, filtrage de l'Arborescence dessystèmes 50

équipements Plug-and-Playdéfinition incluse dans la liste blanche, création 63

espaces réservés 124

événementssurveillance 155

événements opérationnels 156

exceptions aux règles 128

extensions de fichierdéfinitions 86

extracteur de texte 81

Ffichier all_evidences.csv 48

fichiers OST 79

fichiers PST 79

filtresdéfinitions de réseau 80

Ggestion des droits 45, 47

gestionnaire d'incidents 156

Gestionnaire d'incidents DLPréponse à des événements 155

Gestionnaire d'incidents DLP 156

gestionnairesprotection du cloud 115

Google Chrome, versions prises en charge 121

GoogleDrive 115

groupes d'affectationdéfinition 15

GUID, voir GUID d'équipement GUID d'équipement 60

guide, présentation 9

Iincidents

affichages 160

détails 162

étiquettes 165

filtrage 159, 161

mise à jour 163, 164

tri 159

Jjeux de règles

à propos de 113

création 128

jeux de règles, ajout à des stratégies 110

justification métier, personnalisation 124

Llistes blanches 15

définitions Plug-and-Play, création 63

listes d'URLcréation 102

Mmarquage 77

à propos de 78

marqueurs intégrés 87, 88

McAfee ServicePortal, accès 10

meilleures pratiques 14, 25, 29, 32, 35, 50, 61, 63, 116, 134

migration 32

modèles avancéscréation 99

modèles d'applicationà propos de 86

modèles de texteà propos de 85

Nnotification utilisateur, personnalisation 124

notifications ePO 175

Index


notifications, ePolicy Orchestrator 175

OOneDrive 115

outil de diagnostic 181

Outil de diagnostic 183

Pparamètres DLP 29

périphériqueslistes, ajout de définitions Plug-and-Play 63

preuvestockage pour contenu chiffré 48

preuvesévénements de terminaux 155

prise en charge d'OS X 21

prise en charge JAWS 20

prise en charge OS X 61

programmes de validation 85

propriété d'équipements 65

Qquarantaine

libérer de la 48

restauration de fichiers ou d'emails à partir de 149

Rrapports de cumul des données 175

rapports ePO 175

réactions 125

rédaction 50

règles 114

Citrix XenApp 68

création 128

exceptions 128

protection de la messagerie 116

protection du cloud 115

réactions 125

règles d'équipement 128

règles de classification 13

règles de découverte de terminaux 128

règles de périphériquesà propos de 68

Règles de périphériques Citrix XenApp 68

Règles de périphériques TrueCrypt 68

règles de protection 128

définition 15

règles de protection de la messagerie 116

règles de protection de la publication web 121

règles de protection du cloud 115

règles DLPclassification 13

équipement 15

protection 15

règles pour équipementsdéfinition 15

requêtes web AJAX, blocage 121

rôles et autorisations 49

Sservice de surveillance 42

ServicePortal, obtention de documentation sur le produit 10

sessions utilisateur 68

stratégie, voir définitions d'applications stratégie de délai d'expiration, publication web 121

stratégie DLP 110

stratégies 16, 41

actualisation 38

affectation avec 37

définition 15

stratégies, réglage 183

Support OS X 57, 68–70, 77, 81, 86, 115, 118

support technique, recherche d'informations sur un produit 10

surlignage de correspondances, événements 48

surveillance 156

surveillance du service du client 42

Syncplicity 115

Ttableaux de bord, options de rapport 176

tâches d'événements opérationnels 171

tâches relatives aux incidents 156, 171

tâches serveur 32, 171

tâches serveur, cumul 178

texte inclus dans la liste blanche 92

Titus, intégration 103

Uutilisation en ligne/hors ligne 19

Vvérification de l'installation 37

Index
